 Amazon hat fremde Sprachdateien weitergegeben |
 |
|
 |
Fritz Müller 
Foren Gott
Dabei seit: 28.10.2012
Beiträge: 2.441
Herkunft: Leipzig
 |
|
| Amazon hat fremde Sprachdateien weitergegeben |
     |
Auf die Nachfrage eines Echo-Nutzers nach den von ihm gespeicherten Daten hat Amazon ihm rund 1.700 Audiodateien einer völlig fremden Person ausgehändigt. Laut dem Unternehmen handelt es sich um einen Einzelfall, der auf einem menschlichen Fehler beruht.
Amazon hat einem Kunden Sprachdateien einer anderen Person ausgehändigt. Die C't berichtet, der Nutzer habe bei Amazon um die Auskunft bezüglich der zu ihm gespeicherten Daten gebeten; nach zwei Monaten erhielt er eine ZIP-Datei, die neben 50 auf seine Person bezogene Daten auch rund 1.700
Sprachdateien enthielt.
Das Problem: der besagte Nutzer besitzt keinen Echo-Lautsprecher und hat noch nie Amazons Sprachassistenten Alexa verwendet. Sämtliche Sprachdateien stammen von einem anderen, ihm unbekannten Nutzer - Amazon hat schlicht die Dateien verwechselt.
Keine Antwort von Amazon
Auf Nachfrage soll der Nutzer, der anonym bleiben will, keine Antwort von Amazon erhalten haben. Der Download-Link zu den ihm zur Verfügung gestellten Dateien sei aber nach der Anfrage nicht mehr online gewesen. Der Nutzer hatte die Daten aber direkt gespeichert und sie vertraulich an die C't zur Analyse weitergegeben.
Die Aufnahmen sollen aus der Intimsphäre stammen - C't schreibt von Aufnahmen aus Schlafzimmer, Wohnzimmer und Bad. Die Zeitschrift konnte anhand der aus den Sprachaufzeichnungen gewonnenen Daten den Besitzer des Lautsprechers ausfindig machen. Wie sich herausstellte, hatte Amazon den Nutzer nicht über die versehentliche Weitergabe seiner Daten informiert, sondern erst, nachdem die C't ihre Anfrage gestellt hatte.
Laut Amazon soll es sich um einen bedauerlichen Einzelfall handeln, der auf einem menschlichen Fehler basiere. Ob das Unternehmen das Datenleck an die Datenschutzbehörde gemeldet hat, wollte Amazon auf Nachfrage der C't nicht beantworten. Der betroffene Echo-Nutzer bekam als Entschädigung eine kostenlose Prime-Mitgliedschaft und zwei Echo-Lautsprecher.
Quelle: golem
__________________
Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)
|
|
20.12.2018 11:59 |
|
|
 |
|
 |
|
|
|
Muad'Dib
.:.Carpe.Diem.:.
  
Dabei seit: 12.06.2007
Beiträge: 8.299
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
| RE: Amazon hat fremde Sprachdateien weitergegeben |
|
| Zitat: |
Der betroffene Echo-Nutzer bekam als Entschädigung eine kostenlose Prime-Mitgliedschaft und zwei Echo-Lautsprecher.
|
...das ist ja Sarkasmus pur. 
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
20.12.2018 15:56 |
|
|
|
|
|
|
|
|
Muad'Dib
.:.Carpe.Diem.:.
Dabei seit: 12.06.2007
Beiträge: 8.299
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
 Alexa-Sprachdateien preisgegeben: Hätte Amazon Nutzer informieren müssen? |
|
Ein Amazon-Nutzer hat Alexa-Sprachdateien eines anderes Amazon-Kunden bekommen. Was der Fall rechtlich bedeutet, erklärt ein Datenschutzexperte.
Durch einen Fehler von Amazon.de sind rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten gefallen. Ob Amazon.de die Panne innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet hat, teilt der Konzern nicht mit. Den betroffenen Echo-Nutzer kontaktierte Amazon.de erst vier Wochen nach der Panne.
Über die rechtlichen Fragen des Falls hat c't ein Interview mit dem Rechtsanwalt Carlo Piltz geführt. Der berät mittlere und große Unternehmen in Fragen des Datenschutzrechts und betreibt das Blog delegedata.de. Ein gekürzte Fassung des Gesprächs findet sich in der c't 01/19, im Folgenden nun das ungekürzte Interview:
c't: Besteht im vorliegenden Fall für Amazon.de die Pflicht, diese versehentliche Weitergabe sensibler Daten an Dritte an die zuständige Datenschutzbehörde zu melden?
