Alexa auf der Massagebank

Alexa auf der Massagebank

Vor einem Monat hatte ich mal wieder einen Termin bei der Physiotherapeutin meines Vertrauens. Dieses Mal wurde ich zu Beginn der Behandlung darauf aufmerksam gemacht, dass im Behandlungsraum Amazon Echo installiert ist. Ich brauchte einen Moment, um zu verstehen, was gemeint ist: Der sprachgesteuerte Lautsprecher von Amazon, der sich mit dem cloud-basierten Sprachdienst Alexa verbindet. Zunächst glaubte ich, mich verhört zu haben: Aus welchem Grund sollte in einer Physiotherapiepraxis ein Sprachassistent installiert werden? Muss ich jetzt gleich entscheiden, ob ich das akzeptiere oder doch nicht? Und wenn nicht, warum eigentlich nicht? Wäre das nicht eher die Reaktion einer Person, die in Datenschutzfragen etwas hysterisch unterwegs ist?

Um ehrlich zu sein, fühlte ich mich etwas überrumpelt von der Situation. Zwar muss ich mich als Informatikerin auch gelegentlich mit Datenschutzfragen auseinandersetzen und verfüge daher über ein Grundwissen in dieser Hinsicht – zumindest insoweit, dass ich erkennen kann, welche Aspekte problematisch sein können. Ohne genauere Hintergrundinformationen über das, was das Gespann Amazon Echo und Alexa genau macht und kann, war mir jedoch eine spontane Einschätzung der Datenschutzkonformität nicht möglich. Mit Sprachassistenten hatte ich mich bis zu diesem Zeitpunkt auch in keiner Weise beschäftigt. Daher brauchte ich einen Moment für ein kurzes Brain Storming:

Zunächst handelt es sich bei Amazon Echo um eine technische Einrichtung, deren Funktionalität ganz wesentlich darauf beruht, dass jedes gesprochene Wort erfasst und analysiert wird. Phrasen werden dabei als Befehle an Alexa interpretiert, wenn ihnen das Aktivierungswort – i.d.R. „Alexa“ – vorausgeht. In diesem Fall werden die Kommandos auf einen Amazon-Server (vermutlich in die Vereinigten Staaten) übertragen und dort gespeichert. Ob die Trennung zwischen Alexa-Befehlen und anderen Gesprächsinhalten exakt gelingt, ist mir zunächst unbekannt und wäre aus technischer Sicht noch kritisch zu untersuchen.

Die Behandlungsräume einer Physiotherapiepraxis sollten ein Ort sein, an dem man gesundheitliche Probleme, die in Zusammenhang mit der Behandlung stehen, in dem Vertrauen besprechen kann, dass diese Informationen nicht an Unbefugte gelangen. Im Verlauf einer Behandlung werden schließlich auch viele Fragen zu persönlichen Lebensumständen erörtert, die an der Entstehung der behandlungsbedürftigen Probleme einen Anteil haben oder den Heilungsprozess beeinflussen können. Daher unterliegen auch Physiotherapeuten einer Verschwiegenheitspflicht. Kann ich ausschließen, dass meine Therapeutin mich für Alexa vernehmbar mit meinem Nachnamen anredet? Mein Nachnahme ist schließlich nicht Müller, wodurch die erlauschten Informationen dann meiner Person zugeordnet werden könnten!

Ob der Einsatz von Amazon Echo im Kontext einer medizinischen Behandlung datenschutzrechtlich zulässig ist, erschien mir damit schon stark zweifelhaft. Dabei muss man nicht unbedingt berücksichtigen, ob tatsächlich eine fehlerhafte Datenübertragung von sonstigen Gesprächsinhalten stattfindet.

Das Unbehagen mit der Situation ließ mich plötzlich den Satz aussprechen: „Ich bin nicht damit einverstanden, dass Amazon Echo während meiner Anwesenheit im Behandlungsraum aktiv ist.“ Die behandelnde Therapeutin äußerte auch sofort ihr Verständnis und bemühte sich um die Abschaltung des Geräts. Das erwies sich jedoch gar nicht als so einfach, denn das Gerät verfügte nicht über einen Ein- und Ausschaltknopf. Das hat sich der Hersteller schon fein ersonnen: Einmal installiert bedeutet dauerhaft belauscht. Aber ach, was rede ich da, das sind doch Hirngespinste eines Überwachungshypochonders. Wer sollte sich schon für meine Daten interessieren?

