Aufsatz : Alexa Skills auf dem Prüfstand der DS-GVO : aus der RDV 6/2020, Seite 289 bis 297
Die Verbreitung von Smart-Home-Komponenten in deutschen Haushalten steigt stetig.[1] Auch die gängigen Sprachassistenzdienste erfreuen sich trotz anfänglicher Skepsis zunehmender Beliebtheit. Für Unternehmen gehen mit der neuen Technik interessante Marketingansätze zur Kundenbindung einher. Der US-Konzern Amazon ermöglicht Unternehmen, sich mit eigenen Anwendungen, sogenannten Skills, an den Sprachassistenzdienst Alexa anzubinden. Unternehmen, die untereinander im Wettbewerb stehen, können sich dieser neuen Form der Kundenansprache nur schwer entziehen. Der Marketingmaßnahme stehen jedoch erhebliche datenschutzrechtliche Bedenken gegenüber. Dienste wie Alexa dringen tief in die Privat- und Intimsphäre ihrer Nutzer sowie unbeteiligter Dritter ein. Es liegt auf der Hand, dass es bei der Nutzung von Alexa zwangsläufig zu Verstößen gegen die geltenden datenschutzrechtlichen Vorschriften kommt. Der vorliegende Beitrag geht am Beispiel von Alexa Skills der Frage nach, wo die datenschutzrechtlichen Risiken bei Sprachassistenzdiensten wie Alexa liegen.
I. Einleitung
Gemäß Art. 24 Abs. 1 DS-GVO müssen Unternehmen (nachfolgend „Drittanbieter“) vor Bereitstellung ihres Skills prüfen, welche Risiken mit dessen Nutzung unter Berücksichtigung des Umfangs, der Umstände und des Zwecks einer jeden Verarbeitung für die Rechte und Freiheiten der betroffenen Personen einhergehen. Die Durchführung der Prüfung ist z.B. durch die Erstellung von Verarbeitungsverzeichnissen und Datenschutz-Folgeabschätzungen zu dokumentierten. Die Drittanbieter benötigen für die von ihnen geforderte Prüfung jedoch ausreichende Kenntnis über die Risiken, die mit dem Einsatz von Sprachassistenzdiensten wie Alexa für die betroffenen Personen einhergehen. Sie müssen das komplexe Zusammenspiel des Skills mit Alexa durchdringen und insbesondere über Zweck und Umfang aller in ihrer Verantwortung liegenden Verarbeitungsvorgänge informiert sein. Drittanbieter sehen sich hier jedoch mit einer Technik konfrontiert, die nur schwer durchschaubar ist und über deren Funktionsweise noch vieles im Dunkeln liegt. Bislang gibt es mit dem Einsatz von Systemen, die durch Zuführung immer neuer Datenströme ein selbstlernendes System bilden, kaum Erfahrungen. Es ist derzeit schwer abzuschätzen, welche Auswirkungen der Einsatz und der Ausbau KI-basierter Systeme für jeden Einzelnen und unsere Gesellschaft haben werden.[2] Hinzu kommt, dass USUnternehmen wie Amazon zum Schutz ihres Know-hows nur wenige Informationen über das System, die tatsächlichen Datenströme und ihre Verwendung(-sabsichten) zur Verfügung stellen.
Eine eingehende Prüfung durch Aufsichtsbehörden und Gerichte, ob und inwieweit Sprachassistenzdienste datenschutzrechtlichen Anforderungen genügen, ist bislang kaum erfolgt.[3] Ein Umstand, der in Anbetracht der Vielzahl gegebenenfalls nicht datenschutzkonform verarbeiteter Daten verwundert.
Nachfolgend soll am Beispiel von Alexa Skills herausgearbeitet werden, dass es für Drittanbieter aufgrund der vorgenannten Unsicherheiten mit erheblichen datenschutzrechtlichen Risiken verbunden ist, Alexa Skills anzubieten.
II. Funktionsweise des Sprachassistenzdienstes
Zum besseren Verständnis der im Beitrag angesprochenen Rechtmäßigkeitsprobleme soll im Folgenden die Funktionsweise des Sprachassistenzdienstes Alexa und dessen Zusammenspiel mit Alexa Skills skizziert werden.
1. Alexa
Bei Alexa handelt es sich um einen cloudbasierten Sprachassistenzdienst des US-Konzerns Amazon com, Inc.. Auf dem deutschen Markt wird Alexa von Amazon Europe[4] angeboten.[5] Der Funktionsumfang des Sprachassistenten reicht von der Beantwortung allgemeiner Fragen über das Abspielen von Musik bis hin zur Übernahme organisatorischer Aufgaben, z.B. die Steuerung angeschlossener Geräte, die Auslösung von Bestellungen oder die Verwaltung von Terminen. Die Nutzer von Alexa benötigen für den Einsatz eine spezielle Hardware, insbesondere mit Mikrofonen ausgestattete Lautsprecher (z.B. Alexa Echo) sowie ein Nutzerkonto. Die Beantwortung einer Nutzeranfrage läuft grob skizziert in folgenden Schritten ab: Die Aufnahmefunktion von Alexa wird mit Ausspruch des Aktivierungsworts „Alexa“ oder durch Betätigung der Aktivierungstaste gestartet. Die Sprachbefehle der Nutzer werden über die mit Mikrofonen ausgestatteten Lautsprecher aufgenommen und als AudioDateien in der Amazon-Cloud gespeichert. Die AmazonCloud ist ein Service des US-amerikanischen Unternehmens Amazon Webservices, Inc. (nachfolgend nur „AWS“).[6] Die Audio-Dateien werden in der Amazon-Cloud mittels einer speziellen Software in Transkripte, ein computerlesbares Textformat, übersetzt.[7] Diese Transkripte werden an die passenden Datenbanken und Anwendungen zur Umsetzung der Anfrage weitergeleitet und bearbeitet, je nach Anfrage durch das Rückspielen einer Antwort auf eine Frage oder das Auslösen eines Dienstes. Sowohl die Audio-Dateien als auch die Transkripte werden auf unbestimmte Zeit auf den Servern von Amazon gespeichert, es sei denn, ein Nutzer löscht die Daten. Amazon schließt nicht aus, dass AudioDateien und Transkripte auch nach Löschung durch den Nutzer auf den Speichersystemen von Alexa verbleiben.[8] Seit kurzem sollen Nutzer die Speicherung der Sprachbefehle deaktivieren können.[9]
2. Alexa Skills
Nutzer von Alexa können die Funktionen der Sprachsoftware durch die Aktivierung von Alexa Skills erweitern. Amazon stellt Drittanbietern für die Entwicklung eigener Skills ein „Skills Kit“ zur Verfügung, welches eine Sammlung von Schnittstellen, Tools, Dokumentationen und Codebeispielen für die Entwicklung der Skills vorhält. Fragt ein Nutzer den Skill eines Drittanbieters an, wird der Sprachbefehl zunächst cloudbasiert im Organisationsbereich von Amazon verarbeitet und in transkribierter Form über die gemeinsame Schnittstelle an die Server des Drittanbieters weitergeleitet. Der Drittanbieter verarbeitet die Nutzeranfrage dann mit seiner eigenen Software auf eigenen Servern und spielt die vom Nutzer angeforderte Aktion an die Amazon-Cloud zurück, wo sie, wie bereits unter Ziffer II.1. dargestellt, verarbeitet wird. Es kommt mithin zu einem Datenaustausch zwischen Amazon und dem Drittanbieter. Ausweislich der Datenschutzinformationen von Amazon werden an die Drittanbieter jedoch keine Audio-Dateien übermittelt. Die Drittanbieter erhalten die Sprachbefehle ausschließlich in transkribierter Form mit einem Zahlencode zur Nutzerkennung. Allein anhand dieses Zahlencodes soll der Drittanbieter den Nutzer nicht identifizieren können. Etwas anderes gilt dann, wenn ein Nutzer dem Drittanbieter den Zugriff auf weitere personenbezogene Daten gestattet, z.B. auf eine bei Amazon hinterlegte Anschrift.