Carlo Piltz: Eine Meldepflicht könnte bestehen, wenn eine sogenannte "Verletzung des Schutzes personenbezogener Daten" vorliegt und diese zusätzlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt. Die seit dem 25. Mai geltende DSGVO sieht hier strengere Anforderungen vor, als das alte Datenschutzrecht. Die Offenlegung von Tondateien an den Auskunftssuchenden, auf denen eine andere Person zu erkennen ist, dürfte eine solche Verletzung des Schutzes personenbezogener Daten darstellen. Nach der DSGVO handelt es sich dabei um eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die gespeichert wurden. Diese unbefugte Offenlegung, auch wenn sie nur unbeabsichtigt erfolgte, ist hier meines Erachtens gegeben.
Melden muss Amazon diesen Vorfall an die zuständige Aufsichtsbehörde aber nur, wenn ein Risiko für den Betroffenen (also die Person, die auf den Tondateien zu hören ist), besteht. Ein solches Risiko liegt etwa dann vor, wenn die unbefugte Offenlegung zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Beispielhaft nennt die DSGVO etwa den Verlust der Kontrolle über die eigenen personenbezogenen Daten oder die Einschränkung der eigenen Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug. Meines Erachtens wird man hier, je nach dem konkreten Inhalt der Tondateien, schon von einem Risiko für den Betroffenen ausgehen können. Gerade, wenn man sich vorstellt, dass der Inhalt der Dateien z.B. Aufnahmen aus der privaten Wohnung enthält. Der von der DSGVO erwähnte "Verlust der Kontrolle über ihre personenbezogenen Daten" ist ja hier offensichtlich eingetreten, da die auskunftssuchende Person auf einmal über eine umfangreiche Sammlung von Tondateien verfügt hat, auf denen der Betroffene zu hören war.
Amazon.de ist eine Zweigniederlassung von Amazon und sitzt in München. Welche Aufsichtsbehörde ist da eigentlich zuständig?
Die Meldung nach der DSGVO muss an die zuständige Aufsichtsbehörde erfolgen. Das könnte das Bayerische Landesamt für Datenschutzaufsicht in Ansbach sein. Bei international tätigen Unternehmen, mit mehreren Niederlassungen in der EU, gilt seit der DSGVO aber das sog. One-Stop-Shop-Prinzip. Es soll, sowohl für betroffene Personen als auch Unternehmen in der EU nur eine Aufsichtsbehörde geben, die am Ende die letzte Entscheidung treffen darf (außer sie wird in streitigen Fällen von anderen Datenschutzbehörden auf europäischer Ebene überstimmt).
Für Unternehmen bedeutet dies, dass für sie in Europa die sogenannte federführende Behörde letztentscheidend zuständig ist. Ausschließlich die Aufsichtsbehörde der Hauptniederlassung eines Unternehmens ist als federführende Behörde zuständig. Sie ist die alleinige Ansprechpartnerin für das Unternehmen und ist damit auch Adressat der Meldung.
Da die Hauptniederlassung von Amazon Europe wohl in Luxemburg liegt, könnte die dortige Aufsichtsbehörde, die Commission Nationale pour la Protection des Données, als federführende Behörde zuständig sein.
Potenziell mehrere DSGVO-Vorgaben betroffen
Amazon hat den Betroffenen über einen Monat lang nicht von der Weitergabe seiner Daten informiert. Wir vermuten, dass dies ohnehin erst geschehen ist, weil wir in dem Fall angefragt haben. Hätte Amazon.de nicht die Pflicht gehabt, den Betroffenen unverzüglich in Kenntnis zu setzen?
Sowohl gegenüber der Aufsichtsbehörde als auch gegenüber der betroffenen Person besteht grundsätzliche eine Melde- beziehungsweise Benachrichtigungspflicht, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten gekommen ist und entweder ein normales oder hohes Risiko besteht. Die DSGVO unterscheidet allerdings bei den Anforderungen an den jeweiligen Adressaten der Unterrichtung. Der Verantwortliche muss, nach der Feststellung, dass ein Risiko besteht, binnen 72 Stunden die Verletzung bei der Aufsichtsbehörde melden. Im Gegensatz dazu muss es zu einer Unterrichtung der betroffenen Person nur unverzüglich, also ohne schuldhaftes Zögern, kommen, wenn voraussichtlich ein hohes Risiko besteht.
