Daten von Alexa und Siri als Beweismittel - „Ich denke nicht, dass es um einen Lauschangriff geht“

Hören Staatsanwälte künftig bei Alexa und Siri mit? Die Innenministerkonferenz berät darüber, ob Daten von Sprachassistenten und internetfähigen Haushaltsgeräten als Beweise vor Gericht herhalten können. Ein Verfassungsbruch? Einordnungen von Rebekka Weiß, Verband Bitkom

Hör mal, wer da horcht: Hilft der Lautsprecher der Sprachassistentin „Alexa“ Ermittlern künftig bei der Arbeit? / picture alliance
Anzeige

Autoreninfo

Antje Hildebrandt hat Publizistik und Politikwissenschaften studiert. Sie ist Reporterin und Online-Redakteurin bei Cicero.

So erreichen Sie Antje Hildebrandt:

Anzeige

Rebekka Weiß ist Juristin beim Digitalverband Bitkom. Sie leitet dort die Abteilung Vertrauen & Sicherheit. Ihr Verband ist Mitglied der Initiative Smart Living, die die Interessen der Hersteller internetfähiger Haushaltsgeräte vertritt.

Frau Weiß, welches internetfähige Haushaltsgerät fällt Ihnen als erstes ein, wenn es darum geht, Informationen zu sammeln, die Strafverfolgungsbehörden bei der Aufklärung von Kapitalverbrechen oder Terrorismus helfen könnten?
Der erste Gedanke geht natürlich vor dem Hintergrund der aktuellen Debatte in Richtung Sprachassistenten wie Alexa und Siri, aber auch der „smarte Kühlschrank“ kann Daten enthalten, die für Strafverfolgungsbehörden von Interesse sind.

Ein Kühlschrank? Das müssen Sie mal erklären.
Es geht gar nicht so sehr um den Kühlschrank-Inhalt, sondern darum, zu sehen, wann Bestellungen ausgelöst werden. Das kann Rückschlüsse darauf geben, wann sich jemand im Haus befindet oder wie viele Personen sich in welchen Zyklen in welchen Häusern aufhalten. Das sind alles Informationen, die je nach Kontext interessant sein können – entweder für den Kunden, für den personalisierte Bestellungen beim Supermarkt ausgelöst werden können. Oder eben auch für Strafverfolgungsbehörden.

Wie können Ermittler solche Geräte „anzapfen“, ohne dass der Besitzer es bemerkt?
Da gibt es verschiedene Möglichkeiten. Das eine ist das so genannte Hintertürchen, eine Ausleitungsschnittstelle, auf die zurückgegriffen werden kann.

Eine Art Wanze?
Nein, das wäre noch ein Schritt weiter, dass Behörden direkt mithören könnten. Diese Ausleitungsschnittstelle ermöglicht lediglich den Zugriff auf Daten aus dem Gerät oder aus dahinterliegenden Datenbanken.

Und der andere Weg?
Das ist der Weg, den die EU angedacht hatte –  dass die Strafverfolgungsbehörden bestimmte Daten beim Anbieter abfragen können.

In Deutschland hat jeder Bürger ein Grundrecht auf Schutz der Privatsphäre. Hebeln die Innenminister dieses Recht nicht aus, wenn sie jetzt auf ihrer Konferenz beschließen, internetfähige Haushaltsgeräte und Sprachassistenten als Beweismittel vor Gericht zuzulassen?
Das ist ein Aspekt, über den jetzt diskutiert werden muss. Die Frage ist bislang noch nicht abschließend geklärt. Man darf aber nicht vergessen, dass es jetzt schon viele Zugriffsmöglichkeiten zum Zweck der Strafverfolgung gibt. Denken Sie zum Beispiel an die Abfrage von Handy-Standortdaten bei Mobilfunkanbietern durch Strafverfolgungsvehörden. Auch eine Hausdurchsuchung ist ja in bestimmten Fällen erlaubt. Die Innenminister müssen nochmal neu abwägen zwischen dem Recht auf Privatsphäre und den Sicherheitsinteressen der Behörden.

Die Opposition hat erhebliche Bedenken. Der parlamentarische Geschäftsführer der FDP, Marco Buschmann, spricht von einem „Lauschangriff  4.0“. Teilen Sie die Befürchtung?
Das ist eine sehr griffige Formulierung, die vielleicht auch einer gesellschaftlichen Stimmung entspricht. Ich denke aber, dass es den Innenministern im Kern nicht darum geht, ohne Anlass in alle Haushalte hineinzuhören, sondern darum, den Strafverfolgern neue Zugriffsmöglichkeiten zu eröffnen. Und zwar wie bisher auch schon mit entsprechenden Sicherungsmaßnahmen wie dem richterlichen Vorbehalt. Das heißt, die Polizei kann nicht einfach alles tun, was technisch möglich ist. Sie bedarf der Zustimmung eines Richters.

Ihr Digitalverband Bitkom ist Mitglied in der Initiative Smart Living. Die will internetfähige Haushaltsgeräte bewerben. Wie kann sie Vertrauen in solche Produkte wecken, wenn die Käufer damit rechnen müssen, dass diese Geräte gegen sie verwendet werden können?
Vertrauen ist ein wichtiges Stichwort. Vertrauen kann es nur geben, wenn der Nutzer sich darauf verlassen kann das Gefühl hat, das Gerät hat keine Hintertüren, und sich darauf verlassen kann. Wo eine Ende-zu-Ende-Verschlüsselung drauf steht, ist auch eine drin. Es sollte aber jedem bewusst sein, dass die  Daten unter bestimmten Voraussetzungen von Dritten ausgewertet werden können. Und das sind eben nicht die verschlüsselten Gesprächsinhalte, sondern so genannte Metadaten. Also wer hat wann mit wem kommuniziert.

