Siri, Alexa und das KI-Dilemma
Dass nun auch Facebook — nach Amazon, Google, Microsoft und Apple — eingeräumt hat, Sprachkommunikation mitzuschneiden und auszuwerten, offenbart ein grundlegendes Dilemma: Die Verfügbarkeit möglichst großen Mengen (nicht unbedingt personenbezogener) Daten ist eine zentrale Bedingung für die technische Optimierung von IT–Systemen und für die Weiterentwicklung von Geschäftsmodellen. Damit wird aber unsere schon arg strapazierte Privatsphäre weiter eingeschränkt.
Im Hinblick auf die Sprachsteuerung sollen die Systeme die Nutzer möglichst genau verstehen. Dass Aufnahmen, die bei der Kommunikation mit digitalen Sprachassistentinnen anfallen, dafür ausgewertet werden, erscheint auf den ersten Blick plausibel. Befremdlich ist es angesichts der großen Worte über „maschinelles Lernen“ allerdings, dass die Konversationen mit Siri, Alexa und ihren Freundinnen offensichtlich von Menschen ausgewertet werden und nicht von Maschinen. Weniger verwunderlich ist, dass dabei „Crowdworker“ zum Einsatz kommen, die ihre Arbeit irgendwo auf der Welt, vermutlich zu erbärmlichen Löhnen, am heimischen Küchentisch erledigen.
Alles anonym?
Die IT-Giganten versichern, dass es Ihnen lediglich um die technische Optimierung geht und nicht um das individuelle Ausforschen von Lebensumständen. Sie sagen auch, dass den mit der Auswertung befassten Personen nicht mitgeteilt werde, von welcher Nutzerin oder von welchem Benutzer eine Sprachaufnahme stammt. Dies bedeutet jedoch nicht, dass damit kein Personenbezug gegeben ist. Zum einen kann das Unternehmen, zumindest während der Aufzeichnung, möglicherweise jedoch auch später, jede einzelne digitale Sprachaufnahme einem Account bzw. Gerät zuordnen, samt Uhrzeit und Standort. Zudem enthalten die Sprachaufnahmen vielfach selbst Inhalte, die eine persönliche Zuordnung ermöglichen, etwa wenn ich die Sprachassistentin bitte, eine bestimmte Person anzurufen oder einen Eintrag in meinem Kalender vorzunehmen.
Wenn in einer solchen Konstellation Arztgespräche oder Bettgeflüster mitgeschnitten und ausgewertet werden, erscheint dies vielen Nutzerinnen und Nutzern zurecht unerträglich. Auch datenschutzrechtlich ist dies keine Bagatelle, denn eine Rechtsgrundlage für eine solche Praxis ist nicht zu erkennen. Dass die Aufzeichnungen für die Vorbereitung und Abwicklung von Vertragsverhältnissen erforderlich wären (Art. 6 Abs. 1 lit. b DSGVO), wird keiner ernsthaft behaupten. Zwar mag die Systemoptimierung im berechtigten Interesse des Unternehmens liegen. Es dürfte die Daten nur verarbeiten, wenn keine überwiegenden „Interessen, Grundrechte und Grundfreiheiten“ der betroffenen Personen entgegenstehen (Art. 6 Abs. 1 lit. f). Genau das ist aber der Fall — nicht nur in das Grundrecht auf Datenschutz wird eingegriffen, sondern auch in das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG).
In ähnlich gelagerten Fällen lassen sich Unternehmen gerne eine Einwilligung der Betroffenen (Art. 6 Abs. 1 lit. a) geben. Aber auch dieser vermeintliche Passpartout passt hier nicht. Zum einen stellt sich die grundlegende Frage, wer überhaupt die betroffene Person ist. Dies gilt etwa für den Fall, dass der Eigentümer eines lauschenden Lautsprechers oder Fernsehers diese Gerätschaften nicht alleine nutzt. Die Vorstellung, dass eine Vielzahl — nicht einmal namentlich bekannter Personen — gegenüber Amazon darin einwilligen, dass das Lautsprechersystem Echo mithört und die dabei aufgezeichneten Sprachdateien gespeichert und später ausgewertet werden, erscheint mir ziemlich abwegig.