Gesetzlich sind bei der Meldepflicht gegenüber der betroffenen Person keine strengen zeitlichen Vorgaben einzuhalten und auch die Einordnung des Risikos liegt wohl erst einmal im Ermessen des Verantwortlichen. Im Zweifel muss er seine Einordnung natürlich gegenüber einer Aufsichtsbehörde auch begründen können. Die Meldung an den Betroffenen hängt also nicht an einer fixen zeitlichen Frist. Was in der Praxis "unverzüglich" bedeutet, ist im Rahmen der DSGVO derzeit auf jeden Fall noch Auslegungssache und ist sicherlich eine Frage des Einzelfalls. Als deutsche Juristen würden wir, mit Blick auf das deutsche Zivilrecht davon ausgehen, dass "unverzüglich" ungefähr 14 Tage bedeutet. Jedoch muss man mit Blick auf die DSGVO beachten, dass es sich hier um europäisches Recht handelt und wir nicht einfach eine nationale Auslegung für europäische Rechtsbegriffe anwenden dürfen.
Zudem lässt die DSGVO auch Ausnahmen zu, die die Benachrichtigung der betroffenen Person trotz der Verletzung und trotz des hohen Risikos nicht erforderlich machen. Beispielsweise reicht es aus, wenn das hohe Risiko durch nachträgliche geeignete technische oder organisatorische Maßnahmen aller Wahrscheinlichkeit nach nicht mehr besteht. Ob dies hier der Fall ist, müsste man anhand aller Umstände des Einzelfalls beurteilen.
Was meinen Sie, ist dieses Verhalten von Amazon nach DSGVO sanktionswürdig?
Die Weitergabe von Tondateien an einen unberechtigten Dritten, kann mehrere DSGVO-Vorgaben verletzen. Zum Beispiel die Vorschriften zur Sicherstellung einer angemessenen Datensicherheit oder auch die Pflicht, Daten nur zu übermitteln, wenn hierfür eine Erlaubnis (zum Beispiel eine Einwilligung, ein Vertrag oder aber auch eine für Amazon positive Interessenabwägung) vorliegt.
Grundsätzlich kann ein solcher Verstoß ein Bußgeld nach sich ziehen. Dennoch muss die Aufsichtsbehörde zum einen ihr behördliches Ermessen ausüben, sich also fragen, ob und wenn ja, in welcher Höhe ein Bußgeld zu verhängen ist. Zum anderen muss sie Verhältnismäßigkeitsgrundsatz in ihren Maßnahmen berücksichtigen. Die DSGVO listet dafür Bewertungsmaßstäbe auf, die in jedem Einzelfall zu beachten sind. Kam es vorsätzlich oder fahrlässig zu dem Verstoß oder wie umfangreich war die Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern. Gab es bereits frühere Verstöße des Verantwortlichen? Da spielen also sehr viele Faktoren, die wir derzeit nicht alle kennen, eine Rolle.
Es ist nun Aufgabe der zuständigen Aufsichtsbehörde, den Vorfall genauer zu untersuchen. Erst in diesem Prozess lässt sich die Sanktionswürdigkeit final beurteilen und Notwendigkeit eines Bußgelds klären.
Amazon speichert per Voreinstellung alle von Alexa erfassten Sprachaufzeichnungen unbefristet in der Cloud. Der Kunde hat lediglich die Möglichkeit, diese Daten im Alexa-Portal selbst zu löschen. Begründet wird das mit der Notwendigkeit, Alexa mit den Daten anzulernen, um die Spracherkennung zu verbessern. Es gilt ja das Sparsamkeitsgebot. Wäre es nicht dringend geboten, die Voreinstellung umzukehren, um DSGVO-konform zu handeln?
Das Erfordernis von datenschutzfreundlichen Voreinstellungen (dem sog. "Privacy by Default") ist fest in der DSGVO verankert. Gemäß Art. 25 Abs. 2 DSGVO soll der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Davon erfasst ist ebenfalls die Voreinstellung über die Speicherdauer, die aber immer von dem Verarbeitungszweck abhängig ist. Privacy by Default nach der DSGVO bedeutet also nicht, per se null Daten zu verarbeiten, sondern orientiert sich immer am erforderlichen Zweck. Wenn hier der Zweck der Datenverarbeitung zur Anlernung der KI tatsächlich erforderlich ist, um auch den Dienst mit Spracherkennung so anbieten zu können, würde der Grundsatz der Datensparsamkeit diese Verarbeitung also nicht unbedingt verbieten. Es dürften nur nicht mehr Daten verarbeitet und länger gespeichert werden, als für diesen Zweck erforderlich.
Dennoch bleibt auch Amazon natürlich verpflichtet, die personenbezogenen Daten, wenn sie nicht mehr für einen festgelegten Zweck erforderlich sind, zu löschen oder zumindest zu anonymisieren. (mho)
Quelle: https://heise.de/-4257970
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
21.12.2018 19:33 |
|
|
|
|
|
|
