Amazon: Großes Alexa Datenleck

Echo Sprachaufnahmen wurden veröffentlicht

1.700 Sprachaufzeichnungen und PDF-Dateien wurden an einen fremden Nutzer gesendet! DSGVO-Verstoß?

Datenleck bei Amazon Alexa – ist das ein Verstoß gegen die DSGVO?

Amazon Echo Datenleck

Alexa bzw. Amazon Echo wird nach wie vor zwiegespalten gehandhabt. Die einen lieben den Sprachassistenten, die anderen fühlen sich dadurch ihrer Privatsphäre verletzt und vermeiden den Echo tunlichst. Die Verkaufszahlen des Echos boomen und die beliebten Amazon Alexa Skills wachsen. Zudem beruhigt Amazon dessen Kunden und potentielle Neukunden, mit dem Versprechen, dass Sprachaufzeichnungen, die mittels Alexa vorgenommen werden, nicht an dritte weitergegeben werden.

Aufzeichnungen werden lediglich von Amazon selbst analysiert, um die Funktionen von Alexa zu verbessern. Selbst dabei werden die Informationen in ein Sammeldokument an dessen Entwickler weitergegeben, ohne dass eine Zuordnung einer Einzelperson möglich ist. Auskunft über Personenbezogene Sprachaufnahmen erhält laut Amazon und dessen Datenschutzerklärung nur der betreffende Nutzer persönlich.

Sprachaufzeichnungen an Falschen Kunden weitergegeben

Das Magazin c’t veröffentlichte nun einen Verstoß der DSGVO seitens Amazons. Dabei handelt es sich um insgesamt 1.700 WAV-Dateien und PDF-Dokumente welche Sprachaufzeichnungen von Alexa eines Kunden beinhalteten. Diese wurden an einen falschen Kunden gesendet.
Die Ironie dabei ist, dass ein Kunde sein Recht laut DSGVO einforderte und Auskunft über dessen Sprachaufzeichnungen von Amazon verlangte. Der Schritt von Amazon, dem Kunden die Sprachaufzeichnungen zukommen zu lassen, war noch korrekt.
Doch, laut Amazon, habe der Amazon Mitarbeiter einen falschen Filter gesetzt und so dem Kunden nicht nur dessen sondern ebenso die Aufzeichnungen eines anderen Kunden gesendet.

Wenn dies so passierte, ist es menschliches Versagen und ebenso nachvollziehbar. Doch hätte Amazon den betroffenen Kunden informieren müssen, dass dieser Irrtum passierte und ebenso die Datenschutzbehörde. Obwohl der Kunde Amazon sofort informierte, wurde jedoch diese Information ignoriert. Dieses Verhalten ist nicht akzeptabel.

Der Kunde informierte das Computermagazin c’t über den Vorfall und versendete dem Magazin die erhaltene ZIP-Datei. c’t konnte aufgrund der Aufzeichnungen tatsächlich den rechtmäßigen Besitzer der Aufzeichnungen eruieren. Als das Magazin den Kunden kontaktierte wurde bekannt, dass keine Information Seitens Amazon erfolgt ist.

Amazon verstoß gegen die DSGVO

Amazon wäre verpflichtet gewesen, den fälschlichen Datenversand dem betroffenen Nutzer zu melden. Dies ist jedoch nicht passiert. Die Redaktion des Magazins c’t kontaktierte Amazon. Erst dann kontaktierte der Konzern den betreffenden Kunden.
Als Entschädigung erhielt der Kunde eine Entschuldigung inklusiver kostenloser Prime-Mitgliedschaft und zwei weiteren Alexas.
Fraglich bleibt weiterhin, ob der Vorfall rechtzeitig die Datenschutzbehörde gemeldet wurde. Laut DSGVO ist ein Unternehmen verpflichtet einen Datenschutzverstoß innerhalb 72 Stunden der Datenschutzbehörde zu melden.

Amazon meldete dem Magazin, dass es sich bei dem Vorfall um ein menschliches Versagen handelt und dies ein Einzelfall ist. Doch wurde kein weiteres Statement zur fristgerechten Meldung des Verstoßes gegeben. Daher kann die Frage nicht beantwortet werden, ob die Datenschutzbehörde zeitgerecht informiert wurde.

Fazit zu Amazon’s Alexa Datenleck

Wir sind selbst in der online Branche tätig, haben uns ausführlich mit der DSGVO beschäftigt und wissen deshalb, wie leicht ein Fehler unterlaufen kann. Dafür haben wir auch Verständnis. Doch ist dieses ausgeschöpft, wenn bei einem Fehler keine weiteren notwendigen Maßnahmen ergriffen werden.
In dem Fall Amazon schadet sich mehr mittels nicht handeln als mit der Bekanntgabe des Fehlers an die entsprechenden Behörden und dem Betroffenen. Das Vertrauen in das Unternehmen bezüglich Datenschutzes ist deshalb weiter angekratzt bzw. sicher bei einigen potentiellen Kunden nun ganz weg.

Natürlich kann ebenso das Ignorieren der Information des Kunden über die falsche Zusendung von Daten, aus menschlichem Versagen herrühren. Sprich, ein Amazon Mitarbeiter erhält diese Nachricht und schenkt dieser keine weitere Beachtung. Doch ebenso dies ist nicht entschuldbar. Gerade mit der DSGVO neu sollten alle Mitarbeiter mit Zugriff auf personenbezogenen Daten bezüglich Datenschutzes sensibilisiert sein. Ebenso der gesamte Prozess mit dem richtigen Umgang der Daten sollte abgebildet sein.

Sie haben Fragen zur Alexa, zu Sprachaufzeichungen, zur DSGVO oder dem Umgang mit personenbezogenen Daten?

Ähnliche Beiträge