[datensicherheit.de, 26.08.2019] Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), widmet sich in seiner aktuellen Stellungnahme den automatischen Sprachassistenzsystemen und fordert in diesem Zusammenhang „klare Schritte zur Umsetzung datenschutzrechtlicher Vorgaben durch Google sowie andere Anbieter“.

HmbBfDI erläuterte Google-Vertretern die rechtlichen Vorgaben

Nach Medienberichten zur Praxis des Transkribierens von Sprachaufnahmen durch den „Google Assistant“ und der Ankündigung von Google, diese Praxis für mindestens drei Monate zu stoppen, hat der HmbBfDI nach eigenen Angaben den Vertretern von Google in der letzten Woche die rechtlichen Vorgaben erläutert, die vor einer Wiederaufnahme der beanstandeten Praxis umzusetzen sind:
„Wir haben den Vertretern von Google deutlich gemacht, dass wesentliche Voraussetzungen für den Betrieb des ,Google Assistant‘ derzeit nicht erfüllt sind. Das betrifft nicht nur die Praxis des Transkribierens, sondern insgesamt das Verarbeiten von Audio-Daten, die beim Betrieb des Sprachassistenzsystems anfallen“, stellt Caspar klar.

Rechtsgrundlage für Speicherung von Audioaufnahmen: Einwilligung der Nutzer

Insbesondere geht es laut Caspar dabei um folgende Anforderungen:

• Solange die Transkription und Auswertung von Audioaufnahmen von Sprachassistenzsystemen durch Menschen nicht den DSGVO-Standards entsprechen, wird diese Praxis nicht durchgeführt.
• Als Rechtsgrundlage für die Speicherung von Audioaufnahmen ist eine Einwilligung der Nutzer einzuholen (Opt-in). Dies gilt bereits für den regulären Betrieb, auch wenn keine Transkription und Auswertung von Fehlfunktionen durch Menschen erfolgen.
• Sprachassistenzsysteme werden in einem undefinierten Prozentsatz von Fällen fälschlicherweise aktiviert. Sprachaufnahmen ohne Wissen oder Absicht der Benutzer stellen ein hohes Risiko für die Privatsphäre der Benutzer und anderer Personen wie Besucher und Kinder dar. Transparente Informationen über das Risiko von Fehlauslösungen sind daher eine zentrale Voraussetzung für die Verarbeitung von Audiodaten.
• Die Transkription von Sprachaufnahmen durch Menschen verstärkt die Auswirkungen auf die Persönlichkeitsrechte der Nutzer. Die Auswertung von Audioausschnitten durch Auftragnehmer oder Mitarbeiter zur Verbesserung von Sprachassistenzsystemen ohne eine zusätzliche informierte Zustimmung zu dieser Praxis verletzt die Datenschutzrechte und -freiheiten der Nutzer.
• Die Nutzer müssen darüber informiert werden, dass die Datenschutzrechte und -freiheiten anderer Personen bei der Nutzung von Sprachassistenzsystemen beeinträchtigt werden können. Dies ist besonders wichtig bei der Betrachtung der Möglichkeit, dass Sprachaufzeichnungen von Nicht-Nutzern fehlerhaft verarbeitet werden können. Der Einsatz von Technologien wie der Stimmenerkennung kann die Rechte von Nicht-Nutzern schützen, insbesondere durch die Verhinderung der Sammlung von Audioaufnahmen ihrer Stimmen.

