Schwere Datenpanne: Amazon gibt sensible Alexa-Sprachaufzeichnungen an falschen Kunden heraus

Diese Nachricht dürfte Wasser auf die Mühlen von Datenschützern sein: Ein Amazon.de-Kunde hatte nach Recherchen des Computermagazins „c’t“ die deutsche Niederlassung des US-Konzerns um Auskunft der zu ihm gespeicherten Daten nach der Datenschutzgrundverordnung (DSGVO) gebeten. Nach zwei Monaten Wartezeit stellte ihm das Unternehmen eine ZIP-Datei zur Verfügung. Rund 50 der darin enthaltenen Dateien enthielten auf seine Person bezogene Daten. Allerdings fand er in dem Archiv auch etwa 1.700 Aufzeichnungen von Alexa-Spracheingaben als WAV-Dateien und ein PDF-File, das offensichtlich chronologisch unsortierte Transkripte darüber enthielt, was Amazons Sprachassistent aus den Eingaben tatsächlich verstanden hatte. Das Problem: Der Kunde hatte Alexa noch nie genutzt und besaß auch kein entsprechendes Endgerät.

„c’t“: Amazon hatte betroffenen Kunden nicht informiert

INFO-BOX: Alexa-Sprachaufnahmen verwalten
Kunden können die von Alexa bei Amazon gespeicherten Sprachaufnahmen anhören und selbst löschen. Klicken Sie dazu einfach auf „mehr dazu“ und loggen Sie sich bei ihrem Amazon-Konto ein. Anschließend gehen Sie auf „Alexa-Datenschutz“ und klicken „Sprachaufnahmen-Verlauf überprüfen“. Bitte beachten Sie, dass mit dem Löschen der Sprachaufzeichnungen auch die dazugehörigen Karten auf dem Startbildschirm der Alexa App gelöscht werden.
mehr dazu

Nach Angaben von „c’t“ benachrichtigte der Kunde daraufhin Amazon, erhielt jedoch keine Antwort. Lediglich die zur Verfügung gestellte Datei wurde vom Server gelöscht. Das Computermagazin bestätigte, dass es sich bei den Aufnahmen um die eines fremden Amazon-Kunden aus privaten Bereichen wie dem Schlafzimmer und Bad handelt. Anhand des Inhalts der Aufzeichnungen gelang es den Redakteuren, den geschädigten Kunden herauszufinden. Es stellte sich heraus, dass dieser von Amazon nicht über die Panne informiert worden war.

Auf Anfrage des Portals „heise.de“ sagte Amazon zu dem Vorfall, dass es sich um menschliches Versagen und einen Einzelfall gehandelt habe. Man habe das Problem mit den beteiligten Kunden geklärt und die zuständigen Behörden informiert. Nach der DSGVO müssen Konzerne innerhalb von 72 Stunden Datenpannen an eine Datenschutzbehörde melden. Andernfalls können die Aufsichtsbehörden empfindliche Bußgelder verhängen (bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres).

Gegenüber der „c’t“ erklärte Amazon den Fehler mit der Tatsache, dass der geschädigte Kunde etwa zur selben Zeit ebenfalls seine Daten angefordert habe. Dadurch sei es zu einer „teilweise falschen Zuordnung der Daten durch einen Mitarbeiter“ gekommen. Rund vier Wochen nach Bekanntwerden der Datenpanne habe das Unternehmen den betroffenen Kunden kontaktiert und diesem eine kostenlose Prime-Mitgliedschaft sowie einen Echo Dot und einen Echo Spot angeboten. Amazon speichert Alexa-Sprachdaten unbegrenzt auf seinen Servern, um dadurch nach eigenen Angaben den Assistenten selbst sowie das Nutzererlebnis zu verbessern. Kunden können diese Daten jedoch jederzeit einsehen und auch selbst löschen. Eine Anleitung dazu finden Sie in unserer Info-Box.

Alexa-Chef Limp: Viele Genehmigungen für Abfrage von Daten nötig

In einem Interview mit dem „Stern“ hatte Alexa-Chef David Limp kürzlich noch erklärt, dass eine versehentliche Weitergabe fremder Datensätze so gut wie unmöglich sei, da es nur „sehr wenige Leute“ gebe, die an die auf Amazon-Servern verschlüsselt gespeicherten Anfragen herankämen. „Es geht, aber sehr eingeschränkt, man muss jede Menge Genehmigungen einholen“, so Limp gegenüber dem Magazin. Üblicherweise würden die Daten nur nach Rücksprache mit dem entsprechenden Kunden, beispielsweise bei Service-Anfragen, abgerufen. Aber auch staatliche Behörden könnten die gespeicherten Audio-Files mit einer richterlichen Anordnung anfordern.