3. Skill Metrics
Drittanbieter können über die Entwicklerplattform zudem Berichte und Auswertungen über das Verhalten ihrer Nutzer abrufen, sogenannte „Skill Metrics“. Skill Metrics wertet insbesondere die Anzahl der Nutzer eines Skills, Informationen zum Ablauf einer Nutzersession sowie Kennzahlen zum Nutzerverhalten aus, z.B. die regionale Verteilung der Nutzer.[10]
III. Information der Nutzer durch Amazon
Da die Rechtmäßigkeit von Angeboten wie Alexa maßgeblich von der ordnungsgemäßen Information der Nutzer abhängt und die Intentionen von Amazon mangels konkreter Verarbeitungsverzeichnisse aus öffentlichen Quellen gewonnen werden müssen, soll kurz auf den Informationsprozess von Amazon eingegangen werden. Amazon informiert die Nutzer über die mit Alexa einhergehenden Datenverarbeitungen unter anderem in seinen Nutzungsbedingungen[11] sowie über eine Datenschutzerklärung.[12] In der Datenschutzerklärung wird auf eine Hilfsseite mit der Überschrift „Alexa, Echo-Geräte und Ihre Privatsphäre“[13] verlinkt. Auf dieser Seite werden die Nutzer unter dem Punkt „Was passiert, wenn ich mit Alexa spreche?“ darüber informiert, dass ihre Anfragen mit den Daten ihres Amazon-Kontos verknüpft werden und dass Amazon neben den Sprachbefehlen auch Informationen über sämtliche Geräte und Dienste, die mit Alexa verbunden sind, erhebt. Unter dem Punkt „Wie verbessern meine Sprachaufnahmen Alexa?“ wird den Nutzern mitgeteilt, dass die Nutzeranfragen auch zur Verbesserung der „Systeme zur Spracherkennung“ verwendet werden. Der maschinelle Lernprozess soll teilweise von Mitarbeitern begleitet und durch Stichproben überprüft werden. Diese Praxis wurde von Datenschützern scharf kritisiert, als bekannt wurde, dass Amazon Sprachmitschnitte von Zeitarbeitern in Heimarbeit auswerten lässt.[14] Amazon reagierte hierauf, so dass Nutzer jetzt dieser Form der Auswertung in den Einstellungen ihrer Alexa-App widersprechen können. Stimmt ein Nutzer über die Verwaltungseinstellungen seiner Alexa-App zu, nutzt Amazon die Audiodateien auch zur Erstellung eines Stimmprofils. Dieses soll der Spracherkennungssoftware zukünftig ermöglichen, den Nutzer allein anhand seiner Stimme zu identifizieren. Nach Angaben von Amazon sei Alexa so entwickelt worden, dass so wenige Informationen wie möglich aufgenommen werden. Die Sprachaufnahmen starten angabegemäß erst nach Ausspruch des Aktivierungsworts „Alexa“. Verbraucherschützer beklagten in der Vergangenheit, dass Alexa die Sprachaufnahme auch bei ähnlich klingenden Wörtern, z.B. „Alexander“, startet und der Dienst somit ungefragt Einblick in die Privatsphäre der Nutzer nehme.[15]
IV. Verantwortlichkeit der Drittanbieter
Aus dem unter Ziffer II. erläuterten Zusammenspiel von Alexa und Alexa Skills wird ersichtlich, dass es bei Verarbeitung der Sprachbefehle zu komplexen Verarbeitungsprozessen kommt. Drittanbieter sind mit ihren Skills eng in das System Alexa eingebunden. Es stellt sich daher die aus Sicht der Drittanbieter essentielle Frage der datenschutzrechtlichen Verantwortlichkeit.
Da weder Amazon noch Drittanbieter für den jeweils anderen weisungsgebunden Datenverarbeitungen durchführen, ist die Annahme eines Auftragsverarbeitungsverhältnisses nach Art. 28 DS-GVO fernliegend. Amazon und Drittanbieter könnten jedoch für ausgewählte Verarbeitungsvorgänge über den jeweils eigenen Organisationsbereich hinaus gemeinsam Verantwortliche i.S.d. Art. 26 Abs. 1 DS-GVO sein. Eine gemeinsame Verantwortlichkeit könnte sich hinsichtlich Aufnahme und Verarbeitung der Sprachbefehle zur Bearbeitung der Nutzeranfrage sowie bezüglich der Analysetätigkeit für Skill Metrics ergeben. Gemäß Art. 4 Nr. 7 DS-GVO i.V.m. Art. 26 DS-GVO setzt die Annahme einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit voraus, dass ein Beteiligter gemeinsam mit einem anderen eine Entscheidung über die Zwecke und Mittel der konkreten Datenverarbeitung trifft.
Die unbestimmten Rechtsbegriffe Festlegung, Zwecke und Mittel bedürfen in erster Linie einer Auslegung anhand der bislang zu dieser Thematik ergangenen Rechtsprechung.[16] Der EuGH hat in drei wesentlichen Entscheidungen[17] die Voraussetzungen für eine gemeinsame Verantwortlichkeit geprüft. Anhand der Entscheidungskriterien der Fashion-IDEntscheidung[18] soll nachfolgend geprüft werden, ob Drittanbieter durch Anbindung ihres Skills an Alexa die Kriterien für eine gemeinsame Verantwortlichkeit erfüllen.
1. Sachverhalt und Entscheidungskriterien der Fashion ID – Entscheidung
Der Entscheidung des EuGH lag folgender Sachverhalt zugrunde: Ein Website-Betreiber hatte in seine Website ein Social Plugin, den „Gefällt-mir-Button“ eingebunden. Durch Einbindung des Social Plugins wurden von den Besuchern der Website ohne deren vorherige Information und Einwilligung personenbezogene Daten erhoben und an Facebook Ireland weitergeleitet. Der EuGH hatte über die Frage zu befinden, ob in einem Fall, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des WebsiteBesuchers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 sein kann, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann.[19] Die Entscheidung ist für das System Alexa interessant, weil sie sich der Frage widmet, ob ein Dritter auch dann für Datenverarbeitungen verantwortlich ist, wenn er diese nicht steuern kann, die er aber (mit-)veranlasst und die ihm auch wirtschaftlich nutzen.