Nicht nur Google angesprochen – auch Apple, amazon, Microsoft und facebook

Google habe bei dem Treffen zugesagt, den HmbBfDI über künftige Maßnahmen sowie über Änderungen – als Voraussetzungen für eine rechtmäßige, faire und transparente Datenverarbeitung von Sprachaufnahmen – auf dem Laufenden zu halten. „Es hat sich in unseren Gesprächen gezeigt, dass bei Google die Bereitschaft besteht, vor der Wiederaufnahme der Praxis des Transkribierens zur Verbesserung des auf ,Machine Learning‘ basierenden Sprachassistenzsystems Änderungen vorzunehmen. Dies gilt es sodann zu überprüfen. Von aufsichtsbehördlichen Maßnahmen im Dringlichkeitsverfahren wird daher vorerst abgesehen“, so Caspar. Sollte sich erweisen, dass das Transkribieren entgegen gesetzlichen Vorgaben der DSGVO wieder aufgenommen wird, könnten jederzeit Eilmaßnahmen zum Schutz der Privatsphäre der Nutzer ergriffen werden.
Im Übrigen sei darauf hinzuweisen, dass die Diskussion über den Schutz von Rechten und Freiheiten Betroffener nicht nur Google, sondern alle anderen Anbieter von Sprachanalysediensten betreffe. Global agierende Unternehmen wie Apple, amazon und Microsoft, für die der HmbBfDI keine Zuständigkeit für den Erlass dringlicher aufsichtsbehördlicher Maßnahmen habe, seien hiermit ebenfalls angesprochen, die rechtlichen Voraussetzungen zügig umzusetzen. In besonderer Weise gelte dies ebenfalls für facebook, „wo im Rahmen des ,Facebook Messenger‘ zur Verbesserung der dort angebotenen Transkribierungsfunktion eine planmäßige händische Auswertung nicht nur der Mensch-zu-Maschine-Kommunikation, sondern auch der Mensch-zu-Mensch-Kommunikation erfolgte“. Dies sei derzeit Gegenstand einer gesonderten Untersuchung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.08.2019
HmbBfDI eröffnet Verwaltungsverfahren gegen Google

datensicherheit.de, 31.07.2019
HmbBfDI: Hamburgisches Transparenzgesetz mit Licht und Schatten

[datensicherheit.de, 01.08.2019] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist aus gegebenem Anlass darauf hin, dass sich die Nutzung automatischer Sprachassistenten von Anbietern wie Google, Apple und Amazon „als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen“ erweist. Dies gelte nicht nur für die einen Sprachassistenten betreibenden Personen, „sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. ,Google Assistant‘ installiert ist.“

Auswertung akustischer Aufnahmen zur Optimierung der Spracherkennungsfähigkeit

Gestützt auf von sogenannten Whistleblowern zugespielte Mitschnitte sei in den Medien kürzlich berichtet worden, dass Google im Rahmen seines Sprachassistenten „Google Home“ akustische Aufnahmen der Nutzer von Menschen auswerten lasse, um die Spracherkennungsfähigkeit des „Google Assistant“ zu optimieren.
Bei diesen Auswertungen hörten Mitarbeiter von Google bzw. beauftragter Firmen die Sprachaufzeichnungen ab und transkribierten diese, „um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden“. Diese Praxis habe Google in seinem Blog dargestellt (s.u.).

Zum Teil sensible personenbezogene Informationen aus der Privat- und Intimsphäre

Wie sich durch den Bericht der Whistleblower gezeigt habe, ließen sich aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren sei ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung erfolgt.
Der HmbBfDI hat nach eigenen Angaben „vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen“. Damit sollen laut HmbBfDI die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener

Zwar sei nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handele es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google sei das die IDPC in Irland. Dennoch sehe die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, „falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht“.
Dies sei hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen könne nur durch einen zeitnahen Vollzug erreicht werden. Google habe im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgten. Diese Zusicherung beziehe sich auf die EU insgesamt.

Einsatz von Sprachassistenzsystemen in der EU muss DSGVO folgen

Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen. Dazu der HmbBfDI, Johannes Caspar: „Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen.“
Im Fall des „Google Assistant“ bestünden daran gegenwärtig „erhebliche Zweifel“. Die Nutzung von Sprachassistenzsystemen müsse in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist.

Datenschutzbehörden werden über endgültige Maßnahmen entscheiden

Dabei gehe es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich müsse dem Erfordernis des Schutzes von den Sprachaufnahmen betroffener Dritter hinreichend Rechnung getragen werden.
„Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind“, so Caspar.

Weitere Informationen zum Thema:

Google, David Monsees, 11.07.2019
Safety and Security / More information about our processes to safeguard speech data

datensicherheit.de, 31.07.2019
HmbBfDI: Hamburgisches Transparenzgesetz mit Licht und Schatten