Die Verschlüsselungen können doch auch von Betrügern gehackt werden.
Grundsätzlich ist die Ende-zu-Ende-Verschlüsselung sicher, wenn sie richtig implementiert wurde. Aber wenn eine Software Fehler hat oder wenn die Anbieter für Strafverfolgungsbehörden Hintertüren einbauen müssen, dann können die auch von Kriminellen missbraucht werden. Mit potenziell desaströsen Folgen für die IT-Sicherheit.

Wie oft kommt das vor?
Das muss nicht immer das Ergebnis der Arbeit von Hackern sein. Es können auch Datenpannen passieren oder Softwarefehler auftreten, die dazu führen, dass sich Dritte Zugriff auf Daten verschaffen können, die plötzlich frei verfügbar und für Dritte einsehbar sind.

Rebekka Weiß / privat

Fällt Ihnen dazu ein Beispiel ein?
Es gab schon ein paar Fälle, die von den Datenschutzbehörden verfolgt wurden. Relativ bekannt war der Fall „Knuddels“. Ein Datenleck in der Chat-Community hatte dazu geführt, dass plötzlich 1,8 Millionen Account-Daten im Internet veröffentlicht wurden. Als das bekannt wurde, wurden die Nutzer sehr schnell von den Datenschutzbehörden aufgeklärt und gebeten, ihre Passwörter zu ändern. So etwas kann und darf aber natürlich nicht passieren. IT-Sicherheit ist immer ein Katz-und-Maus-Spiel.

Der US-Konzern Amazon wertet die Daten seiner Sprachassistentin „Alexa“ schon heute aus, ohne den Verbraucher darüber explizit in den Nutzungsbedingungen aufzuklären.  
Gemäß der Datenschutzgrundverordnung hat der Anbieter die Pflicht, die Verbraucher über solche Nutzungen aufzuklären. Das gilt auch für Anbieter aus dem EU-Ausland.

Offenbar nicht. Auf eine Anfrage der rheinland-pfälzischen Verbraucherschutz-Ministerin Anne Spiegel (Grüne) erklärte der Innenstaatssekretär im Bundesinnenministerium, Günter Krings (CDU), Käufer eines Alexa-Lautsprechers müssten damit rechnen, dass die Bereitschaft zur Nutzung cloudbasierter  Sprachassistenten „das Ergebnis einer individuellen Risiko-Abschätzung des Nutzers“ sei. In anderen Worten: Selbst Schuld, wer sich so ein Gerät kauft.  
Der Staat kann die Verantwortung nicht einfach auf den Verbraucher abwälzen. Wo personenbezogene Daten verarbeitet werden, gilt die Datenschutzgrundverordnung. Letztlich obliegt die Aufsicht den Datenschutzbehörden. Der Datenschutz ist europaweit harmonisiert. Das ermöglicht es uns, auch gegen Anbieter im Ausland vorzugehen.  
 
In den USA heißt es, die Daten der Sprachassistenten würden bei Bedarf Geheimdiensten zu Verfügung gestellt werden. Man werte sie sonst nur aus, um die Spracherkennung zu trainieren. Wie glaubwürdig ist diese Erklärung?
Darüber kann ich mir kein Urteil erlauben. Bei Sprachassistenten ist es aber tatsächlich wichtig, dass sie aus nicht erkannte Fragen lernen oder sich an die Sprache gewöhnen, um die Stimme desjenigen zu erkennen, der sich das Gerät in den Haushalt stellt. Das ist ja auch im Interesse des Nutzers.

Aber dem Konzern muss es doch in erster Linie um Daten gehen, aus denen er sich ein Profil des Kunden basteln kann, um ihn künftig noch zielsicherer mit Werbung umgarnen zu können.
Dass solche Daten für den Anbieter interessant sind, liegt auf der Hand. Je besser er den Kunden kennt, desto personalisiertere Dienstleistungen und Produkte kann er ihm anbieten. Das sind ja gerade die Dinge, die sich Nutzer von persönlichen Sprachassistenten wünschen. Aber auch darüber muss der Kunde belehrt werden. Genau im Hinblick auf neue digitale Anwendungen wurde ja die Datenschutzgrundverordnung erlassen. Sie soll den Nutzer befähigen, eine souveräne Entscheidung für einen Anbieter zu treffen. Die Entscheidung basiert auch darauf, was der Anbieter mit den Daten macht.

Diese Verordnung ist  erst vor einem Jahr in Kraft getreten. Hakt die Umsetzung noch?
Ja, den Eindruck habe ich – insbesondere, weil es noch so viele Rechtsunsicherheiten gibt. Viele Unternehmer sind noch immer mit der Umsetzung der neuen Regelungen beschäftigt, und auch die Nutzer müssen sich erst noch an den neuen Rechtsrahmen gewöhnen. Sie können ihre Rechte in Beuzg auf ihre Daten geltend machen und sollten sich darüber auch informieren. Im Zweifelsfall bleibt ihnen der Weg zur Aufsichtsbehörde.

Anzeige