Schlagwort: Amazon

Gespräche bei Amazons Alexa werden scheinbar aufgezeichnet

11. April 2019

Eines Medienberichtes zufolge hören sich Mitarbeiter in Boston, Costa Rica, Indien und Rumänien täglich Tausende aufgezeichnete Gespräche von Nutzern des Amazon Echos an. Zweck dieser Gesprächsaufzeichnung sei es, die virtuelle Assistentin Alexa zu verbessern. So sollten Ergebnisse exemplarisch durch eine passende Verschlagwortung für die weitere Verbesserung der Spracherkennung genutzt werden.

Besondere Relevanz erhält diese Aufzeichnung dadurch, dass das Unternehmen die betroffenen Nutzer scheinbar nicht dahingehend informiere. Dies könnte prinzipiell gegen datenschutzrechtliche Vorgaben – insbesondere solche der Datenschutzgrundverordnung – verstoßen.

Ob dies tatsächlich der Fall ist, lässt sich mithin pauschal nicht beurteilen. So ist ohne Kenntnis von der konkreten vertraglichen Ausgestaltung des Dienstes beispielsweise nicht erkennbar, ob tatsächlich eine datenschutzrechtliche Grundlage für die Verarbeitung fehlt oder eine Pflicht zur Information der betroffenen Personen verletzt wurde.

Kategorien: Allgemein
Schlagwörter:

Datenpanne bei Amazon

20. Dezember 2018

Auf eine Auskunftsanfrage hin wurden einem Kunden von Amazon transkribierte Sprachdaten und Audiodateien eines anderen Nutzers zugeschickt.

Ein Nutzer beantragte Auskunft über die von ihm von Amazon verarbeiteten Daten nach Art. 15 DSGVO. Als Antwort erhielt er unter anderem zahlreiche Audiodateien, die offensichtlich von Amazons Sprachassistenten Alexa aufgenommen wurden. Es handelte sich allerdings um fremde Sprachaufnahmen, weil der Kunde selbst den Sprachassistenten nicht nutzt. Seine erneute Anfrage an Amazon mit der Bitte um Aufklärung wurde nie beantwortet.

Aus den Aufnahmen konnte man Rückschlüsse auf die Identität der Nutzer ziehen, in dem man z.B. die erwähnten Namen und die lokalen Wetteranfragen auswertete. Die Daten stammen aus dem inneren Kern des Lebensbereichs der Nutzer, sodass deren Intimsphäre durch die Weitergabe der Daten an Unbefugte betroffen ist.

Auf eine diesbezügliche Anfrage vom c’t Magazin antwortete Amazon nur knapp und nannte als Grund einen menschlichen Fehler. Es bleibt unklar, ob häufiger Sprachaufnahmen an Unbefugte verschickt worden sind und ob Amazon das notwendige Verfahren – eine Meldung der Datenpanne binnen 72 Stunden bei der Behörde und unter Umständen bei den Betroffenen – eingeleitet hat.

Kategorien: Allgemein
Schlagwörter: , ,

Einwilligungserklärung bei Bestellungen von Medikamenten im Online-Shop erforderlich

25. April 2018

Das Landgericht Dessau-Roßlau hat entschieden (Urt. 3 O 29/17 vom 28.03.2018), dass bei einer Bestellung von Medikamenten im Internet Gesundheitsdaten auch vom Betreiber Online-Shop verarbeitet werden und dass deshalb eine ausdrückliche Einwilligungserklärung des Betroffen in die Verarbeitung notwendig ist.

Dem Urteil lag der Fall zu Grunde, dass ein Apotheker seine Ware über Amazon verkauft hat. Bei der Bestellung eines Medikaments wurden die Bestelldaten des Kunden nicht nur von der Apotheke, sondern auch von Amazon als Online-Shop-Betreiber verarbeitet.

Bei Gesundheitsdaten handelt es sich um sensible personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung der Daten durch den Apotheker ist ausnahmsweise nach § 28 Abs. 7 BDSG zulässig, da er einer Geheimhaltungspflicht unterliegt. Auch der Betreiber der Handelsplattform verarbeitet die Daten um die Bestellung abzuwickeln. Im Gegensatz dazu unterliegt der Online-Shop aber keiner Verschwiegenheitspflicht. Für diese Verarbeitung greift kein Ausnahmetatbestand des § 28 BDSG, sodass die Verarbeitung der Gesundheitsdaten des Bestellers rechtswidrig ist.
Dies hat zur Folge, dass der Online-Shop-Betreiber eine Einwilligungserklärung des Kunden vor der Verarbeitung der Bestellerdaten einholen muss.

