Alexa, hörst du mit? - Datenschutz im Home Office mit Voice Assistants

Über 8.000 Audio Dateien. In nur 3 Jahren. So viele Daten hat ein Freund von mir geschickt bekommen, als er bei Amazon von seinem Recht auf Auskunft nach Art. 15 DSGVO gebrauch gemacht hat. Das ist schon beängstigend.

Sprachassistenten sind heutzutage aus vielen Haushalten gar nicht mehr weg zu denken. Sie erstellen Erinnerungen und Termine, steuern Musik und Licht oder in besonders stark verbundenen Smart Homes sogar Heizungen, Türschlösser und Co. Von jedem der großen Anbieter gibt es mittlerweile die digitalen Helfer für kleines Geld. Amazon hat Alexa, Google den Google Assist und Apple hat Siri.

Doch was passiert, wenn diese Geräte im Home Office genau in den Räumen stehen, in denen gearbeitet wird und geschäftliche Gespräche stattfinden? Spätestens dann wird aus dem privaten Helfer ein datenschutzrechtliches Risiko und der Arbeitgeber ist in der Verantwortung.

Dieser Artikel ergänzt sich übrigens super mit unserem ersten Kurzbeitrag zu Datenschutz im Home Office.

Warum sind Voice Assistants problematisch?

Sprachassistenten funktionieren grundsätzlich anders als klassische IT-Systeme. Sie müssen dauerhaft empfangsbereit sein, um zu funktionieren, reagieren auf Aktivierungswörter und verarbeiten Sprachdaten häufig nicht lokal, sondern in der Cloud. Genau dieses ständige empfangsbereit sein wird zum Problem. Es passiert nicht unregelmäßig, dass die Voice Assistants ihre Aktivierungswörter hören, wenn es gar nicht gesagt wurde und sich ungewollt aktivieren und anfangen mitzuhören. Das zeigen auch die Audiodateien, die besagter Freund zugeschickt bekommen hat. Ganz oft, waren da auch persönliche Gespräche mit dabei, die nicht ansatzweise etwas mit einem Befehl an den digitalen Assistenten zu tun haben. Und all diese Aufnahmen bleiben gespeichert. Die Löschung der Daten muss man in der App manuell einstellen. Ansonsten speichert Alexa die Aufnahmen auf unbegrenzte Dauer auf den Amazon Servern. Mit Amazon und Datenschutz würde ich an dieser Stelle jedoch ein ganz anderes Fass auf machen.

Wer ist datenschutzrechtlich verantwortlich?

Der häufige Irrtum der Arbeitgeber: Mit den privaten Geräten der Mitarbeitenden haben wir nicht zu tun.

Diese Annahme ist gefährlich. Denn sobald Angestellte im Home Office personenbezogene Daten im Auftrag des Arbeitgebers verarbeiten, bleibt das Unternehmen im Sinne der DSGVO verantwortlich. Und das unabhängig davon, in wessen Wohnung oder auf welchem Tisch die Daten verarbeitet werden. Dadurch werden Risiken im Home Office zu Risiken für Unternehmen.

In der Praxis geht es um ganz alltägliche Situationen. Daten, die davon betroffen sein können, sind unter anderem Telefonnummern, E-Mail-Adressen, im HR-Bereich auch gerne mal Gesundheitsdaten und weitergedacht auch Zugangsdaten, interne Strategien oder Vertragsdetails.

Datenschutz im Home Office wird von vielen Unternehmen unterschätzt. Der Schutz personenbezogener Daten endet jedoch nicht beim Verlassen des Bürogebäudes.

Sind Sprachassistenten im Home Office grundsätzlich verboten?

Nein, aber sie werden dann problematisch, wenn keine klaren Regeln existieren und die Leute nicht aufgeklärt sind. Ein pauschales Verbot ist nicht zwingend notwendig, kann aber in vielen Fällen zumindest während der Arbeitszeit oder in Arbeitsräumen praktisch sinnvoll sein. Was kann man aber tun, wenn man wie wir kein Fan von pauschalen Verboten ist? Entscheidend ist, ob personenbezogene Daten verarbeitet werden, die Verarbeitung kontrollierbar ist und wie hoch das Abhör- und Weiterleitungsrisiko ist. Oft lassen sich in den dazugehörigen Apps die Privatsphäre-Einstellungen so anpassen, dass Audiodateien nicht mehr gespeichert werden, sondern nur noch ein Transkript, das nach 30 Tagen automatisch gelöscht wird. Einfach mal die Apps checken.

Was sich aber auf jeden Fall bewährt sind klare Home Office Richtlinien und zum Umgang mit Sprachassistenten, Sensibilisierung der Mitarbeitenden und eine zeitlich geregelte Deaktivierung der Assistenten.

Vor allem die Sensibilisierung der Mitarbeitenden spielt eine zentrale Rolle. Voice Assistants sind oft ein Tool der Bequemlichkeit. Mitarbeiter sollten verstehen, warum solche Geräte problematisch sein können und wie sie Risiken selbstständig reduzieren können. Wie und warum am besten geschult wird, könnt ihr hier in unserem Beitrag zu Datenschutz-Schulungen nachlesen.

Fazit

Voice Assistants wie Alexa, Siri und Co. sind privat bequem, beruflich jedoch riskant. Diese Bequemlichkeit trifft im Home Office oft auf Unwissenheit. Wenn Unternehmen Datenschutz ernst nehmen wollen, sollte das Thema Sprachassistenten aktiv angegangen und geregelt werden. Am besten durch Richtlinien und Datenschutz-Schulungen.