20. Dezember 2018, 14:48 Uhr Sprachsoftware Alexa Amazon verschickt intime Sprachdateien an Wildfremden

Intime Sprachaufnahmen von Amazons Assistent Alexa sind einem Bericht des Computermagazins c't zufolge in unbefugte Hände geraten.

zufolge in unbefugte Hände geraten. Amazon nennt das einen "isolierten Einzelfall" und verweist drauf, bereits wirksam reagiert zu haben.

Von Mirjam Hauck

Was weiß Amazon dank seiner "smarten" Sprachsoftware Alexa alles über seine Nutzer und wie geht der Konzern mit den vielen aufgezeichneten Sprachdateien um? Wie das Computermagazin c't in seiner neuesten Ausgabe aufdeckt, hat der US-Konzern Tondateien aus Bad und Schlafzimmer eines Nutzers aufgezeichnet und an eine fremde Person geschickt. Das sei ein Versehen, sagt Amazon.

Die c't schreibt, ein Nutzer habe nach der neuen EU-Datenschutz-Grundverordnung (DSGVO) eine Selbstauskunft bei Amazon angefordert. Zwei Monate nach der Anfrage Anfang August habe er diese auch erhalten und zwar in Form eines Download-Links zu einer 100 MB großen Zip-Datei. In dem Datensatz befanden sich allerdings nicht nur seine getrackten Suchverläufe, sondern auch rund 1700 WAV-Dateien, also Sprach-Aufnahmen, und ein PDF mit Abschriften, was von diesen Sprachdateien Alexa offenbar verstanden hatte. Allerdings hatte der Nutzer nach eigenen Angaben überhaupt kein Alexa-fähiges Gerät zu Hause.

Befehle an Dusch-Thermostat und Wecker aufgezeichnet

Auf eine Nachricht an Amazon, dass er da offenbar Sprachnachrichten eines fremden Nutzers bekommen habe, bekam der Nutzer keine Antwort. Der Downloadlink zur Selbstauskunft funktionierte allerdings kurze Zeit später nicht mehr. Daraufhin wandte sich der Nutzer, der die Daten gespeichert hatte, an die Redakteure der c't. Diesen gelang es, den Alexa-Nutzer ausfindig zu machen, dessen Sprachnachrichten Amazon dem Unbefugten geschickt hatte.

Die Software hatte zum Beispiel Befehle an Dusch-Thermostat und Wecker sowie Fahrplanabfragen aufgezeichnet und mit diesen auch Orte, Vornamen und in einem Fall einen Nachnamen. Die Redaktion kontaktierte daraufhin den Betroffenen. "Er schluckte hörbar, als wir ihm berichteten, welche seiner höchst privaten Daten Amazon.de an einen Fremden weitergereicht hatte", schreibt das Magazin.

Die c't konfrontierte Amazon mit dem Fall, allerdings ohne zu erwähnen, dass die Betroffenen identifiziert und kontaktiert worden seien. Das Magazin wollte wissen, ob Amazon die Panne den Betroffenen und den Datenschutzbehörden gemeldet habe, wie es Pflicht wäre. Auf die Fragen ging Amazon nicht ein, das Unternehmen berief sich auf einen "menschlichen Fehler" und beteuerte, das Problem mit beiden Kunden geklärt zu haben. Man sei dabei, die entsprechenden Prozesse zu verbessern. Beide Betroffenen bekamen drei Tage nach der c't-Anfrage einen Anruf von Amazon-Mitarbeitern: Zu der Panne sei es gekommen, weil beide ungefähr zur selben Zeit eine DSGVO-Abfrage gestellt hätten.

Amazon speichert Daten, um seine KI zu trainieren

Tatsächlich erklärt Amazon in seinem Datenschutz-FAQ, dass die Sprachaufzeichnungen nicht zeitnah gelöscht, gepeichert werden, um Amazons künstliche Intelligenz kontinuierlich zu verbessern. Der Kunde könne die Aufzeichnungen jedoch überprüfen und einzeln oder auf einmal löschen. Allerdings ist die Frage, wer diese Option unter amazon.de/alexaprivacy kennt und nutzt.

Zudem bleibt die Frage offen, ob diese Datenpanne tatsächlich einmalig war und ob die Datenschutzbehörden nun Sanktionen gegen Amazon ergreifen. Denn Unternehmen sind gesetzlich verpflichtet, Datenpannen innerhalb von 72 Stunden einer Aufsichtsbehörde zu melden. Bei einer Verletzung dieser Vorgaben können die Datenschutzbehörden ein Bußgeld verhängen. Nach den Regeln der DSGVO kann es bis zu vier Prozent des Jahresumsatzes des Unternehmens betragen. Bei einem Jahresumsatz von 177,9 Milliarden US-Dollar im Jahr 2017 wäre das wohl eine Milliardensumme.