Amazon-Skandal: Alexa-Daten wurden an den falschen Kunden gegeben

Wer die Sprachassistentin Alexa nutzt, dessen Daten werden von Amazon gespeichert. Der Konzern verspricht, dass die Informationen sicher sind. Jetzt kam raus: Amazon gab gespeicherte Alexa-Daten an einen Unbefugten.

Ein Amazon-Kunde kam an aufgezeichnete Sprachdaten von Sprachassistentin Alexa, die ihn nicht betrafen. Das berichtet das Computer-Magazin "c't", dem Informationen zu dem Fall vorliegen.

Laut "c't" forderte der Kunde von Amazon seine gespeicherten Daten gemäß der europäischen Datenschutzgrundverordnung (DSGVO). Amazon reagierte und stellte dem Kunden zwei Monate später ein ZIP-Archiv zum Download bereit. Das enthielt die Daten des Kunden – und etwa 1.700 Sound-Dateien mit Sprachaufzeichnungen von Alexa. Der Clou an der Sache: Der Kunde besaß weder ein Alexa-Gerät noch nutzte er den Sprachassistenten. Die Daten stammten von einem anderen Amazon-Nutzer.

Amazon hat Problem nicht gemeldet

Laut "c't" benachrichtigte der Kunde Amazon über das Problem. Der Konzern soll die Mail unbeantwortet gelassen haben, aber das ZIP-Archiv von seinen Servern gelöscht haben. Als Reaktion wandte sich der Kunde mit den Daten an "c't".

"c't" bestätigt, dass es sich bei Sprachaufzeichnungen um die eines fremden Amazon-Kunden handelt. Die Daten stammen aus privaten Bereichen wie Schlafzimmer oder Bad. Im Zuge ihrer Recherche konnten die Journalisten den geschädigten Kunden anhand der aufgezeichneten Informationen finden. Sie stellten fest, dass Amazon den Besitzer der Alexa-Daten nicht über die Panne informiert hatte.

Auf Anfrage von t-online.de zu dem Vorfall antwortete Amazon: "Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall. Wir haben das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen. Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden."

Konzerne sind gesetzlich verpflichtet, Datenpannen innerhalb von 72 Stunden einer Datenschutzbehörde zu melden. Bei einem Verstoß können die Aufsichtsbehörden ein Bußgeld verhängen.

Als Entschädigung gab es zwei Echo-Lautsprecher

Amazon entschuldigte das Problem mit "menschlichem Versagen". Laut dem Konzern sollen der geschädigte Nutzer und der Kunde, der die Sprachdaten erhalten hatte, ungefähr zur selben Zeit ihre Daten angefordert haben. So sei es zu "einer teilweise falschen Zuordnung der Daten durch einen Mitarbeiter gekommen", schreibt "c't".

Laut "c't" soll Amazon den geschädigten Kunden vier Wochen nach Bekanntwerden der Panne kontaktiert haben. Als Entschädigung habe der geschädigte Nutzer eine kostenlose Prime-Mitgliedschaft sowie einen Echo Dot und Echo Spot erhalten.

• Von Amazon: Kommt die Alexa-Mikrowelle auch nach Deutschland?
• Ist Alexa eine Spionin? Was Amazons Lautsprecher alles mithört
• Peinliche Panne: Amazon veröffentlicht Kundendaten auf der Website

Nutzer können Daten löschen

Amazon speichert Alexa-Sprachdaten unbegrenzt auf seinen Servern. Der Konzern verwendet nach eigenen Angaben die Daten, um seinen Sprachassistenten zu verbessern. Nutzer können diese Daten löschen. Folgen Sie dafür diesem Link oder klicken Sie sich durch unsere Bildergalerie.

Strafe bis zu 20 Millionen Euro möglich

Ob Amazon eine Strafe wegen der Datenpanne erwartet, ist derzeit nicht bekannt. Laut Dirk Hensel, Pressesprecher der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), müsse sich die für Amazon zuständige Datenschutzbehörde um die Sache kümmern. In diesem Fall wäre es die in Luxemburg, da der Konzern mit seiner europäische Hauptniederlassung in diesem Land sitzt.

Diese müsse dann auch darüber entscheiden, ob und in welchem Rahmen potentielle Strafmaßnahmen ergriffen werden. Artikel 83 der DSGVO sieht vor, dass je nach Art des Verstoßes Geldbußen von bis zu 20 Millionen Euro oder vier Prozehnt des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können. "Wie hoch eine Strafe letztendlich ausfällt hängt grundsätzlich von den konkreten Umständen des Einzelfalls ab", sagt Hensel.

Bürger können sich an Datenschutzbehörde wenden

In diesem Zusammenhang betont Hensel, wie wichtig es sei, persönliche Daten zu schützen. "Es birgt immer gewisse Risiken, sensible Daten weiterzugeben", sagt der Presseprecher. "Auch, wenn solche Daten versehentlich veröffentlicht werden – am Ende trifft es den Geschädigten".

Bürger haben die Möglichkeit, Datenschutzpannen von Unternehmen ohne Niederlassung in Deutschland auch bei der Datenschutzbehörde ihres Bundeslandes zu melden, sagt Hensel. Die übernimmt für den Betroffenen die Koordination mit der zuständigen Behörde in Europa.

Update 20.12.2018, 11.32 Uhr und 14.09 Uhr: Der Artikel wurde um eine Stellungnahme von Amazon und eine Stellungnahme eines Pressesprechers der BfDI ergänzt.