Auch nach der DSGVO ändert sich die Rechtslage ab dem 25. Mai nicht. Art. 9 Abs. 2 DSGVO sieht ebenfalls keine Ausnahme für den Betreiber der Handelsplattform vor, sodass es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. A DSGVO bedarf.

Daten bei Facebook zu unsicher

26. März 2018

Nach einer Umfrage von US-Bürgern hat die Reuters/Ipsos Studie herausgefunden, dass die Mehrheit der Ansicht ist, dass ihre Daten bei Facebook schlechter aufgehoben sind als bei anderen Internet-Unternehmen.

Lediglich 41 % sind davon überzeugt, dass das soziale Netzwerk die Datenschutzvorschriften einhält. Bei Amazon und Google wissen ca. 60 % ihre Daten sicher.

Dieses Misstrauen gegenüber Facebook entstammt wahrscheinlich aus dem aktuellen Datenskandal, bei der Daten von etwa 50 Millionen Facebook-Nutzer ausgespäht wurden.

Nun sollen auch hunderte mit Facebook verknüpfte Apps untersucht werden. Als Gegenmaßnahme sollen auch die Privatsphäre- Einstellungen verbessert und der Zugriff von App-Anbieter eingeschränkt werden.

Dies ist zwar alles begrüßenswert, dennoch zu spät, denn wenn persönliche Daten einmal in die falschen Hände gelangen, sind sie kaum noch zu schützen.

Umso wichtiger ist es, dass Datenschutz am Anfang der Überlegung steht, quasi als Voreinstellung und nicht als unwichtige Draufgabe.

 

 

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

Ein Supermarkt ohne Kasse: Amazon Go

7. Februar 2018

Amazon eröffnete am 22. Januar den ersten „Amazon-Go“ in Seattle. Dabei handelt es sich um einen Supermarkt, in dem es keine Kassen mehr gibt.

Der Amazon Kunde benötigt dazu nur ein Smartphone, worauf er die erforderliche App installiert. Diese App identifiziert – mit zahlreichen Kameras und Sensoren – den Kunden. Beim Betreten und Verlassen des Geschäfts checken die Kunden mit Hilfe eines Barcodes auf dem Smartphone ein und aus. Dies ist vergleichbar mit dem Check-in am Flughafen. Das System merkt sich automatisch, die Artikel, für die sich der Kunde im Geschäft entschieden hat. Wenn dieser das Geschäft wieder verlässt, werden die Artikel automatisch bezahlt und kurze Zeit später erscheint die Rechnung in der App.

Das  Bezahlmodell funktioniert mittels Videoüberwachung mit 3D-Objekterkennung und Zuordnung der Produkte anhand der Amazon Go App. Ein anonymer Einkauf  ist somit ausgeschlossen. Es werden Bewegungsdaten und allgemeine Informationen zum Einkauf verarbeitet. Laut Aussagen von Amazon wird auf die Gesichtserkennung verzichtet. Das System erkenne allein 3D-Objekte und den Menschen ohne exakte Gesichtsstrukturen.

Bedenklich ist, was genau mit den Informationen passiert, die Amazon durch die verknüpften Apps und Sensoren sammelt. Denn jeder Griff, ob zur Wasserflasche oder zum Käse, wird von einem virtuellen Einkaufswagen in der App registriert. 

Amazons Sensoren-Supermarkt Go würde in Deutschland erhebliche Datenschutz-Bedenken auslösen, davon ist zumindest der Landesbeauftragtefür Datenschutz in Nordhrein-Westfalen überzeugt.

 

 

 

Niedersächsische Datenschutzbeauftragte kontrolliert Amazon

14. Dezember 2017

Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.

Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.

Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.

Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.

Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Amazon: Erstes Rechenzentrum in Deutschland

27. Oktober 2014

Der Online-Händler Amazon will Medienberichten zufolge sein erstes Rechenzentrum in Deutschland, voraussichtlich Frankfurt, eröffnen und von dort aus die EU-Region versorgen. Begründet worden sei diese Entscheidung – neben dem allgemeinen Wachstum des Geschäfts in Europa – auch mit dem Interesse der Kunden an Datendiensten aus Deutschland. Die strengen deutschen Datenschutzregelungen würden Deutschland insbesondere als Standort für Cloud-Rechenzentren interessant machen. Damit folge Amazon u.a. dem Unternehmen Oracle, das bereits jüngst die Eröffnung von zwei Rechenzentren in Frankfurt und München angekündigt hat, dem Cloud-Dienstleister VMware, der zum kommenden Jahr ein Rechenzentrum in Deutschland bauen wolle sowie dem Unternehmen Cisco, dessen Cloud-Plattform von der Deutschen Telekom betrieben wird.

 

 

Kategorien: Allgemein
Schlagwörter: ,
1 2