Es war ein viel diskutiertes Thema, nachdem ein Bericht von Bloomberg veröffentlicht wurde, der enthüllte, dass Amazon-Mitarbeiter Sprachaufzeichnungen analysieren, die bei der Nutzung von Alexa entstehen. Jedoch ist Amazon nicht das einzige Unternehmen, das so vorgeht. Es gibt viele Technologieunternehmen, die private Daten, die von Nutzern hochgeladen wurden, überprüfen und dies auch in der Vergangenheit getan haben.
Von der Lektüre privater Notizen bis zum Stalking von Minderjährigen
Betrachten wir einige konkrete Fälle, von Evernote-Mitarbeitern, die private Notizen ihrer Nutzer lesen, bis zu Mitarbeitern von Google und Facebook, die Nutzer ausspioniert haben.
Evernote erlaubte seinen Angestellten gemäß einer Änderung der Datenschutzrichtlinie im Januar 2017, private Notizen zu lesen, um die Nutzererfahrung zu verbessern. Nach zahlreichen Beschwerden von Usern, ruderte Evernote zurück und versprach, dass Mitarbeiter zuvor die Erlaubnis einholen würden. Dieses Beispiel verdeutlicht jedoch das grundlegende Problem: Evernote konnte seinen Mitarbeitern ohne Weiteres Zugriff auf diese Daten gewähren. Selbst wenn man davon ausging, dass die geteilten Informationen durch die Unternehmensrichtlinien geschützt sind, kann das Unternehmen diese Richtlinien jederzeit ändern.
Ein Google Site Reliability Engineer wurde entlassen, nachdem er seinen Zugriff auf Google-Server missbraucht hatte, um mehrere Minderjährige zu verfolgen und auszuspionieren, deren Anrufprotokolle in Google Voice zu überwachen, auf deren Chatverläufe zuzugreifen und sich selbst in die Freundesliste eines Teenagers einzutragen. Site Reliability Engineers haben umfassenden Zugriff, da dies für ihre Tätigkeit erforderlich ist, und es ist möglich, dass dieser Zugang von Mitarbeitern missbraucht wird, wie es 2010 geschehen ist.
Im Jahr 2018 feuerte Facebook einen Sicherheitsingenieur, der seinen Zugang missbrauchte, um mehrere Frauen online zu verfolgen. Weiter berichtete Motherboard, dass auch andere Mitarbeiter entlassen wurden, weil sie ihre Ex-Partner ausspionierten und ähnliche, beunruhigende Dinge taten.
Es wird davon abgeraten, Apps Zugriff auf E-Mails zu gewähren. Wenn man es jedoch tut, können diese Apps E-Mails von Personen lesen, unabhängig davon, ob sie von Gmail, Outlook.com oder einem anderen E-Mail-Konto stammen. Das Wall Street Journal berichtete, dass Techniker, die für einige der Unternehmen, die diese Apps betreiben, arbeiten, Hunderttausende von E-Mails durchsucht haben, um ihre Algorithmen zu trainieren.
Dies ist keine vollständige Liste. Facebook hatte einst einen Fehler, der private Fotos von Nutzern an App-Entwickler weitergab. Und auch der Arbeitgeber kann private Nachrichten in Slack lesen, diese sind also keineswegs privat. Sogar die NSA musste Berichten zufolge Mitarbeiter entlassen, weil diese staatliche Überwachungssysteme missbraucht hatten, um ihre Ex-Partner auszuspionieren. Darüber hinaus wird jedes Unternehmen, das über Ihre Daten verfügt, diese an die Behörden weitergeben, sobald ein Durchsuchungsbefehl vorliegt. So geschehen bei Amazon, als Alexa einen Doppelmord aufzeichnete.
Die Cloud: Lediglich der Computer eines anderen
Wenn man einen Dienst nutzt, der Daten in eine „Cloud“ hochlädt, werden diese Daten letztlich auf den Servern eines Unternehmens gespeichert. Und dieses Unternehmen hat die Möglichkeit, diese Daten einzusehen, wann immer es möchte.
Obwohl das Konzept einfach zu verstehen ist, wirken Berichte über Mitarbeiter, die sich Sprachaufnahmen anhören, dennoch schockierend. Vielleicht gehen viele davon aus, dass es aufgrund der immensen Datenmengen unmöglich wäre, diese alle zu überprüfen, oder dass es Gesetze gäbe, die Technologieunternehmen daran hindern, diese Daten einzusehen. Doch zumindest in den USA gibt es kein Gesetz, das Unternehmen daran hindert, diese Daten einzusehen, solange sie dies transparent in den Nutzungsbedingungen angeben.
