Nun ist Amazon genau das passiert, was Datenschützer immer befürchteten. Nach Recherchen von c't gelangten bei Amazon.de höchst private Sprachaufzeichnungen von Echo-Geräten an fremde Personen. Ob es sich dabei um einen Einzelfall handelt, ist bislang offen.

Ein Amazon.de-Kunde hatte die deutsche Niederlassung des Konzerns um Auskunft der zu ihm gespeicherten Daten nach DSGVO gebeten. Amazon stellte ihm zwei Monate später ein ZIP-Archiv bereit. Rund 50 der darin enthaltenen Dateien enthielten auf seine Person bezogene Daten. Allerdings fand er auch rund 1700 WAV-Dateien sowie eine PDF-Datei vor, die offensichtlich chronologisch unsortierte Transskripte darüber enthielt, was Amazons Sprachassistent Alexa aus Spracheingaben verstanden hat.

Das Problem: Der Kunde hat noch nie Alexa genutzt. Er teilte Amazon.de mit, dass die ZIP-Datei offensichtlich Alexa-Sprachaufzeichnungen eines ihm fremden Amazon-Kontos enthielt und bat um Auskunft dazu. Eine Antwort auf diese Mail erhielt er nie, allerdings führte kurze Zeit später der Download-Link ins Leere. Der Kunde hatte die Dateien vorher gesichert und gab sie vertraulich an c't weiter.

Intimsphäre verletzt

Die Sprachaufzeichnungen stammen hörbar aus der Intimsphäre fremder Personen, beispielsweise aus Wohnzimmer, Schlafzimmer und Bad. Anhand des Inhalts der Aufzeichnungen, etwa der Nennung von Namen und Abfragen lokaler Wettervorhersagen, konnte c’t den Echo-Besitzer identifizieren. Dieser fiel aus allen Wolken, denn Amazon hatte ihn nicht über das Datenleck informiert, obwohl man dort bereits davon wusste.

Dass Amazon.de Kundendaten falsch zugeordnet hat und dies nicht aufgefallen ist, deutet auf mangelhafte Prüfmechanismen im Auskunftsverfahren hin. Eine Vier-Augen-Kontrolle dürfte wohl kaum stattgefunden haben.

"Menschlicher Fehler"

Ob Amazon.de die Panne innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet hat, wie es in solchen Fällen Pflicht ist, wollte der Konzern auf Anfrage von c't hin nicht beantworten. Der "unglückliche Fall" sei "die Folge eines menschlichen Fehlers" gewesen, teilte er knapp mit. Und: Wir haben Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen."

Den betroffenen Echo-Nutzer kontaktierte Amazon.de erst vier Wochen nach der Panne, kurz nach der Anfrage von c't. Er erhielt nach eigenem Bekunden als Entschädigung eine kostenlose Prime-Mitgliedschaft sowie – zwei weitere Echo-Lautsprecher.

[Update 20.12.2018, 11:20 Uhr]

Amazon hat uns am heutigen Donnerstag eine erweiterte Stellungnahme zu dem Fall zukommen lassen. Das Unternehmen betonte, dass es sich um einen "isolierten Einzelfall" handelt und man Kontakt mit den zuständigen Behörden aufgenommen habe. Im Wortlaut: "Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall. Wir haben das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen. Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden."

Weitere Details und Hintergrundinformationen im Artikel aus c't 1/2019:

See also the English version of this news article:

(hob)