Da auch das Ziehen des Netzsteckers mit größeren Möbelrückaktivitäten verbunden gewesen wäre, wurde beherzt das LAN-Kabel gezogen und ich habe mich halbwegs entspannt der Behandlung hingeben können. Beim Verlassen der Physiotherapiepraxis traf ich dann auf die Praxisinhaberin und sprach diese sofort auf Alexa an. Zunächst erfuhr ich den Grund für die Neuerung: Physioterapeutinnen haben ständig ölige Hände. So geriete das Öl bei der Bedienung von DVD-Recordern (in einer Physiotherapiepraxis wird üblicherweise Entspannung fördernde Musik abgespielt) in die Geräte, wodurch diese wohl regelmäßig funktionsuntüchtig würden.

Da sei es schon praktisch, wenn man Alexa per Stimme den Befehl zum Abspielen von Musik geben könne. Ja, in der Tat, es ist toll, dass die Technik uns neuerdings solche Möglichkeiten bietet. Aber ein gewisses Unbehagen ist für mich als Kunden doch damit verbunden, warf ich ein. Die Datenschutzproblematik von Sprachassistenten wird in der Öffentlichkeit ja sehr kontrovers diskutiert und stellvertretend für diese Technik-Gattung hat Alexa in diesem Jahr den Negativ-Preis BigBrotherAward 2018 in der Kategorie Verbraucherschutz gewonnen, der jährlich vom Verein Digitalcourage vergeben wird.

Die Chefin des Hauses räumte immerhin ein, dass sie sich so etwas auch nicht in ihr Wohnzimmer stellen würde, aber in den Praxisräumen sehe sie kein Problem. Schließlich würden hier keine personenbezogenen Daten erfasst. An dieser Stelle widersprach ich sofort und führte an, dass die Patienten mit Namen angesprochen werden und nach Diagnosen und Krankheitsgeschichte befragt werden. Das mag ja sein, so die Hausherrin, aber schließlich gäbe es heutzutage ja auch an jeder Straßenecke eine Videokamera und ich würde ja trotzdem noch auf die Straße gehen. Und bei der Benutzung der U-Bahn würde ich gleich von den Handy-Kameras mehrer Fahrgäste ins Visier genommen, deren Mikrophone auch Äußerungen erfassen könnten. „Fahren Sie deshalb auch nicht mehr U-Bahn?“ war ihr abschließender Kommentar und damit wandte sie sich ab.

Beim nächsten Termin in der Praxis wurde ich in einen anderen Behandlungsraum gebeten. Vorsichtig fragte ich in den Raum hinein: „Alexa?“ und erhielt das bekannte Knacken als Antwort, das der smarte Lautsprecher bei Aktivierung von sich gibt. Meine Therapeutin bat mich, selbst die Chefin anzusprechen, sie würde Ärger bekommen, wenn sie noch einmal das LAN-Kabel zieht. Die Chefin habe deswegen die Anlage neu konfigurieren müssen. Sie selbst sei von dem Einsatz von Alexa auch nicht begeistert, möchte aber nicht ihren Arbeitsplatz riskieren.

