Hamburg. Google ließ Sprachassistenzsystem Google Home intern abhören und auswerten. Johannes Caspar sieht „Gefahr im Verzuge“.

Hamburgs Beauftragter für Datenschutz und Informationsfreiheit, Johannes Caspar, hat eine systematische Verletzung der Privatsphäre von Google-Nutzern ausgemacht und ein Verwaltungsverfahren gegen das Unternehmen eingeleitet. Im Visier sind die Sprachassistenzsysteme, die der Multi abgehört hat. Das Unternehmen hat laut Caspar bereits reagiert und die beanstandete Praxis erst einmal ausgesetzt.

Whistleblower hatten Medien Mitschnitte von „Google-Home“-Texten zugespielt, die das Unternehmen von Mitarbeitern auswerten ließ, um die Funktionsweise des Sprachassistenzsysteme zu optimieren. Die Mitarbeiter sollen anhand der akustischen Aufzeichnungen feststellen, ob der Assistent die Äußerungen der google-Kunden richtig versteht oder Fehler dabei macht.

Maschine soll besser verstehen lernen

Damit aber sind neben der Maschine noch sogenannte Dritte in die vermeintlichen Dialoge des Nutzers mit seinem Gerät involviert. Außerdem sind viele der aufgezeichneten Äußerungen auf eine fehlerhafte, sprich: vom Kunden ungewollte Aktivierung des Sprachassistenten zurückzuführen. Die Äußerungen sollten also schon das „Ohr der Maschine“ nicht erreichen, geschweige denn das Ohr menschlicher Entwickler, die die Computer linguistisch optimieren wollen.

Caspar: „Die Nutzung von Sprachassistenzsystemen muss in transparenter Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist.“ Auch müssten Nutzer, die von Sprachaufnahmen betroffen sind, hinreichend geschützt werden. „Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Dabei geht es um die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Dann werden die Datenschutzbehörden über Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb sicherstellen.“

Nutzer sollen wissen, was los ist

Ein Grundproblem dabei: Nach der neuen Datenschutzgrundverordnung (DSGVO) ist für datenschutzrechtliche Anordnungen in der EU immer die federführende Aufsichtsbehörde zuständig. Sie sitzt jeweils in dem Mitgliedstaat, in dem sich die Hauptniederlassung des fraglichen Unternehmens befindet. Für Google ist das die Irish Data Protection Commission (IDPC) in Irland. Allerdings kann Caspar auch ohne die Iren etwas tun, wenn „Gefahr im Verzuge“ ist.

Denn die DSGVO erlaubt bei dringendem Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener, dass Datenschutzbehörden in anderen Mitgliedstaaten für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet treffen. Den dringenden Handlungsbedarf sah Caspar gegeben, da „ein effektiver Schutz vor dem Abhören privater Gespräche nur durch einen zeitnahen Vollzug“ von Schutzmaßnahmen erreicht werden könne.

Datenschützer sehen auch apple und amazon in der Pflicht

Google zeigte denn auch ein Einsehen und setzte seine Abhörpraxis vom ersten August an aus. Es würden für „mindestens drei Monate“ in der gesamten EU keine Transskriptionen von Sprachaufnahmen mehr vorgenommen, hieß es. Wenn die irische Aufsichtsbehörde aber in den drei Monaten keine Anordnungen erlässt, ist das Eingriffsrecht der Hamburger verbraucht, hieß es auf Nachfrage aus dem Senat.

Caspar regte an, jetzt auch Apple und Amazon zu überprüfen und die Sprachassistenzsysteme gegebenenfalls an die Erfordernisse des Datenschutzes anpassen zu lassen.