Der EuGH stellt in den Entscheidungsgründen zunächst fest, dass eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO nicht voraussetzt, dass jeder Beteiligte gleichwertig für dieselbe Verarbeitung verantwortlich ist. Eine Datenverarbeitung könne aus mehreren Vorgängen bestehen, in deren Phasen die Beteiligten in unterschiedlichem Ausmaß eingebunden sind.[20] Für eine gemeinsame Entscheidung über die Mittel der Verarbeitung sprach aus Sicht des EuGH, dass der Website-Betreiber das Social Plugin in Kenntnis der Datenerhebung in seine Website eingebunden hat.[21] Die gemeinsame Festlegung des Zwecks der Datenverarbeitung erkannte der EuGH darin, dass Facebook Ireland und der Website-Betreiber jeweils wirtschaftliche Zwecke mit der Einbindung des Plugins verfolgten. Es komme hierbei nicht darauf an, dass die beteiligten Akteure den gleichen wirtschaftlichen Zweck anstreben.[22] Der Website-Betreiber ist aufgrund der gemeinsamen Festlegung von Zweck und Mittel der Datenverarbeitung gemeinsam mit Facebook Ireland verantwortlich, auch wenn er keinen Zugriff auf die relevanten Daten hat. Der EuGH weist in den Entscheidungsgründen jedoch einschränkend darauf hin, dass sich die Verantwortlichkeit des Website-Betreibers auf Vorgänge der Datenverarbeitung beschränke, für die er tatsächlich über die Zwecke und Mittel entscheidet. Der EuGH hatte dies für die Erhebung der in Rede stehenden Daten sowie deren Weitergabe und Übermittlung an Facebook Ireland angenommen.[23]
2. Auswirkungen der Fashion ID – Entscheidung auf Alexa
Legt man die Auslegungskriterien der Fashion ID – Entscheidung der Situation der Drittanbieter zugrunde, bestimmen die Drittanbieter mit der Anbindung der Skills an Alexa gemeinsam mit Amazon über die Mittel der Bearbeitung der Nutzeranfrage. Die Drittanbieter programmieren mit dem von Amazon zur Verfügung gestellten Skills Kit ihre Skills und binden diese bewusst in das System Alexa ein. Einer gemeinsamen Verantwortlichkeit steht nicht entgegen, dass die Drittanbieter die Aufnahme und Umwandlung der Sprachbefehle sowie die Verarbeitung der Transkripte in der Amazon-Cloud nicht beeinflussen können und in der Regel auch keinen Zugriff auf die Daten der Nutzer sowie die Audio-Dateien haben. Sowohl Amazon als auch Drittanbieter verfolgen mit ihren Angeboten wirtschaftliche Zwecke, die sich nach der zitierten Entscheidung des EuGH nicht decken müssen. Unter Zugrundelegung der Kriterien aus der FashionID-Entscheidung ist somit von einer gemeinsamen Verantwortlichkeit der Drittanbieter mit Amazon auszugehen.
Dabei werden die zukünftige Rechtsprechung und die Praxis der Aufsichtsbehörden zeigen, für welche konkreten Verarbeitungsvorgänge eine gemeinsame Verantwortlichkeit anzunehmen ist. Drittanbieter müssen infolgedessen vor Bereitstellung ihres Skills sicherstellen, dass sie die Anforderungen der DS-GVO an eine gemeinsame Verarbeitung erfüllen. Sie sind gemäß Art. 26 Abs. 1 Satz 2 DS-GVO mit Amazon zum Abschluss einer Vereinbarung zur gemeinsamen Verarbeitung verpflichtet. Ein Verstoß gegen diese Verpflichtung kann gemäß Art. 83 Abs. 4 DS-GVO gegenüber jedem Verantwortlichen mit empfindlichen Bußgeldern geahndet werden. Amazon bietet Drittanbietern bislang keine standardisierte Vereinbarung an. Dies kann sich ändern, wenn Gerichte und Aufsichtsbehörden den Dienst verstärkt in ihren Fokus nehmen. So hat Facebook Ireland den Betreibern einer Fanpage erst als Reaktion auf eine Entscheidung des EuGH[24] und den Beschluss der DSK vom 05.09.2018 eine standardisierte Vereinbarung angeboten, wenngleich diese nach Auffassung vieler Seitenbetreiber nicht den gesetzlichen Anforderungen entsprach.[25] Aufgrund der derzeitigen Untätigkeit von Amazon müssten Drittanbieter bereits wegen des Verstoßes gegen Art. 26 Abs. 1 Satz 2 DS-GVO vom Einsatz eines Alexa Skills absehen. Alternativ wäre Amazon direkt auf Abschluss einer Vereinbarung in Anspruch zu nehmen. Ein Anspruch auf Abschluss einer Vereinbarung zur gemeinsamen Verarbeitung ergibt sich unmittelbar aus Art. 26 DS-GVO.[26]
Aus der gemeinsamen Verantwortlichkeit folgt für Drittanbieter auch die Pflicht, gegenüber den betroffenen Personen die Rechtmäßigkeit der relevanten Datenverarbeitungen sicherzustellen. Soweit den Drittanbietern für die Prüfung der Rechtmäßigkeit der Verarbeitung Informationen fehlen, z.B. konkrete Verarbeitungsverzeichnisse, müssen diese bei Amazon angefragt werden. Etwaige Auskunftsansprüche können aufgrund der zwischen den gemeinsam Verantwortlichen bestehenden gesetzlichen Sonderverbindung aus einer analogen Anwendung von § 242 BGB hergeleitet werden.[27] Verstoßen die Mitverantwortlichen bei der Datenverarbeitung gegen die DS-GVO, können die Aufsichtsbehörden gegenüber jedem Verantwortlichen ein Bußgeld in beträchtlicher Höhe verhängen.
Die Prüfung der Rechtmäßigkeit der Verarbeitung ist für Drittanbieter daneben auch deshalb von erheblicher Bedeutung, weil sie den betroffenen Personen im Außenverhältnis gemäß Art. 82 Abs. 4 DS-GVO gesamtschuldnerisch mit Amazon haften.
V. Ausgewählte Probleme der Rechtmäßigkeit des Sprachassistenzdienstes
Neben der aktuell nicht rechtskonform erfolgenden gemeinsamen Verarbeitung ergeben sich aus dem Einsatz von Alexa weitere Rechtmäßigkeitsprobleme, auf die nachfolgend exemplarisch eingegangen wird. Dabei beschränkt sich die Darstellung auf die im Organisationsbereich von Amazon erfolgenden Datenverarbeitungen.
1. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Amazon führt die Sprachbefehle der registrierten Nutzer mit deren Daten aus den Nutzerkonten, etwa Name und Anschrift, zusammen. Die Informationen aus den Audio-Dateien können somit einem konkreten Nutzer im Sinne von Art. 4 Nr. 1 DS-GVO zugeordnet werden. Für die Verarbeitung personenbezogener Daten bedarf es aufgrund des datenschutzrechtlichen Verbots mit Erlaubnisvorbehalt einer wirksamen Rechtsgrundlage. Gemäß Art. 5 und 6 DS-GVO kommen hierfür z.B. die Erteilung einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit a i.V.m. Art. 7 DS-GVO sowie das Vorliegen eines Erlaubnistatbestands nach Art. 6 Abs. 1 S. 1 lit b bis f DS-GVO in Betracht. Die Erlaubnistatbestände stehen gleichwertig nebeneinander.[28] Für die Verarbeitung personenbezogener Daten einer besonderen Kategorie, z.B. Gesundheitsdaten oder biometrische Daten, ist gemäß Art. 9 DS-GVO zudem eine ausdrückliche Einwilligung zwingend erforderlich. Es soll nachfolgend auf die in Betracht kommenden Erlaubnistatbestände eingegangen werden.
a) Art. 6 Abs. 1 S. 1 lit b DS-GVO
aa) Die Verarbeitungsvorgänge zur Beantwortung einer Nutzeranfrage könnten auf Art. 6 Abs. 1 S. 1 lit b DS-GVO gestützt werden, der die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags gestattet. Amazon steht mit den Nutzern durch den Abschluss eines Nutzungsvertrags in einer vertraglichen Beziehung. Art. 6 Abs. 1 S.1 lit b DS-GVO ist jedoch nur auf Verarbeitungsvorgänge anwendbar, die zur Erfüllung des Vertragszwecks erforderlich sind und für welche keine weniger eingriffsintensiven Alternativen bestehen. Inwieweit diese Voraussetzungen erfüllt sind, kann nur anhand konkreter Verarbeitungsverzeichnisse geprüft werden. Vorbehaltlich der Ergebnisse einer Einzelfallprüfung kann Art. 6 Abs. 1 S. 1 lit b DS-GVO jedoch gegenüber volljährigen Nutzern als Erlaubnistatbestand für Verarbeitungen herangezogen werden, die zur Bearbeitung der Nutzeranfrage erforderlich sind.
bb) Alexa wird auch von Kindern genutzt. Amazon bietet z.B. sogenannte Kid Skills an, deren Aktivierung der Nutzer in der Alexa-App zustimmen muss. Es stellt sich die Frage, ob Art. 6 Abs. 1 S. 1 lit b DS-GVO auch gegenüber Minderjährigen als Erlaubnistatbestand herangezogen werden darf.[29] Da Art. 6 Abs. 1 S. 1 lit b DS-GVO tatbestandlich einen wirksamen Vertragsschluss voraussetzt, ist der Erlaubnistatbestand bei Kindern unter sieben Jahren wegen §§ 104 f. BGB nicht anwendbar. Der Abschluss des Nutzungsvertrags mit einem beschränkt Geschäftsfähigen, mithin einem Kind über 7 Jahren, bedarf gemäß § 107 BGB der Zustimmung der Sorgeberechtigten, soweit das Rechtsgeschäft nicht ausschließlich rechtlich vorteilhaft ist. Bei der Prüfung des ausschließlich rechtlichen Vorteils ist dabei allein auf die rechtlichen und nicht auf die wirtschaftlichen Wirkungen des Vertrags abzustellen.[30] Selbst wenn die Nutzung von Alexa und Alexa Skills überwiegend kostenlos ist, geht sie für die minderjährigen Nutzer mit rechtlichen Nachteilen einher. Zum einen ergeben sich aus dem Nutzungsvertrag zahlreiche Pflichten, etwa die Pflicht zum vertragsgemäßen Umgang mit der Software. Zum anderen akzeptieren die Nutzer mit Abschluss des Nutzungsvertrags die Verarbeitung ihrer personenbezogenen Daten, was einen Eingriff in das Recht auf informationelle Selbstbestimmung und somit einen rechtlichen Nachteil darstellt.[31] Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit b DS-GVO gegenüber beschränkt Geschäftsfähigen setzt daher die Zustimmung der Sorgeberechtigten zum Abschluss des Nutzungsvertrags voraus. In der Praxis dürfte das Vorliegen einer Zustimmung nur schwer prüfbar sein.
b) Art. 6 Abs. 1 S. 1 lit f DS-GVO
Der Anwendungsbereich von Art. 6 Abs. 1 S. 1 lit f DS-GVO ist weit gefasst und ermöglicht eine Datenverarbeitung auch über das vertraglich erforderliche Maß hinaus, wenn seitens der Verantwortlichen berechtigte wirtschaftliche oder ideelle Interessen vorliegen, welche nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Zur Prüfung der Voraussetzungen von Art. 6 Abs. 1 S. 1 lit f DS-GVO ist zwingend die Vorlage der einschlägigen Verarbeitungsverzeichnisse erforderlich, da bereits bei Feststellung der berechtigten Interessen auf die mit der Verarbeitung verfolgten Zwecke und die zur Zweckerreichung erforderlichen Mittel abzustellen ist. In jedem Fall stehen den Interessen von Amazon, etwa an der Fortentwicklung der Spracherkennungssoftware, die Interessen der betroffenen Personen auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation nach Art. 7 GRCh sowie hinsichtlich des Schutzes personenbezogener Daten nach 8 GRCh gegenüber. Da bei der Interessenabwägung unter anderem die Eingriffsintensität in die betroffenen Grundrechte zu beachten ist,[32] kann auf die Rechtsprechung des EuGH und des BVerfG zu vergleichbaren Sachverhalten abgestellt werden. Alexa nimmt von den betroffenen Personen über einen langen Zeitraum hinweg die private Kommunikation auf und erhält somit sehr konkrete Rückschlüsse auf die Lebensweise, die Verhältnisse und das Kommunikationsverhalten der Nutzer. Der EuGH hat in seinem Urteil vom 13.05.2014 entschieden, dass die Grundrechte auf Achtung des Privatlebens und der Schutz personenbezogener Daten erheblich beeinträchtigt werden, wenn eine Verarbeitung einer Vielzahl von Personen einen strukturierten Überblick über die betroffene Person ermöglicht, die Informationen potentiell zahlreiche Aspekte über das Privatleben der Person geben und somit ein detailliertes Profil der Person erstellt werden kann.[33] Auch das BVerfG entschied in seinem Urteil vom 27.02.2008 über die verfassungsrechtliche Zulässigkeit der Onlinedurchsuchung, dass die Erhebung umfassender Persönlichkeitsprofile einen schwerwiegenden Eingriff in das Recht auf informationelle Selbstbestimmung darstellt.[34] Gegenüber Kindern wird ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit f DS-GVO aufgrund des schwerwiegenden Grundrechtseingriffs somit von vornherein ausscheiden. Auch hinsichtlich der registrierten Nutzer dürfte es nur sehr schwer sein, eine konkrete Datenverarbeitung unter Berufung auf ein überwiegendes Interesse von Amazon auf Art. Art. 6 Abs. 1 S. 1 lit f DS-GVO zu stützen.
c) Rechtsgrundlage Einwilligung
Die Daten minderjähriger Nutzer dürfen mithin in der Regel nur verarbeitet werden, wenn die Sorgeberechtigten gemäß Art. 6 Abs. 1 S. 1 lit a DS-GVO i.V.m. Art. 7 und 8 DS-GVO in die Datenverarbeitung eingewilligt haben. Das Erfordernis einer ausdrücklichen Einwilligung besteht zudem bei der Verarbeitung besonders sensibler Daten im Sinne von Art. 9 DS-GVO, z.B. Gesundheitsdaten oder biometrische Daten. Amazon hat bereits den Einsatz einer patentierten Software angekündigt, mit deren Hilfe Alexa den Gesundheitszustand eines Nutzers erkennen kann. Alexa soll bei Bedarf gute Besserung wünschen und dem Nutzer gezielt Medikamente anbieten.[35] Hier wäre zweifellos der Anwendungsbereich von Art. 9 DS-GVO eröffnet. Gleiches trifft zu, wenn Nutzer über ihre Sprachbefehle oder die Inanspruchnahme konkreter Dienste, z.B. eine Gesundheits-App, sensible Daten offenbaren. Auch die Sprachbefehle unterfallen als biometrische Daten dem Anwendungsbereich von Art. 9 DS-GVO, soweit Amazon diese zur Identifizierung eines Nutzers erhebt. Da es technisch aktuell noch nicht möglich ist, die Sprachaufnahmen auf bestimmte Nutzer oder bestimmte Kategorien von Daten zu beschränken, kann der Einsatz der Sprachassistenten derzeit nur durch die Erteilung informierter Einwilligungen abgesichert werden.[36] Drittanbieter müssen somit sicherstellen, dass für alle in ihrem Verantwortungsbereich liegenden Datenverarbeitungen wirksame Einwilligungserklärungen der Nutzer vorliegen. Für diese Prüfung benötigen sie neben den einschlägigen Nutzungsbedingungen und Datenschutzerklärungen auch Screenshots, welche den Prozess der Einwilligungserteilung dokumentieren.
