Sprachassistenten: Die wichtigsten Regeln zum Datenschutz

Bei der Nutzung von Sprachassistenten sind verschiedene datenschutzrechtliche Beschränkungen zu beachten. "Der Einsatz solcher Systeme ist in datenschutzkonformer Weise möglich; das Datenschutzrecht stellt aber Gestaltungsanforderungen, die zu beachten sind", erklärt Dr. Flemming Moos, Fachanwalt für IT-Recht.
Smart Speaker sind im Alltag vieler Nutzer angekommen. (© Imago)

Die Steuerung per Sprache (Voice) kommt heute schon vielfältig zum Einsatz, etwa im Smart Home oder unterwegs: per Sprachassistenten werden Geräte im Haushalt gesteuert, aber auch der Bordcomputer und die Navigation im Auto. Längst haben auch Markenhersteller, Händler und andere Dienstleister das Potential der neuen Technik für sich entdeckt. Die Vision der Anbieter ist, dass künftig nur mit dem Einsatz der Stimme problemlos Waren gekauft und nach Hause bestellt, Versicherungen papierlos abgeschlossen oder Bankgeschäfte erledigt werden können.

Welche datenschutzrechtlichen Beschränkungen es beim Gebrauch von Sprachassistenten gibt, erläutert Dr. Flemming Moos, Fachanwalt für Informationstechnologierecht bei der internationalen Kanzlei Osborne Clarke:

  • Es sollte sichergestellt sein, dass der Nutzungsvertrag mit dem Kunden auch die Sprachassistenzfunktionalität explizit abbildet. Im Zweifelsfall müssten die Nutzer einen neuen Nutzungsvertrag mit dem Betreiber abschließen, bevor sie das Sprachassistenz-System nutzen können. Nur dann ist gewährleistet, dass die mit der Sprachassistenzfunktion einhergehende Verarbeitung personenbezogener Daten auf diesen Nutzungsvertrag gestützt werden kann.
  • Die datenschutzrechtliche Verantwortlichkeit muss analysiert und festgelegt werden. Im Regelfall werden hier Spracherkennungssysteme der Anbieter der entsprechenden Betriebssysteme Einsatz finden (zum Beispiel Amazon oder Google). Eventuell besteht auch eine gemeinsame Verantwortlichkeit – in jedem Fall müssten im Einklang mit der DSGVO entsprechende Verträge mit dem System-Anbieter zur rechtskonformen Gestaltung der Zusammenarbeit bei der Datenverarbeitung geschlossen werden.
  • Sofern eine Speicherung der Sprachbefehle erfolgt (einschließlich etwaiger Speicherungen auf der Infrastruktur des Betreibers), sollte streng darauf geachtet werden, die entsprechenden Dateien im besten Fall unmittelbar nach der Umwandlung von Sprache-zu-Text beziehungsweise Text-zu-Sprache oder jedenfalls schnellstmöglich zu löschen.
  • Dagegen dürfte es grundsätzlich in den Verantwortungsbereich des Kunden fallen, sein Endgerät so einzustellen beziehungsweise zu positionieren, dass  Dritten von seinen Spracheingaben keine Kenntnis nehmen können und durch die Aufnahmefunktion keine (unbeteiligten) Dritten aufgezeichnet werden.

Aus Art. 25 Abs. 2 DSGVO (Datenschutz durch datenschutzfreundliche Voreinstellungen) ergibt sich aber eine Pflicht des Anbieters, „geeignete technische und organisatorische Maßnahmen [zu treffen], die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Im Zusammenhang mit Sprachassistenzsystemen verlangt der Bundesbeauftragte für Datenschutz und Informationsfreiheit, dass der integrierte Sprachassistent im Smartphone nicht, wie derzeit regelmäßig der Fall, bei der erstmaligen Anwendung einer Smartphone-App ohne Zutun des Nutzers aktiviert werden sollte; zum Beispiel eine entsprechende Wahlmöglichkeit der Kunden würde diese Anforderungen erfüllen.

  • Schließlich bedarf es einer transparenten Information der Nutzer, i.d.R. durch die Zurverfügungstellung entsprechender Datenschutzhinweise und möglichst einem Warnhinweis zu den inhärenten Risiken der Nutzung der Sprachassistenz-Funktionalität (zum Beispiel in dem er zur Wahrung einer angemessenen Diskretion angehalten wird).
  • Vorsicht ist geboten bei einer Auswertung der Inhalte der Sprachbefehle. Je nach Zwecksetzung einer solchen Auswertung kann diese unzulässig sein. Weil hier in der Praxis häufig „künstliche Intelligenz“ genutzt wird, um die Spracherkennung laufend zu verbessern, sind derartige Analysen verbreitet. Sofern technisch möglich, bietet es sich an, die Inhalte möglichst nur in anonymisierter Form, mithin ohne Zuordnung zum Namen oder anderen Identifikatoren der Nutzer auszuwerten.

Dr. Flemming Moos ist Partner und Fachanwalt für IT-Recht bei der Kanzlei Osborne Clarke

Mehr zum Thema Sprachassistenten im Marketing finden Sie in der aktuellen Print-Ausgabe 11/2019 der absatzwirtschaft. Ein kostenloses Probeabo können Sie hier bestellen.