Asymmetrische Transparenz
Sprachassistenz-Systeme, die stets mithören und die jederzeit bereit stehen, beliebige Geräusche aufzuzeichnen, sind für die Betroffenen weitgehend intransparent. Wenn ich einen Raum betrete oder in ein Auto einsteige, kann ich im Regelfall nicht erkennen, ob dort ein Sprachassistent aktiv ist. Der totalen Transparenz des Nutzers für den Betreiber eines Systems steht die weitgehende Intransparenz für die Betroffenen gegenüber.
Auch dieser Mangel an Transparenz ist datenschutzrechtlich relevant (Art. 12, 13 DSGVO): Die verantwortliche Stelle hat die betroffenen Personen nicht nur über die Tatsache der Datenerfassung aufzuklären, sondern auch über den Zweck und die Rechtsgrundlage der Verarbeitung, und sie hat den Namen und die Kontaktdaten des Verantwortlichen zu nennen. Schließlich muss sie ggf. auch über die Datenübermittlung in einem Drittstaat außerhalb der EU informieren. Dabei hat die Information in „präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen.
Theoretisch könnte man jeden Eigentümer eines mit Sprachassistenten ausgestatteten Systems dazu verpflichten, sämtliche Personen, die in den Aufnahmebereich gelangen könnten, vorab zu informieren und sie um eine Einwilligung zu bitten. Ziemlich aufwendig – zumal die Eigentümer ggf. die genaue Funktion ihres Systems selbst nicht verstehen. Oder sollte eine Hinweispflicht eingeführt werden, wie wir sie schon bei der Videoüberwachung haben? Dann müssten wir uns daran gewöhnen, dass an der Wohnzimmer- oder Schlafzimmertür ein Schild hängt, das uns warnt: „Achtung! Dieser Raum wird akustisch überwacht“. Ich kann mir schwerlich vorstellen, dass dies funktioniert.
Lösungen?
Angesichts dieser Gemengelage ist es schwierig, akzeptable Lösungen zu finden. Dass sich die großen IT-Unternehmen inzwischen – allerdings erst nach der Aufdeckung der entsprechenden Praktiken und dem darauf folgenden öffentlichen Aufschrei – dazu bereit erklärt haben, auf die „manuelle“ Auswertung von Sprachaufnahmen zu verzichten, ist nicht mehr als ein erster notwendiger Schritt.
Wir müssen viel intensiver darüber diskutieren, wie die neuen technischen Möglichkeiten unser Leben verändern, und wie die damit einhergehenden Risiken eingehegt werden können. Wenn die Chefs der genannten Unternehmen sich inzwischen zum Prinzip „Privacy by Design“ bekennen, ist nicht mehr als ein Lippenbekenntnis, wenn sie weiterhin Produkte auf den Markt bringen, die dieser Maxime diametral widersprechen.
Bei der Umsetzung und Weiterentwicklung des Datenschutzrechts müssen systemische Lösungen stärker in den Vordergrund rücken. Zwar bleibt die Einwilligung ein wichtiges Instrument, um die Grundrechte auf informationelle Selbstbestimmung und Datenschutz zu gewährleisten. Aber wir dürfen dabei nicht stehen bleiben: Angesichts der zunehmenden technischen Komplexität verringert sich die Chance für die Betroffenen, die Reichweite einer Einwilligung auch nur zu verstehen. Von der Freiwilligkeit ganz zu schweigen: Erfolgt eine Einwilligung wirklich aus freien Stücken, wenn ich nur die Wahl habe, entweder in die vom Unternehmen in seinem Interesse formulierten Bedingungen vollständig einzuwilligen oder auf die Nutzung eines Dienst bzw. eines Geräts gänzlich zu verzichten.
Das Recht muss auf diese Herausforderung antworten. Wir brauchen klarere Regeln darüber, wie Technik zu gestalten und einzusetzen ist und darüber, was unterbleiben muss. Die DSGVO ist eben nur eine „Grundverordnung“ – sie muss ergänzt werden durch spezifischeres Datenschutzrecht, auch in Bezug auf maschinelles Lernen und künstliche Intelligenz. Dies wäre im Interesse der Betroffen gleichermaßen wie der Wirtschaft, die ebenfalls von klaren Vorgaben profitieren würde. Wie schwierig dieser Weg ist, zeigt sich an dem ungewissen Schicksal der „ePrivacy“-Richtlinie, die im EU-Rat festhängt.