Es stellt sich in diesem Zusammenhang die Frage, inwieweit das Rechtsinstitut der Einwilligung als einzig taugliche Rechtsgrundlage zur Wahrung der Betroffenenrechte tatsächlich geeignet ist. Sprachassistenzdienste wie Alexa sind auf Komfort und Schnelligkeit angelegt. Die datenschutzrelevanten Verarbeitungsvorgänge sind komplex und können von den meisten Nutzern nicht nachvollzogen werden. Die von Amazon zur Verfügung gestellten Informationen sind so umfangreich, dass es selbst Juristen schwerfällt, diese in einem angemessenen Zeitrahmen zur Kenntnis zu nehmen. Amazon informiert die Nutzer über die Datenverarbeitung und etwaige Widerspruchsrechte an vielen unterschiedlichen Stellen, etwa in den Nutzungsbedingungen, den Datenschutzinformationen, auf diversen Hilfe-Seiten und im Bereich „Kundenservice“. Gerade die Vielzahl an Informationen und die Notwendigkeit, diese an den richtigen Stellen zusammenzuführen, dürften dem Nutzer eine transparente und präzise Information erheblich erschweren. Da die hinter Alexa stehende Technik sowie die mit den Daten verfolgten Zwecke nicht durchschaubar sind, ist fraglich, wer anhand welcher Kriterien überprüfen soll, welche Informationen Nutzern beim Einsatz von Systemen wie Alexa für eine informierte Einwilligung zur Verfügung gestellt werden müssen. Die Drittanbieter werden dies im Zweifel nicht beurteilen können. Es ist auch zweifelhaft, ob die Nutzer, die praktisch bei jeder Interaktion im Internet eine Zustimmung teilen müssen, die Informationen überhaupt noch zur Kenntnis nehmen oder in Anbetracht der Fülle täglich zu erteilender Zustimmungen bereits kapituliert haben. Trotz der vorgenannten Probleme stellt die Einwilligung nach der DS-GVO jedoch die einzige Möglichkeit dar, Angebote wie Alexa zumindest gegenüber den Nutzern zu legitimieren.
2. Sonderproblem: Verarbeitung von Daten unbeteiligter Dritter
a) Eröffnung des Anwendungsbereichs der DS-GVO
Zunächst soll der Frage nachgegangen werden, ob die Sprachaufnahmen unbeteiligter Dritter überhaupt in den sachlichen Anwendungsbereich der DS-GVO fallen.
aa) Alexa wird hauptsächlich in privaten Haushalten eingesetzt und nimmt nach Ausspruch des Aktivierungsworts „Alexa“ die Kommunikation sämtlicher im Aufstellraum befindlicher Personen auf. Der Start und die Durchführung der Aufnahme werden durch Lichteffekte kenntlich gemacht. Damit die Sprachaufnahmen eines Dritten dem Anwendungsbereich der DS-GVO unterfallen, müssen die AudioDateien Informationen enthalten, die gemäß Art. 4 Nr. 1 DS-GVO einer identifizierbaren natürlichen Person zugeordnet werden können. Ausweislich der Stellungnahme der Art. 29-DS-Gruppe im WP 136 sind Informationen über natürliche Personen: Informationen, die das Privat- und Familienleben der Person im strengen Sinn berühren, aber auch Informationen über alle Arten von Aktivitäten der Person, etwa im Zusammenhang mit Arbeitsbeziehungen oder ihrem ökonomischen oder sozialen Verhalten.[37] Die Sprachaufnahmen können solche Informationen enthalten, insbesondere dann, wenn die Aufnahme versehentlich startet und die im Raum anwesenden Personen nicht mit einem Mitschnitt ihrer Gespräche rechnen oder aber ein Besucher gar nicht weiß, dass sich ein Aufnahmegerät im Raum befindet.
Die in den Sprachaufnahmen enthaltenen Informationen müssen einer natürlichen Person zuordenbar sein. Diese Vor aussetzung wäre bereits dann erfüllt, wenn der Dritte im Gespräch durch Nennung seines Namens oder andere unmissverständliche Zuordnungskriterien, etwa ein Verwandtschaftsverhältnis zum Nutzer, identifizierbar wird. Fehlen solche Zuordnungskriterien, könnte ein Dritter zukünftig auch anhand der Stimme identifiziert werden. Da die Treffsicherheit von Stimmgutachten aktuell jedoch noch begrenzt ist,[38] kann derzeit nicht sicher davon ausgegangen werden, dass Amazon oder ein Dritter eine natürliche Person allein anhand der Stimme identifiziert.
Ausweislich Erwägungsgrund 26 der Richtlinie sind bei Beurteilung der Frage der Zuordenbarkeit bestimmter Informationen zu einer natürlichen Person jedoch alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person direkt oder indirekt zu identifizieren. Hypothetische oder eher unwahrscheinliche Mittel zur Identifizierung sind nicht zu berücksichtigen, wohl aber der beabsichtigte Zweck der Verarbeitung und die auf dem Spiel stehenden Interessen für die betroffenen Personen.
Amazon ist aufgrund des CLOUD-Acts[39] zur Herausgabe der mittels Alexa erlangten Daten an US-Strafverfolgungsbehörden verpflichtet. Die Anzahl der behördlichen Datenabfragen von US-Behörden steigt, wobei aktuell unklar ist, welche Daten im Fall einer Anfrage an die Behörden übermittelt werden.[40] In Deutschland haben die Innenminister der Länder im Juni 2019 auf der Innenministerkonferenz erörtert, inwieweit die deutschen Strafverfolgungsbehörden die Daten von Smart-Home-Geräten bei der Strafverfolgung nutzen dürfen.[41] In Anbetracht der geltenden Rechtslage ist es somit nicht unwahrscheinlich, dass Strafverfolgungsbehörden den Versuch unternehmen, auch unbeteiligte Dritte auf Basis einer Audio-Datei zu identifizieren.