Also suchte ich die Praxisinhaberin und wies sie nun mit einer gewissen Schärfe im Ton darauf hin, dass ich der Verwendung meiner Daten durch den Amazon-Dienst nicht zustimme. Immerhin wurde ich nun in ein Behandlungszimmer gebeten, in dem das Gerät nicht installiert war. Allerdings musste ich mir die Frage gefallen lassen, was ich eigentlich für ein Problem mit Alexa habe, sowie weitere dümmliche Ausführungen, warum der Einsatz solcher Techniken heutzutage doch ganz normal sei. Ich habe mich diesmal mit meiner Meinung zu diesen oberflächlichen und blödsinnig verallgemeinernden Argumenten nicht zurückgehalten. Ich verbat mir derartig alberne Belehrungen und verlangte, dass meine Privatsphäre ohne weitere Kommentare respektiert werde. Mit dem Erfolg, dass ich beim nächsten Termin in der Praxis von einer anderen Patientin erfuhr, dass diese nun gar nicht erst über den Einsatz von Alexa informiert worden war. Man will sich wohl die Aufregung und den Ärger ersparen, der mit der Auseinandersetzung mit mir verbunden war. Außerdem erfuhr ich, dass ich immerhin nicht die einzige Patientin war, die ein Problem mit Alexa hat. Die meisten Patienten haben den Einsatz des Geräts in der Praxis aber wohl akzeptiert. Lässt sich daraus ableiten, dass die Minderheit, die hier kritisch reagiert, unter einem Panoptic-Syndrom leidet?

Laienhafte Interpretationen von Datenschutzbestimmungen

Die Zuspitzung in der Auseinandersetzung vermittelte mir doch den Eindruck, dass die Dame kaum zu belehren ist. Ihre Argumente waren ausgesprochen laienhafter Natur und ließen jede Differenziertheit vermissen. Kaum anzunehmen ist daher, dass die Chefin sich in dieser Angelegenheit von einem externen Datenschutzbeauftragten hatte beraten lassen. Mich besorgte der Gedanke, dass insbesondere im Gesundheitsbereich mit derartig laienhafter Argumentation der Einsatz datenschutzkritischer Technik gerechtfertigt wird und sich daraus ein Trend entwickelt. Dieser Gedanke bewog mich, die Datenschutzbeauftragte des Landes Brandenburg über den Vorfall in Kenntnis zu setzen. Die Sachbearbeiterin erläuterte mir in einem ausführlichen Telefonat, dass die Technikabteilung des Hauses erst die technischen Eigenschaften von Amazon Echo überprüfen muss, um darauf aufbauend das Ausmaß des Verstoßes beurteilen zu können. Sie erwähnte vergleichbare Fälle von Videoüberwachung im Empfangsbereich von Physiotherapie- und Arztpraxen, in denen die Behörde schon erfolgreich vor Gericht gezogen ist. Und – so viel könne sie schon vorab sagen – im vorliegenden Fall lägen wohl gegen diverse Datenschutzvorgaben grobe Verstöße vor.

Was sind eigentlich personenbezogene Daten?

Möglicherweise liegt ein erstes Problem in der Interpretation dessen, was man als personenbezogene Daten betrachten kann. Bereits das Bundesdatenschutzgesetz legt hier eine weites Verständnis zu Grunde. Es muss sich dabei nicht zwingend um einen Datensatz handeln, der eindeutig identifizierende Merkmale enthält. Personenbezogene Daten liegen auch dann vor, wenn die betreffende Person nur mittelbar, d.h. durch anderweitig zugängliche Zusatzinformationen – z.b. wie viele Frauen mit einem bestimmten Nachnamen im Umkreis von 10 km der Praxis leben – identifiziert werden kann. Auch die europäische Datenschutzgrundverordnung (DSGVO), die am 25. Mai in Kaft tritt, behält in Art. 4 diese Definition bei.

Gesundheitsbezogene Daten

Ein weiterer Aspekt bezieht sich auf den Umstand, dass ein Physiotherapeut ein Angehöriger eines Gesundheitsberufs ist, der auch mit den gesetzlichen Krankenkassen abrechnet. Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die DSGV stufen Gesundheitsdaten als besonders vertrauliche Daten ein und weisen ihnen eine besondere Schutzwürdigkeit zu. Als Gesundheitsdaten gelten hier schon alleine Daten, die Aufschluss darüber geben können, welche Person eine medizinische Dienstleistung in Anspruch genommen hat, auch ohne genauere Daten zur Anamnese oder Diagnostik. Im Umgang mit Gesundheitsdaten wird eine gesteigerte Sorgfalt gefordert, die in erhöhtem Maß verhindern soll, dass Unbefugte Zugang zu den Daten erhalten.

Welche Daten überträgt Amazon Echo wirklich?

