Endlich mehr Datenschutz – so versprachen es zumindest Politikerinnen und Politiker, als im Mai 2018 die Umsetzungsfrist der europäischen Datenschutz-Grundverordnung (DSGVO) ablief. Surft man im Netz, soll man seine Daten nun nicht nur besser schützen können, nein, man soll sogar ein wenig Hoheit über sie zurückerlangen. Möchte man etwa wissen, welche Informationen eine Website über einen gespeichert hat, müssen die Betreiber sie einem senden, auf Nachfrage auch löschen. Wenigstens die EU-Bürger sollen durch die DSGVO endlich wieder Herr über ihre eigenen Daten werden.

Die Regelung soll vor allem Unternehmen zähmen, die viele Daten sammeln – und das sind insbesondere die großen US-Tech-Firmen wie etwa Facebook, Google, Netflix und Amazon. Diese sollen Informationen über ihre Nutzerinnen und Nutzer nicht mehr einfach ohne deren Wissen horten können. EU-Bürger sollen auf Nachfrage auch von den amerikanischen Unternehmen ein Datenpaket in allen Einzelheiten erhalten: welche Links sie angeklickt, welche Produkte sie gekauft, welche Videos sie sich angeguckt, welche Gespräche sie mit ihrem smarten Lautsprecher geführt haben.

Bei einem dieser großen Konzerne, Amazon, ist es nun im Rahmen einer solchen Selbstauskunft zu einem ernsten Datenschutz-Fauxpas gekommen. Das berichtet das Tech-Magazin c’t in seiner aktuellen Ausgabe. Als ein Nutzer seine eigenen Informationen abfragte, erhielt er einen Downloadlink zu einer 100 Megabyte großen Datei. Darin fand er seine eigenen Daten – aber auch Tonaufnahmen von Gesprächen mit der intelligenten Amazon-Assistentin Alexa. Die Sache war nur die: Der Anfragende hatte Alexa nicht genutzt. Es waren die Daten eines anderen, der ebenfalls Kunde von Amazon war.

Der Fremde ist namentlich identifizierbar

Aus den 1.700 Audiodateien und einem PDF-Dokument gehen nach Angaben der c’t intime Informationen hervor: dass der andere Amazon-Kunde den Sprachdienst offenbar zu Hause und unterwegs nutzt, dass er mit den öffentlichen Verkehrsmitteln fährt, dass manchmal eine Frau bei ihm zu Besuch ist. Selbst die Anfragen, die der Nutzer bei Spotify stellt, hat Amazon festgehalten. Alles Dinge, die eigentlich niemanden etwas angehen sollten außer der Person selbst.

Nun ist es nicht neu, dass Amazon Daten speichert. Das Unternehmen weist auf seiner Website sogar explizit darauf hin, dass jedes Gespräch mit dem Lautsprecher Echo respektive dessen Stimme Alexa aufgezeichnet und in die Cloud gesendet wird, sobald das Codewort fällt. Dort steht auch, dass diese Informationen mit dem Amazon-Konto verknüpft und möglicherweise zu Werbezwecken verwendet werden (Amazon spricht natürlich lieber davon, dass sich Alexa den "persönlichen Vorlieben" anpasse).

Allerdings verdeutlicht die c’t-Recherche wieder einmal die Tragweite dieser Sammelwut. Man könnte aus den Daten mutmaßlich ableiten, wo die betroffene Person wohnt, wo sie arbeitet, welche Musik sie hört, wann sie aufsteht, wann (und vielleicht sogar wie oft) sie duschen geht. Weil auch mehrmals Vornamen und einmal ein Nachname in den aufgezeichneten Gesprächen fielen, konnte die c’t-Redaktion den Kunden schließlich namentlich identifizieren.

Amazon spricht von einem "isolierten Einzelfall"

Für Amazon ist das mindestens peinlich. Schließlich wiederholt das Unternehmen seit Jahren mantraartig die Aussage, es gebe keine Daten weiter. Damit meint es zwar den potenziellen Verkauf von Informationen an Werbekunden. Doch der aktuelle Fall lässt generell Zweifel daran zu, wie sicher Daten bei Amazon überhaupt sind. In Deutschland jedenfalls ist das ein großes Thema. Jeder dritte Befragte sorgt sich einer Umfrage des deutschen Bundesverbands Digitale Wirtschaft zufolge, dass die mit Smart Speakern aufgezeichneten Daten missbraucht werden könnten oder dass man abgehört werde.

Manch einem wird möglicherweise erst durch diesen Fall bewusst werden, wie viele Informationen ein paar Fragen an Alexa eigentlich über einen selbst verraten. Und wie fahrlässig Amazon mit diesen Daten offenbar umgeht. Wären sie in andere Händen gelangt, hätte das der betroffenen Person schließlich auch schaden können. All das ist auch deshalb möglich, weil Amazon die Daten unbefristet auf den eigenen Servern belässt. Nutzerinnen und Nutzer können sie zwar händisch löschen, müssen aber auch erst einmal überhaupt wissen, dass sie diese Option haben.

Das Unbehagen ist nicht neu

Datenschützerinnen und Datenschützer jedenfalls dürften angesichts des Vorfalls eine gewisse Genugtuung empfinden. Die Bundesdatenschutzbeauftragte Andrea Voßhoff sagte schon 2016 vor dem Verkaufsstart des Echo in Deutschland, dass intelligente Sprachassistenten bedenklich seien, weil nicht transparent sei, wie die Daten genutzt und gespeichert würden. Der Verein Digitalcourage vergab im April den Big-Brother-Award an Alexa, weil die Assistentin überall mitlausche.

Amazon selbst spricht in einer Stellungnahme gegenüber ZEIT ONLINE von einer unglücklichen Angelegenheit, die Folge eines menschlichen Fehlers gewesen sei. Es handele sich um einen "isolierten Einzelfall". Man habe "Maßnahmen zur weiteren Verbesserung unserer Prozesse" ergriffen. Was das genau heißt, erklärte die Firma auf Nachfrage zunächst nicht.

Tatsächlich verbirgt sich hinter dem Fall aber noch eine größere Dimension: Amazon ist ein großer Konzern, dem man bei aller Kritik unterstellen darf, dass er sich um datenschutzgetreue Selbstauskünfte bemüht – allein schon aus Eigeninteresse, schließlich drohen bei Verstößen hohe Strafen. Wenn aber nicht einmal ein avanciertes und großes Tech-Unternehmen wie Amazon Fehler beim Erteilen einer solchen Datenauskunft ausschließen kann, stellt sich die Frage: Wie sieht es dann erst bei kleineren, weniger im Fokus der Öffentlichkeit stehenden Firmen aus?