bb) Amazon könnte hier jedoch einwenden, dass der Anteil der Personen, die nicht als Nutzer registriert sind und von Amazon oder durch eine behördliche Maßnahme identifiziert werden, sehr gering ist, mithin eine pauschale Eröffnung des Anwendungsbereichs der DS-GVO nicht gerechtfertigt wäre. Die Situation der unbeteiligten Dritten bei Alexa ist mit der Situation von Personen vergleichbar, die in den Aufnahmebereich eines privaten Videoüberwachungssystems gelangen. Die Art.-29-DS-Gruppe hatte hier auf den Einwand, dass nur ein geringer Anteil der aufgenommenen Personen tatsächlich identifiziert werde, im WP 136 festgestellt, dass bezüglich der Überwachungseinrichtung auf den Zweck der Verarbeitung abgestellt werden müsse. Wenn der Zweck eines Videoüberwachungssystems in der Bestimmung von Personen bestehe, sei es unerheblich, wenn eine Identifizierung nur in wenigen Ausnahmefällen erfolge.[42]
Amazon verfolgt mit den Sprachaufnahmen nicht primär den Zweck, alle von der Aufnahme umfassten Personen zu identifizieren. Ausweislich der Nutzungsbedingungen und Datenschutzinformationen sollen die Sprachbefehle nur den Nutzern zugeordnet werden. Auch wird man nicht unterstellen können, dass Amazon mit der Speicherung der AudioDateien Strafverfolgungsbehörden bei deren Ermittlungsarbeiten unterstützen möchte.[43]
Wie der Umstand, dass gegebenenfalls nur wenige unbeteiligte Dritte anhand ihrer Sprachaufnahmen identifiziert werden, von den zuständigen Aufsichtsbehörden gewertet werden wird, kann aktuell nicht abgeschätzt werden. Für eine solche Einschätzung wären vor allem detaillierte Informationen über die Anzahl der tatsächlich identifizierten unbeteiligten Dritten sowie die seitens Amazon mit den Sprachaufnahmen verfolgten Zwecke erforderlich. Es könnte zudem von Relevanz sein, welche technischen Maßnahmen Amazon unternimmt, um eine Identifizierung unbeteiligter Dritter zu verhindern. Der Wissenschaftliche Dienst des Bundestags kommt in einem Gutachten zur „Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware „Alexa“ zu dem Schluss, dass „offen bleibt, wie unbeteiligte Dritte und Minderjährige von der Datensammlung ausgeschlossen werden können.“[44] Eine nähere Prüfung der Rechtmäßigkeit der Verarbeitung dieser Daten erfolgt jedoch nicht. Für die erforderliche Rechtssicherheit könnte vorliegend eine abschließende Stellungnahme des Europäischen Datenschutzausschusses sorgen. Grundsätzlich sollte aufgrund der bestehenden Möglichkeiten einer Identifizierung jedoch davon ausgegangen werden, dass der Anwendungsbereich der DSGVO für die Verarbeitung der Daten Dritter eröffnet ist
b) Rechtsgrundlage für die Verarbeitung der Daten unbeteiligter Dritter
Für die Verarbeitung personenbezogener Daten unbeteiligter Dritter ist keine Rechtsgrundlage ersichtlich, so dass die Verarbeitung dieser Daten, soweit man die Eröffnung des Anwendungsbereichs der DS-GVO grundsätzlich bejaht, aktuell nicht rechtskonform erfolgt.
3. Datentransfer in die USA
Alexa und Alexa Skills werden auf dem europäischen Markt von Amazon Europe angeboten, deren Verbundunternehmen Konzerntöchter des US-Konzerns Amazon com, Inc. sind. Die mit Alexa verarbeiteten Daten speichert Amazon auf Servern von AWS, ebenfalls einem Tochterunternehmen des US-amerikanischen Mutterkonzerns Amazon com, Inc.. Amazon Europe gibt in seinen Nutzungsbedingungen an, dass sämtliche personenbezogene Daten an Amazon com, Inc. und alle verbundenen Unternehmen weitergegeben werden. Es besteht mithin die Möglichkeit, dass personenbezogene Daten in die USA transferiert werden. Für Drittanbieter ist dieser Umstand insofern relevant, als dass der Datentransfer in die USA nach der derzeitigen Rechtslage nur sehr eingeschränkt datenschutzkonform möglich ist.
a) CLOUD Act
Amazon und AWS unterliegen, wie bereits unter Ziffer V.2. a) aa) ausgeführt, dem CLOUD Act, der Unternehmen verpflichtet, personenbezogene Daten an US-Behörden herauszugeben, auch wenn diese Daten auf Servern außerhalb der USA gespeichert werden.[45] Die Regelungen des CLOUD-Acts stehen im Widerspruch zu Art. 48 DS-GVO, der bestimmt, dass eine Herausgabe personenbezogener Daten an die Behörde eines Landes außerhalb der Europäischen Union nur auf Grundlage einer internationalen Übereinkunft, etwa einem Rechtshilfeersuchen, herausgegeben werden dürfen. Ein zwischenstaatliches Übereinkommen mit den USA, welches einen unmittelbaren Datentransfer erlaubt, liegt aktuell nicht vor. Amazon und AWS müssten mithin bei jeder Anfrage einer US-Behörde, der kein Rechtshilfeersuchen zugrunde liegt, die Frage beantworten, ob sie den Bestimmungen der DS-GVO oder der behördlichen Anordnung nachkommen wollen. Entscheiden sich die US-Unternehmen für eine Herausgabe der Daten, könnte dies von einer Aufsichtsbehörde als Verstoß gegen die DS-GVO qualifiziert werden.
b) EU-US-Privacy-Shield-Abkommen
Ungeachtet der mit dem CLOUD-Act einhergehenden Risiken konnten Unternehmen einen Datentransfer in die USA bislang auf das zwischen der EU und den USA ausgehandelte EU-US-Privacy-Shield-Abkommen stützen. Die Angemessenheit des Abkommens wurde von der EU-Kommission mit Beschluss vom 12.7.2016 bestätigt. Der EuGH hat das EU-USPrivacy-Shield-Abkommen am 16.07.2020 jedoch für ungültig erklärt.[46] Unternehmen, die personenbezogene Daten in die USA transferieren, müssen nunmehr gemäß Art. 46 Abs. 1 DS-GVO selbst sicherstellen, dass geeignete Sicherheitsinstrumente zur Wahrung eines dem EU-Standard vergleichbaren Datenschutzniveaus vorgehalten werden und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als geeignete Garantien kommen gemäß Art. 46 Abs. 2 lit c DS-GVO die EU-Standardvertragsklauseln in Betracht. Die EU-Kommission hat noch unter Geltung der alten Rechtslage mehrere Standardvertragsklauseln für die Datenübermittlung in Drittländer erlassen.[47] Ausweislich der Entscheidung des EuGH vom 16.07.2020 behalten die EU-Standardvertragsklauseln ihre Gültigkeit und können von den Verantwortlichen weiterhin verwendet werden.[48] Der EuGH hat in seiner Entscheidung jedoch klargestellt, dass die Verantwortlichen mangels eines verbindlichen Angemessenheitsbeschlusses verpflichtet sind, die Angemessenheit des Schutzstandards im Drittland im Verhältnis zum Schutzstandard in der EU zu prüfen und gegebenenfalls als „Ausgleich für den im Drittland bestehenden Mangel an Datenschutz“ z.B. durch weitere vertragliche Vereinbarungen oder weitere Garantien für eine Angleichung des Datenschutzniveaus zu sorgen.[49] Wie die Verantwortlichen angesichts der vom EuGH festgestellten datenschutzrechtlichen Defizite in den USA, unter Umgehung der weitgehenden Befugnisse des NSA, für einen solchen Ausgleich sorgen sollen, ist derzeit nicht geklärt. Der Europäische Datenschutzausschuss forderte die EU-Kommission bereits zum Abschluss einer neuen Vereinbarung mit den USA auf.[50] Den Verantwortlichen bleibt angesichts der unsicheren Rechtslage aktuell nur, den Datentransfer in die USA gemäß Art. 49 Abs. 1 lit a DS-GVO durch die Einholung ausdrücklicher Einwilligungen abzusichern.
