EU-Datenschützer erstellen ein Regelwerk für Sprach-Assistenten. Wie soll ein möglicher missbräuchlicher Eingriff in die Privatsphäre unterbunden werden?
Die Praktiken der großen Internet-Konzerne um Google, Facebook und Amazon stehen immer wieder in der Kritik. Erst kürzlich landete der Fall Facebook gegen das Bundeskartellamt vor dem Europäischen Gerichtshof.
Das BKA sieht den Datenhunger des sozialen Netzwerks und die Koppelung von Kundenkonten unterschiedlicher Dienste wie Facebook und Oculus als wettbewerbsgefährdend an. Deutsche Gerichte scheinen derzeit aber nicht in der Lage zu sein, die Situation abschließend zu beurteilen. Zu kompliziert ist das digitale Geflecht an Datenströmen.
Gehörschutz für Abhörassistenten?
Auch die Sprach-Assistenten von Google und Amazon werden gerne beschuldigt, kleine Abhörgeräte zu sein. Beide Unternehmen stellen den Schutz der Privatsphäre der eigenen Kunden deshalb immer wieder in den Vordergrund.
Sowohl Google mit seinem Nest Hub 2 (Infos) als auch Amazons Smart Speaker um Echo 4 (Test) zeichnen zwar Interaktionen zwischen Mensch und Sprach-KI auf. Über Privatsphäre-Portale können Nutzer die Protokolle aber jederzeit abhören, Transkripte lesen und sämtliche Dialoge dauerhaft löschen.
So versprechen es zumindest die Hersteller. Tatsächlich sind die Aufzeichnungen nicht nur wichtig, um neue Verkaufspotenziale bei Kunden zu entdecken: Sprach-KIs werden durch maschinelles Lernen verbessert und anhand von gespeicherten Interaktionen betreiben ihre Ingenieure Fehleranalysen. Stellt niemand fest, dass Alexa (Guide) auf den Sprachbefehl „Alexa, schalte den Fernseher ein“ tatsächlich das smarte Thermostat auf Anschlag setzt, wird der Fehler auch nicht behoben.
Die Frage ist nun, wie viele Aufnahmen sind zur technischen Weiterentwicklung nötig und was davon dient anderen kommerziellen Zwecken?
Die Europäische Datenbehörde (EDBP) will mit einer ersten Auflage seiner „Guidline on Virtual Voice Assistants“ ein Regelwerk für das digitale Gehör von Sprach-Assistenten schaffen.
Warum werden Sprach-Assistenten reguliert?
Die Richtlinien sollen unter anderem die Frage klären, wie Sprach-Assistenten unter Einhaltung der Europäischen Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation reguliert werden können. Beide Vorschriften haben allerdings wenig Einfluss auf die zugrundeliegende Sprachtechnologie.
Deshalb definieren die neuen Regelungen auch, was ein Virtual Voice Assistant überhaupt ist, welche technischen Voraussetzungen er mitbringt und wie die Funktionsweise aussieht. Mit der steigenden Popularität der Sprach-Assistenten mehren sich auch die Fragen zum Umgang mit rechtlichen oder zivilrechtlichen Fragen. Diese Lücken sollen die neuen Richtlinien schließen.
Alexa, Finger weg von meinen Streaming-Diensten
In diesem ersten Entwurf schlagen die Datenschützer beispielsweise vor, Sprach-Assistenten nicht mit anderen Diensten wie Videostreaming oder E-Mail zu verbinden. Diese Praktiken würden laut Ansicht des EDPB die Verwendung langwieriger und komplexer Datenschutzrichtlinien erfordern, die nicht mit dem Transparenzprinzip der DSGVO übereinstimmen würden.
Durch die Verbindung verschiedener Dienste über einen smarten Assistenten müssten Anbieter also komplizierte Datenschutzrichtlinien zur Verfügung stellen, die für Kunden schlicht nicht mehr nachvollziehbar seien. Zudem müssten Nutzer laufend darüber aufgeklärt werden, welche Daten während der Nutzung der Dienste erhoben werden.
Gerade Amazon dürfte bei diesen Vorschriften auf die Barrikaden steigen: Die Sprachassistentin Alexa ist seit Jahren fester Bestandteil des eigenen Fire-Ökosystems. Über die Sprach-KI lässt sich der hauseigene Streaming-Dienst Amazon Prime Video auf Smart-TVs, Fire-TV-Sticks und Smart-Displays wie dem kommenden Echo Show 10 steuern. Auch Google und Apple verbinden ihre Assistenten mit den eigenen Videodiensten.
Versehentliches Sammeln von Daten soll eingeschränkt werden
Die bereits angesprochenen Privatsphäre-Portale von Amazon oder Google sind nach Ansicht der Verfasser ebenfalls problematisch. Dort werden personenbezogene Daten so lange aufbewahrt, bis Nutzer ihre Löschung verlangen. Das sei nicht im Einklang mit dem Grundsatz der Speicherbegrenzung.
Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie es deren Verarbeitung erfordert. Eine regelmäßige Prüfung der Daten müsse bestimmen, ob die jeweiligen Aufzeichnungen überhaupt zur Verarbeitung benötigt werden.
Versehentlich erhobene Daten seien umgehend zu löschen. Sprach-Assistenten reagieren auf bestimmte Signalwörter wie „Alexa“ oder „Hey Google“. Erst danach beginnen sie mit der Aufzeichnung der Interaktion. Es kann aber vorkommen, dass das KI-System durch ähnlich klingende Laute aktiviert wird und die Aufnahme startet, obwohl dies nicht gewünscht war. Entsprechende Aufzeichnungen waren in der Vergangenheit Grund für Kritik, da Nutzer so ungewollt Details über sich und andere Menschen im Raum preisgeben können bis hin zu Adressedaten.
Auch hier sollen die Anbieter wieder aktiv werden und Nutzer regelmäßig über solche Aufnahmen informieren, anstatt die Aufzeichnungen nur passiv zur Verfügung zu stellen. Die Datenschutzbehörde schlägt vor, das versehentliche Sammeln von Daten mit zusätzlichen technischen Maßnahmen einzudämmen. Rauschfilter könnten beispielsweise sämtliche Geräusche mit Ausnahme der Signalwörter unterdrücken.
Die Richtlinien der EDPB stehen der Öffentlichkeit in einer vorläufigen Fassung noch bis zum 23. April zur Verfügung. Feedback, Anregungen und Vorschläge sind ausdrücklich erwünscht und können über die Website der EDPB abgegeben werden. Bis zu einer endgültigen Fassung dürften noch einige Änderungen vorgenommen werden.
Es ist vorstellbar, dass Anbieter wie Amazon und Google einer Regulierung in diesem Maße nicht ohne weiteres zustimmen werden. Gerade das Verbinden unterschiedlicher Dienste ist für den Funktionsumfang der Assistenten ein wichtiger Bestandteil. Wer würde schon einen Smart Speaker kaufen, der keine Musikwiedergabe über einen Streaming-Dienst unterstützt?
Titelbild: Amazon, Quelle: EDPB