Die Funktionsbeschreibung von Amazon Echo mag manchen in der Gewissheit wiegen, dass nur erkennbare Befehle an die Amazon-Server übermittelt und alle anderen Gesprächsinhalte ignoriert werden. Das würde ich mir auch wünschen. Aber welche Gewissheit hat man darüber?

In Tests wurde bereits festgestellt, dass Amazon Echo nicht nur gesprochene Befehle an die Amazon-Server übermittelt, die auf das Aktivierungswort folgen. Auch eine unerwartete Datenübertragung und Speicherung von sonstigen Gesprächsteilen wurde beobachtet. Es ließen sich bei Alexa in der gespeicherten Historie entsprechende Gesprächsinhalte finden. Damit kann die Übertragung und Speicherung personenbezogener Daten nicht ausgeschlossen werden. Die DSGVO legt fest, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dies bedeutet insbesondere, dass nicht ohne Wissen der Patienten Techniken zum Einsatz kommen dürfen, von denen Sie keine Kenntnis erhalten. Das Transparenzgebot verpflichtet zu einer lückenlosen Darstellung, welche Daten zu welchem Zweck für welchen Zeitraum gespeichert werden und welche dritten Parteien dazu aus welchen Gründen Zugriff erhalten. Die Datenschutzerklärung zu Alexa lässt jedoch offen, an welche dritten Personen oder Institutionen die Daten weitergegeben werden können und was mit ihnen dann geschieht. Darüber hinaus sehen Datenschützer die Amazon-Geräte mit Skepsis: Es sei nicht „ausreichend nachvollziehbar, in welchem Umfang und wo die erfassten Informationen verarbeitet werden“, kritisierte beispielsweise jüngst die Bundesdatenschutzbeauftragte Andrea Voßhoff.

Unabhängig davon, ob überhaupt Gesprächsinhalte anstelle von Alexa-Befehlen übertragen werden, wird durch das Wissen über die Aktivität des Amazon-Geräts bei Betroffenen der Eindruck erweckt, sie müssten ständig mit einer Aufzeichnung rechnen. Denn es ist für den Patienten in der Behandlungssituation nicht erkennbar, ob tatsächlich eine Datenübertragung stattfindet oder nicht. Zum Vergleich: Im Zusammenhang mit einer Video-Überwachung wurde dieser Sachverhalt bereits durch das Landgericht Bonn als unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht bewertet.

Privacy by Design

Als Neuerung führt die DSGVO gemäß Artikel 23 in Hinblick auf personenbezogene Daten aller Art (also nicht nur Daten mit besonderer Schutzwürdigkeit, wie z.B. Gesundheitsdaten) das Prinzip Privacy by Design ein. Dies betrifft sowohl technische Systeme als auch organisatorische Abläufe bei Dienstleistern. Bei Software werden dabei datenschutzfreundliche Voreinstellungen bereits im Designprozess verlangt. Diesen Aspekt verletzt ein Gerät wahrscheinlich schon dann, wenn die Abschaltung des Geräts nicht ohne Weiteres möglich ist. Der smarte Charakter von Amazon-Echo würde auch darunter leiden, wenn vor jeder Datenübertragung an Alexa dem Anwender mitgeteilt wird, welche Wörter an Alexa übertragen werden sollen und das Einverständnis dazu eingeholt wird.

Grundsätzlich folgt daraus, dass sich jedermann gerne dazu entscheiden kann, in seinen Privaträumen ein solches Gerät zu benutzen, solange dabei nicht die Rechte von Gästen beeinträchtigt werden. Alles andere ist ein No-Go.

Recht auf informationelle Selbstbestimmung

Mit der Selbstverständlichkeit, mit der die Praxisinhaberin den Sprachassistenten verwendet, ohne ihre Kunden um Zustimmung zu bitten, maßt sie sich eine Entscheidung an, die in das informationelle Selbstbestimmungsrecht des Einzelnen eingreift. Damit ist das Recht des Einzelnen gemeint, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dieses Recht wurde 1983 vom Bundesverfassungsgericht im so genannten Volkszählungsurteil als Grundrecht anerkannt, ohne dass dieses explizit in der Verfassung aufgeführt wird.