VI. Fazit
Der Einsatz von Alexa Skills mag unter Marketingaspekten attraktiv sein. Für Drittanbieter gehen mit der Zurverfügungstellung des Dienstes jedoch erhebliche datenschutzrechtliche Risiken einher. Drittanbietern sollte bewusst sein, dass sie gemeinsam mit Amazon auch für Verarbeitungsvorgänge verantwortlich sind, die Amazon im eigenen Organisationsbereich vornimmt. Infolge der gemeinsamen Verantwortlichkeit müssen sich Drittanbieter mit der Rechtmäßigkeit von Alexa beschäftigen. Diese Prüfung ist schwierig, weil den Drittanbietern weder eine Vereinbarung zur gemeinsamen Verarbeitung, noch konkrete Verarbeitungsverzeichnisse, etwa zur Vornahme der gebotenen Datenschutz-Folgeabschätzung, vorliegen. Die zuständigen Datenschutzbeauftragten der Drittanbieter werden wegen der erheblichen Risiken von der Verwendung eines Alexa Skills abraten. Mangels vergleichbarer Alternativen stellt dies aus Sicht der Drittanbieter jedoch keine befriedigende Lösung dar. Mehr Rechtssicherheit könnte hier die vom Bundesdatenschutzbeauftragten in Aussicht gestellte abschließende Beurteilung der Sprachassistenzdienste durch den Europäischen Datenschutzausschuss verschaffen.
Wiebke Dammann, LL.M. ist als Rechtsanwältin in den Bereichen IT-Recht und Datenschutz für die Kanzlei esb Rechtsanwälte Strewe und Partner mbB in Dresden tätig.
[1] Vgl. etwa Smart-Home-Studie der Bitkom, abrufbar unter: https://www.bitkom.org/Bitkom/Publikationen/Smart-Home-Studie-2020, zuletzt abgerufen am 14.10.2020.
[2] Die Wissenschaftler Kate Crawford und Vladan Joler geben mit einer visuellen Übersicht und einem ausführlichen Essay einen Einblick in den Lebenszyklus einer Alexa Echo-Einheit. Sie zeigen auf, dass es für den Betrieb dieses komplexen Systems des Zusammenspiels dreier Komponenten bedarf: menschliche Arbeitskraft, materielle Ressourcen und Daten. Die Studie ist abrufbar unter: https://anatomyof.ai, zuletzt abgerufen am 13.10.2020.
[3] Im Juli 2019 teilte der Bundesdatenschutzbeauftragte Prof. Dr. Kelber auf Anfrage von Abgeordneten des Bundestags mit, dass die Prüfung der datenschutzrechtlichen Zulässigkeit von Sprachassistenzdiensten auf EU-Ebene bei den zuständigen Behörden in Luxemburg, Irland, München und Hamburg noch nicht abschließend geklärt sei, vgl. Art. „Datenschutzbeauftragter will Alexa und Siri prüfen“ auf f.A.Z. net. vom 26.07.2019, abrufbar unter: https://www.faz.net/aktuell/wirtschaft/digitec/datenschutzbeauftragter-will-alexa-und-siri-pruefen-16303644.html, zuletzt abgerufen am 14.10.2020.
[4] Amazon Europe steht in diesem Beitrag für die Amazon Media S. à. r. l. und die mit Amazon Media S. à. r. l. verbundenen Unternehmen, allesamt Tochterunternehmen von Amazon com, Inc. Der Begriff „Amazon“ bezieht sich in diesem Beitrag auf den Konzernverbund.
[5] Alexa Nutzungsbedingungen, https://www.amazon.de/gp/help/customer/display.html?nodeId=201809740, zuletzt abgerufen am 12.10.2020.
[6] AWS betreibt Rechenzentren weltweit, in Deutschland z.B. in Frankfurt am Main.
[7] Amazon bietet Entwicklern unter dem Namen „Amazon Transcribe“ die Übersetzungssoftware als separaten Service an. Die Software soll mit einem „Deep-Learning-Prozess“ (Automatische Spracherkennung) Sprache schnell und präzise in Text umzuwandeln, https://aws.amazon.com/de/transcribe/?nc=sn&loc=1, zuletzt abgerufen am 12.10.2020.
[8] Auf eine Anfrage des US-Senators Chris Coons teilte Amazon im Juni 2019 mit, dass die mit Alexa verarbeiteten Daten erst nach Aufforderung der Nutzer gelöscht werden. Selbst nach Löschung der Daten könne jedoch nicht sichergestellt werden, dass die Audio-Dateien und die Transkripte auch weiterhin in den Speichersystemen von Alexa verbleiben. Antwort von Amazon abrufbar unter: https://www.coons.senate.gov/download/amazon-response, zuletzt abgerufen am 12.10.2020.
[9] Vgl. Beitrag von Daniela Windelband vom 30.09.2020: „Amazon Alexa – endlich können Nutzer die Speicherung ihrer Sprachbefehle verhindern“, abrufbar unter: https://www.datenschutz-notizen.de/amazonalexa-endlich-koennen-nutzer-die-speicherung-ihrer-sprachbefehle-verhindern-3327291/, zuletzt abgerufen am 14.10.2020.
[10] Vgl. die englischsprachige Übersichtsseite von Amazon: „View Skill Metrics“, abrufbar unter: https://developer.amazon.com/en-US/docs/alexa/devconsole/measure-skill-usage.html, zuletzt abgerufen am 14.10.2020.
[11] Nutzungsbedingungen abrufbar unter: https://www.amazon.de/gp/help/customer/display.html?nodeId=201809740, zuletzt abgerufen am 13.10.2020.
[12] Datenschutzerklärung abrufbar unter: https://www.amazon.de/gp/help/customer/display.html/ref=footer_privacy?ie=UTF8&nodeId=201909010 (zuletzt abgerufen am 12.10.2020).
[13] Hilfsseite „Alexa, Echo-Geräte und Ihre Privatsphäre“, abrufbar unter https://www.amazon.de/gp/help/customer/display.html?nodeId=GA7E98TJFEJLYSFR, zuletzt abgerufen am 12.10.2020.
[14] Vgl. Pressebericht des ZDF vom 04.08.2019, welcher auf einer Quelle der Nachrichtenagentur AFP basiert, abrufbar unter: https://www.zdf.de/nachrichten/heute/sprachassistent-von-amazon-alexa-auswertungin-heimarbeit-100.html, zuletzt abgerufen am 12.10.2020.
[15] Bericht der Verbraucherzentrale vom 20.12.2017: „Digitaler Sprachassistent: Alexa reagiert auch ungefragt“, abrufbar unter: https://www.verbraucherzentrale.de/aktuelle-meldungen/digitale-welt/digitalersprachassistent-alexa-reagiert-auch-ungefragt-21363, zuletzt aufgerufen am 13.10.2020.