Es ist jedoch nicht nur Amazon. Wie Bloomberg berichtet, beschäftigt selbst Apple, bekannt für sein Engagement für Datenschutz, Mitarbeiter, die sich Siri-Aufzeichnungen anhören, um die Algorithmen zu trainieren, die diese Sprachassistenten verwenden. Zudem sollen auch einige Google-Mitarbeiter Aufnahmen auswerten, die mit Google Home-Geräten gemacht wurden.
Gültige Gründe für die Einsicht in Nutzerdaten
Abgesehen von gruseligen Stalkern und Mitarbeitern, die ihren Zugang missbrauchen, gibt es triftige Gründe, warum ein Mitarbeiter eines Unternehmens Ihre Daten einsehen könnte:
- Behördenanfragen: Ein Gerichtsbeschluss kann ein Unternehmen zwingen, Ihre Daten nach relevanten Informationen zu durchsuchen und diese der Regierung auszuhändigen.
- Trainingsalgorithmen: Machine-Learning-Algorithmen benötigen während des Trainings menschliches Feedback. Aus diesem Grund werden die Aufzeichnungen von Alexa und Siri analysiert und aus diesem Grund wollte Evernote die Notizen von Usern prüfen.
- Qualitätssicherung: Unternehmen können Aufzeichnungen oder andere Daten analysieren, um die Funktionalität ihrer Dienste zu prüfen. Auch wenn Sie mit einem Roboter sprechen, kann es sein, dass sich später jemand die Aufnahme anhört, um den Verlauf zu analysieren.
- Kundensupport: Ein Unternehmen kann um Erlaubnis bitten, Ihre Daten einzusehen, um Ihnen bei Problemen zu helfen. Im Idealfall erfolgt dies erst nach Ihrer Zustimmung, die so einfach sein kann wie ein Tweet, wie es bei Google Fotos der Fall war.
- Gemeldete Verstöße: Unternehmen können Ihre Daten prüfen, wenn ein Verstoß gemeldet wird. Wenn Sie zum Beispiel eine private Unterhaltung auf Facebook führen und die andere Person Sie wegen Belästigung meldet, wird Facebook die Konversation prüfen.
Die einzige Lösung: Ende-zu-Ende-Verschlüsselung
Diese Situation ergibt sich durch die Funktionsweise des Internets. Oft wird von „Verschlüsselung“ zur Datensicherheit gesprochen, jedoch werden Daten nur während der Übertragung zwischen Ihren Geräten und den Servern des Unternehmens verschlüsselt. Auf den Servern des Unternehmens können die Daten zwar verschlüsselt gespeichert werden, jedoch mit der Möglichkeit für das Unternehmen, darauf zuzugreifen. Schließlich muss das Unternehmen die Daten entschlüsseln, um sie Ihnen wieder zur Verfügung zu stellen.
Die einzige Möglichkeit, dies zu verhindern, ist die Ende-zu-Ende-Verschlüsselung bzw. clientseitige Verschlüsselung. Hierbei werden die Daten durch die von Ihnen verwendete Software auf Ihren Geräten verschlüsselt und nur die verschlüsselten Daten auf den Servern des Unternehmens gespeichert, sodass das Unternehmen keinen Zugriff darauf hat. Ihre Daten würden vollständig Ihnen gehören.
Diese Methode ist jedoch in vielerlei Hinsicht weniger komfortabel. Dienste wie Google Fotos wären nicht möglich, da das Unternehmen nicht automatisch Aufgaben an Ihren Fotos auf ihren Servern ausführen könnte. Unternehmen könnten Daten nicht „deduplizieren“ und müssten höhere Investitionen in Speicher tätigen. Bei Sprachassistenten müsste die gesamte Verarbeitung lokal stattfinden und die Unternehmen könnten die Sprachdaten nicht für das Training der Assistenten nutzen.
Wenn Sie Ihren Verschlüsselungsschlüssel verlieren, haben Sie keinen Zugriff mehr auf Ihre Daten. Wenn das Unternehmen Ihnen wieder Zugriff auf Ihre Dateien gewähren könnte, würde dies bedeuten, dass das Unternehmen jederzeit Zugriff auf Ihre Dateien haben könnte.