Die Ausübung dieses Rechts setzt nicht nur die Kenntnis des Einsatzes von Amazon Echo voraus, sondern erfordert bereits nach dem BDSG die aktive und informierte Einwilligung der Patienten. Dabei erfolgt eine Einwilligungs­erklärung dann informiert, wenn der Kunde zum einen zeitlich die Gelegenheit hatte, sich über die relevanten Sachverhalte zu informieren und eine Meinung zu bilden, z. B. indem er die Datenschutzrichtlinie des Dienstes liest und ggf. Verständnisfragen abklärt. Zum anderen müssen ihm diese relevanten Informationen – etwa der Name der konkret verwendeten Software sowie deren Datenschutzrichtlinien – auch auf einfache Weise zugänglich gemacht werden. In diesem Sinne ist eine Einwilligung nicht informiert, wenn die Entscheidungssituation mit Zeitdruck verbunden ist, da der Patient befürchten muss, ggf. auf die Behandlung verzichten zu müssen oder nur eine verkürzte Behandlung zu erhalten.

Totale Überwachung im Kopf

Die Praxisinhaberin behauptete, dass Videoüberwachung und Mikrophone im öffentlichen Leben allgegenwärtig seien und somit unvermeidlich. Daraus ließe sich dann ableiten, dass alle Patienten dies auch in einer medizinischen Behandlung akzeptieren müssen. Diese Form der vereinfachenden Generalisierung ist besonders dreist. Hier stimmt weder die Behauptung der allgegenwärtigen Totalüberwachung, noch die gezogene Schlussfolgerung.

Für Überwachungsmaßnahmen im öffentlichen Raum muss immer eine konkrete Rechtsgrundlage bestehen, die diese erlaubt – etwa im Kontext der Verkehrslenkung oder an gefährlichen Orten. Hier legen polizeirechtliche Regelungen genau fest, wann die Daten spätestens zu löschen sind, wer darauf zugreifen darf und zu welchen Zwecken sie ausschließlich konkret verwendet werden dürfen. Insbesondere werden die erfassten Daten nicht auf beliebige US-amerikanische Server übertragen, sondern verbleiben auf Servern der Ordnungsbehörden. Die Daten dürfen an Dritte nur zu den Zwecken herausgegeben werden, zu denen sie erhoben wurden, also z.B. an die Staatsanwaltschaften zum Zweck der Strafverfolgung. Da Überwachungsmaßnahmen im öffentlichen Raum politisch sehr kontrovers diskutiert werden, erfolgt hier auch eine recht intensive Kontrolle hinsichtlich der Einhaltung dieser Regeln.

Davon zu unterscheiden ist die Einrichtung von Videoüberwachungen in öffentlich zugänglichen Räumen, womit Kaufhäuser, Museen, Tankstellen, Bahnhöfen, ect. gemeint sind, die sich in privatem Besitz befinden, aber für jedermann öffentlich zugänglich sind. In diesem Fall greift bislang das Bundesdatenschutzgesetz, das die Überwachung nur erlaubt, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Insbesondere haben die Betreiber eine Informationspflicht, der sie in der Regel durch das Aufkleben eines entsprechenden Piktogramms an der Eingangstür nachkommen. Ansonsten gilt hier in der Tat: Wer nicht gefilmt werden will, muss auf das Betreten dieses Bereichs verzichten.

Hier stellt sich die Frage, ob der Einsatz von Verhalten beobachtender Technik im Empfangsbereich einer Arzt- oder Physiotherapiepraxis mit der Videoüberwachung in Verkaufsräumen gleichgesetzt werden kann. Als differenzierendes Merkmal ist hier hervorzuheben, dass einem Patienten die Auswahl des Arztes oder anderer Gesundheitsdienstleister nur beschränkt möglich ist. Hier spielen z.B. Fragen der Terminvergabe, des bestehenden Vertrauensverhältnisses und der Versorgungsdichte eine Rolle. Außerdem lässt sich aus jeder Art von Verhaltensbeobachtung potentiell die Identität der betroffenen Patienten feststellen, was hier als Gesundheitsdatum zu interpretieren ist und – wie oben ausgeführt – einem besonderen Schutz unterliegt.

