Laut einem Bericht des Magazins c’t hat Amazon einen datenschutzrechtlich relevanten Fehler gemacht und rund 1.700 Sprachaufzeichnungen von Alexa an die falsche Person verschickt. Ein Amazon-Kunde, der nach der Datenschutzgrundverordnung (DSGVO) von Amazon eine Selbstauskunft über persönliche Daten, die der Konzern über ihn speichert, anfragte, erhielt als Antwort die Sprachaufzeichnungen anderer Personen. Besonders kurios wird der Vorfall dadurch, dass der Anfragesteller und Empfänger der Aufzeichnungen selbst kein Alexa-Gerät besitzt.
Das Archiv, das dem Amazon.de-Kunden bereitgestellt wurde, enthielt knapp 50 Daten, die wirklich Informationen zum Anfragesteller enthalten. Wie die zusätzliche WAV-Dateien mit den Sprachaufzeichnungen und eine PDF-Daten mit Transkripten in das Archiv gelangt sind hat der Konzern bisher noch nicht erklärt. Ebenfalls problematisch ist auch, dass Amazon für das Bearbeiten der Selbstauskunft etwa zwei Monate benötigt hat, obwohl die DSGVO eine maximale Bearbeitungszeit von 30 Tagen vorsieht. Der Konzern hat damit in zwei Punkten gegen die Datenschutzgrundverordnung verstoßen.
Das Amazon versucht den Vorfall „unter den Teppich zu kehren“ zeigt auch die Reaktion des Konzerns auf eine Nachfrage des Kunden mit der er erfahren wollte wieso die Aufzeichnungen an ihn übermittelt wurden. Anstatt auf die E-Mail zu antworten hat Amazon lediglich den Download-Link gelöscht. Da der Kunde die Datei jedoch bereits gesichert hatte, kann sich Amazon so nicht mehr der Verantwortung entziehen.
Aufzeichnung aus Schlafzimmer und Co.
Die Aufzeichnungen wurden in einer privaten Wohnung getätigt. Es ist klar herauszuhören, dass sie ihm Bad, Wohnzimmer und Schlafzimmer aufgenommen wurden. Die Redakteure von c’t haben es geschafft den eigentlichen Besitzer ausfindig zu machen, in dem sie anhand von Wettervorhersagen und genannten Namen den Kreis der möglichen Personen eingegrenzt hat.
Ebenfalls kritisch ist, dass Amazon den eigentlichen Besitzer der Aufnahmen nicht informiert hat, obwohl der Konzern von dem Vorfall bereits wusste und dazu laut der DSGVO verpflichtet wäre. Informiert wurde der betroffene Nutzer daher erst durch die Redakteure von c’t. Amazon kontaktierte den betroffenen Nutzer erst vier Wochen nachdem der Vorfall bekannt war. Als Entschädigung erhielt er eine kostenlose Prime-Mitgliedschaft sowie zwei kostenlose Echo-Lautsprecher.
Auf Nachfrage von c’t wollte Amazon sich nicht dazu äußern ob der Vorfall innerhalb von 72 Stunden an die Datenschutzbehörden gemeldet wurde, wie es laut der DSGVO ebenfalls Pflicht ist. Wenn man sich ansieht wie der Konzern mit dem Vorfall umgegangen ist, ist dies mit hoher Wahrscheinlichkeit jedoch ebenfalls nicht passiert.
Gegenüber c’t hat Amazon.de inzwischen den Vorfall bestätigt. Der Konzern spricht von einem „unglücklichen Fall“ der „Folge eines menschlichen Fehlers“ sei. Außerdem erklärte der Konzern, dass Maßnahmen getroffen wurden, um solche Vorfälle in Zukunft zu vermeiden.
Ob die zuständige Datenschutzbehörde aufgrund des Vorfalls aktiv wird ist noch offen. Die maximalen Strafen die gegen einen Konzern aufgrund von Datenschutzverstößen verhangen werden können sind laut der DSGVO bis zu 10.000.000 Euro oder 2 Prozent des weltweit erzielten Jahresumsatzes.