[16] Daneben kann auch auf die Stellungnahme der Art. 29-DS-Gruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ zurückgegriffen werden (WP 169 vom 16. Februar 2010). Die Stellungnahme erging noch zur alten Rechtslage, hat jedoch wegen Beibehaltung der Begriffe nach wie vor Gültigkeit. Die EDSK arbeitet aktuell an einer aktualisierten Leitlinie. Der Entwurf der Leitlinie kann abgerufen werden unter: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controllerand-processor_de, zuletzt abgerufen am 14.10.2020.
[17] Es handelt sich hierbei um die Entscheidungen vom 10.07.2018 – C 25/17 (Zeugen Jehovas), vom 05.06.2018 – C-210/16 (Wirtschaftsakademie Schleswig-Holstein) und vom 29.07.2019 – C-40/17 (Fashion-ID).
[18] EuGH, Urteil vom 29.07.2019 – C-40/17.
[19] Die Entscheidung erging noch zu der vor Inkrafttreten der DS-GVO geltenden Richtlinie 95/46. Da sich an der Definition der gemeinsamen Verantwortlichkeit mit Inkrafttreten der DS-GVO nichts geändert hat, können die zur Richtlinie 95/46 ergangenen Entscheidungen auch zur Auslegung von Art. 4 Nr. 7 DS-GVO herangezogen werden.
[20] EuGH, Urteil vom 29.07.2019 – C-40/17, Rn. 72.
[21] Wie vor, Rn. 77 f.
[22] Wie vor, Rn. 80.
[23] Wie vor, Rn. 85.
[24] EuGH, Urteil vom 05.06.2018 – Az.: C-210/16
[25] Vgl. Klageschrift der Bundestagsfraktion Bündnis 90/ Die Grünen gegen Facebook Ireland Limited, abrufbar unter: https://www.gruene-bundestag.de/themen/netzpolitik/klage-gegen-facebook, zuletzt abgerufen am 13.10.2020
[26] Instruktiv hierzu: Specht-Riemenschneider/Schneider, MMR 2019, 503, 506.
[27] Wie vor.
[28] Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Rn. 10.
[29] Art. 8 DS-GVO schließt nicht aus, dass eine Datenverarbeitung auch auf andere Erlaubnistatbestände im Sinne von Art. 6 Abs. 1 DS-GVO gestützt wird, vgl. Schulz, a.a.O, Art. 8 Rn. 3
[30] Ellenberger, in: Palandt, Bürgerliches Gesetzbuch, 79. Aufl. 2020, § 107, Rn. 2
[31] Bräutigam, MMR 2012, 635, 638.
[32] Schulz, a.a.O., Art. 6 Rn. 59.
[33] EuGH, Urteil vom 13.05.2014 – C-131/12, Rn. 80.
[34] BVerfG, Urteil vom 27.02.2008 – 1 BvR 370/07 und 1 BvR 595/07, Rn. 237
[35] Amazon Watchblog.de: „„Gute Besserung“ – Alexa erkennt Gesundheitszustand und spielt passende Werbung aus“; Beitrag vom 15.10.2018, abrufbar unter: https://www.amazon-watchblog.de/technik/1510-alexa-erkennt-gesundheitszustand-spielt-passende-werbung.html, zuletzt abgerufen am 12.10.2020.
[36] Zu den Anforderungen an eine Einwilligung: Conrad, DuD 2020, 611 ff..
[37] Stellungnahme „4/2007 zum Begriff „personenbezogene Daten““ der Art. 29-DS-Gruppe, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Stellungnahmen/WP136_Opinion42007ConceptPersonalData.html, zuletzt abgerufen am 14.10.2020.
[38] Angelika Braun im Gespräch mit Monika Seynsche, Interview im Rahmen der Sendung „Forschung aktuell“ des Deutschlandfunks zum Thema „Stimm-Datenbank zur Verbrecherjagd“ vom 30.04.2019, abrufbar unter: https://www.deutschlandfunk.de/forensische-gutachten-stimmdatenbank-zur-verbrecherjagd.676.de.html?dram:article_id=447594, zuletzt abgerufen am 09.10.2020.
[39] Der Clarifying Lawful Overseas Use of Data Act, kurz „CLOUD-Act“ wurde im Frühjahr 2018 vom US Congress beschlossen und verpflichtet USUnternehmen personenbezogene Daten an Strafverfolgungsbehörden herauszugeben, auch wenn diese auf Servern außerhalb der USA gespeichert werden.
[40] Amazon Information Request Report vom 31.07.2020, abrufbar unter: https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF, zuletzt abgerufen am 10.10.2020.
[41] Den Meinungsstand der deutschen Innenminister gibt etwa der Art. „Möglicher Datenzugriff auf Smart-Home-Geräte löst Diskussionen aus“ wieder, abrufbar unter „Redaktion beck-aktuell, Nachrichten, Pressemitteilungen, Fachnews“, becklink 2013361.
[42] In der Stellungnahme „4/2007 zum Begriff „personenbezogene Daten““ der Art. 29-DS-Gruppe, Seite 19, heißt es konkret: „Da der Zweck eines Videoüberwachungssystems jedoch darin besteht, die Personen zu bestimmen, die auf den Videobildern zu sehen sind, wenn der für die Verarbeitung Verantwortliche ihre Identifizierung für notwendig hält, ist das gesamte System als Mittel zur Verarbeitung von Daten über bestimmbare Personen anzusehen, auch wenn einige aufgezeichnete Personen in der Praxis nicht bestimmbar sind.“ Abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Stellungnahmen/WP136_Opinion42007ConceptPersonalData.html, zuletzt abgerufen am 14.10.2020
[43] So teilt AWS auf seiner Homepage zum CLOUD-Act mit: „AWS ist bekannt für seine ablehnende Haltung gegenüber Behördenanfragen nach Kundeninformationen, von denen wir meinen, dass sie zu weit gefasst oder unangemessen sind.“, abrufbar unter: https://aws.amazon.com/de/compliance/cloud-act, zuletzt abgerufen am 14.10.2020.
[44] Gutachten des Wissenschaftlichen Dienst des Bundestags vom 29.05.2019, Seite 29, abrufbar unter: https://netzpolitik.org/2019/alexa-gutachten-des-bundestages-amazon-hoert-auch-kindern-undgaesten-zu, zuletzt abgerufen am 14.10.2020.
[45] Zum CLOUD-Act etwa: Spies, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, VI.2, Rn. 34.
[46] EuGH, Urteil vom 16.07.2020 – C-311/18.
[47] Etwa: Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, abrufbar unter: https://eur-lex.europa.eu/legalcontent/DE/TXT/?qid=1487056769872&uri=CELEX:32004D0915, zuletzt abgerufen am 14.10.2020.
[48] EuGH, Urteil vom 16.07.2020 – C-311/18, Rn. 128.
[49] EuGH, Urteil vom 16.07.2020 – C-311/18, Rn. 131 f..
[50] Statement des Europäischen Datenschutzausschusses vom 17.07.2020, abrufbar unter: https://edpb.europa.eu/news/news/2020/statementcourt-justice-european-union-judgment-case-c-31118-data-protection_de, zuletzt abgerufen am 14.10.2020.