Daraus ergibt sich, dass der Vergleich mit der angeblich allgegenwärtigen Videoüberwachung eine unzulässige Verallgemeinerung darstellt, die in ihrer verdummenden Wirkung ihres Gleichen sucht.

Der Einsatz von Amazon Echo bedeutet eine automatisierte Verarbeitung von Daten. Da diese als Gesundheitsdaten zu werten sind, wäre nach dem BDSG eine Vorabkontrolle nach § 4d notwendig gewesen. Bei der DSGVO wird nach Art. 35 eine Datenschutz-Folgenabschätzung verlangt. In beiden Fällen ist ein Datenschutzbeauftrager zu bestellen, was hier ganz offensichtlich nicht erfolgte

Interessenabwägung bei Einsatz von Verhaltensbeobachtung

Bezüglich des Einsatzes von Amazon Echo hat die Betreiberin übersehen, dass es sich um eine Maßnahme mit überwachendem Charakter handelt, auch wenn dies von ihr so nicht bezweckt ist. Hierfür hat sie die notwendige Interessenabwägung unterlassen. Es spricht für sich, dass sie den Schutz ihrer Musikanlage vor Ölanhaftungen über die berechtigten Datenschutzinteressen ihrer Patienten gestellt hat. Stattdessen wäre sie verpflichtet gewesen, nach alternativen Lösungsansätzen für ihr Öl-Problem zu suchen und die Datenschutzbelange ihrer Kunden angemessen zu würdigen.

Arbeitnehmerrechte

Nur am Rande sei hier erwähnt, dass die Verwendung von Amazon Echo auch eine Verletzung der Datenschutzrechte von Arbeitnehmern darstellt. Auch von diesen hätte eine Zustimmung vor dem Einsatz der Geräte eingeholt werden müssen. Diese hätte entsprechend den Vorgaben bei der Videoüberwachung am Arbeitsplatz in Schriftform erfolgen müssen.

Höchste Zeit für eine Aufwertung des Datenschutzes

Das beschriebene Erlebnis macht eines deutlich: Es wird höchste Zeit für die Stärkung und Aufwertung des Datenschutzes. Regelmäßig wurde ich als Verfechterin der Privatsphäre durch unangemessene Verallgemeinerungen in die Rolle gedrängt, Datenschutzanliegen durch anstrengende Differenzierungen rechtfertigen zu müssen. In diesem Punkt erhoffe ich mir von der DSGVO eine Veränderung, da durch das Prinzip Privacy by Design und umfassende Auflagen zur Information nun jede Daten verarbeitende Stelle den Nachweis schuldet, dass sie die Regeln der DSGVO einhält. Somit findet eine Umkehr der Beweislast statt.

Die DSGVO erweitert den Kreis der Daten verarbeitenden Stellen, die verpflichtet sind, einen externen Datenschutzbeauftragten zu beschäftigen. Das ist gut so. Wozu es führt, wenn Laien Datenschutzaspekte ohne Einbeziehung eines Experten interpretieren, hat das angeführte Beispiel hinlänglich vor Augen geführt. Von der neuen Datenschutzgrundverordnung können wir uns also eine höhere Qualität bei der Umsetzung des Datenschutzes erhoffen.

Mit der Einführung der DSGVO wird es noch eine wesentliche Neuerung geben: Die Datenschutzbehörden können künftig mehr Betriebsprüfungen durchführen und in diesem Zusammenhang für eine fehlende Dokumentation oder Datenschutz-Folgenabschätzung empfindliche Bußgelder verhängen.

Um Datenschutzproleten das Handwerk zu legen, bedarf es aber auch des Einsatzes von Betroffenen. Dazu muss man weder über die notwendige Fachkompetenz zur rechtlichen Bewertung noch über die Möglichkeit zur Einschätzung von technischen Eigenschaften verfügen. Genau dies sind nämlich die Aufgaben der Landesdatenschutzbeauftragten als Aufsichtsbehörden, die auch Hinweisen aus der Bevölkerung gerne nachgehen.