Im Vorfeld der Innenministerkonferenz machten Gerüchte die Runde: Die Innenminister wollen Zugriff für die Strafverfolgungsbehörden auf Daten aus dem Smart Home, also Amazon Echo und andere IoT-Geräte. Das Dementi kam schnell: Es gehe nicht um neue Befugnisse, sondern um Handlungsempfehlungen zur Sicherung und Auswertung digitaler Daten.
„Wir wollen keine Kinderzimmer überwachen“, beteuerte Seehofer. Niedersachsens SPD-Innenminister Boris Pistorius sagte: „Weder Alexa noch Google Home sollten und dürfen abgehört werden.“ Doch die Bundesregierung sieht das anders.
In der Antwort auf eine Kleine Anfrage der FDP-Bundestagsfraktion schreibt die Bundesregierung, smarte Haushaltsgeräte seien auch nur informationstechnische Systeme, es gebe keinen neuen Regelungsbedarf. Das heißt: Schon heute dürften Aufnahmen von Alexa, Google Home und Daten des gern zitierten smarten Toasters beschlagnahmt, abgehört oder ihre Speicher ausgewertet werden – immer, wenn das bei einem traditionellen Kommunikationsmittel oder Speichermedium oder Gerät auch erlaubt wäre.
Dazu gehören auch Staatstrojaner. Auch wenn immer mit Terrorismus argumentiert wird, wird Kommunikation seit Jahren primär wegen Drogendelikten überwacht.
Was als Kompetenzerweiterung befürchtet war, ist für die Regierung schon Realität
Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte sich kritisch, als die Meldung von einer möglichen Kompetenzerweiterung aufkam. „Gerade wenn es im Wesentlichen um Informationen, Gespräche oder sogar Videos aus Wohnungen und anderen privaten Orten geht, liegen hierin besonders gravierende Grundrechtseingriffe“, sagte er. Es wäre eine „verfassungsrechtlich bedenkliche“ Ausweitung der polizeilichen Kompetenzen. Nun erweist sich die angenommene Erweiterung als bereits gelebte Rechtsauffassung.
Die Bundesregierung widerspricht Kelber und ist nicht der Meinung, „dass es sich bei den in Rede stehenden vernetzten Geräten um eine neue Geräteklasse handele, die vom bestehenden Rechtsrahmen nicht umfasst sei.“ Dass eine Vielzahl unbeteiligter Personen von den Maßnahmen bei Smart-Home-Geräten betroffen wären, sei auch kein „neues Phänomen“. Doch bei Sprachaufzeichnungen für Alexa könnte jedoch gleich ein ganzes Wohnzimmer betroffen sein, nicht wie bei Telefonüberwachung zwei Gesprächspartner.
In den USA wird bereits mit Alexa ermittelt
In den USA sind bereits Fälle bekannt, in denen Daten aus sogenannten smarten Assistenten für Ermittlungen genutzt wurden. Bereits im Jahr 2017 verlangten Ermittler in Arkansas Zugriff auf Amazon Echo. Amazon weigerte sich zunächst, dann entschied der Beschuldigte selbst, die Daten freizugeben. Etwa ein Jahr später wurde der Konzern von einem Gericht in einem anderen Mordfall dazu verpflichtet, Aufzeichnungen zu einem Verdächtigen herauszugeben.
Der wissenschaftliche Dienst des Bundestages hatte in einem Gutachten Fragen zur Rechtmäßigkeit von Alexa aufgeworfen. Es bestünden vor allem Risiken bei Kindern und Gästen, die nicht wüssten, dass das Gerät sie auch aufzeichnen könnte. Dass das noch nicht alles ist und ihre Daten im Zweifel bei der Polizei landen könnten, dürfte den meisten noch viel weniger bewusst sein.
Keine konkrete inhaltliche Ergänzung, jedoch eine Neugier-getriebene Frage. Wie wird technisch der Zugriff auf etwaige Daten erfolgen? Sprich: Wird ähnlich zum NetzDG die Plattform dazu verpflichtet Sprachdaten auf Anfrage herauszugeben oder wird nach Manier des Staatstrojaners abgehört?
Ich denke es wird so verfahren wie sie es beschreiben: Kurzfristig über Herausgabe von Daten als Beweismittel, langfristig per Trojaner, was allerdings die Mitwirkung des Herstellers erfordert oder den Erwerb von entsprechendem Know-how.
Was nützt das alles überhaupt, wenn sich der Terrorist oder die Terroristin keine „Smarthome“-Geräte ins Wohnzimmer stellen will?
Wird es dann zur Pflicht?
Ich vermute es wird daraus hinaus laufen das diese Daten dann bei den Anbietern abgefragt werden. Amazon speichert diese ja sowieso dauerhaft unverschlüsselt. Das ist dann deutlich einfacher und kostengünstiger als erst einen Trojaner entwickeln zu müssen der auf diese Geräte gespielt werden kann.
Da Alexa und co geschlossene Systeme sind dürfte dies auch schwieriger sein als einen Trojaner für Windows PC oder Android Smartphones zu bauen. Zudem erzeugt eine Übertragung von Sprachdateien viel Traffic, den der überwachte im Router dann evtl sehen oder gar abfangen und seine eigene Überwachung so erkennen könnte.
Wenn die EU dann noch Abkommen mit den USA schließt werden diese Daten dann sowieso auch noch vom NSA und co ausgewertet. Ohne das es dazu ein Gerichtsbeschluss oder was auch immer bedarf.
Im Grunde wäre es daher sinnvoll wenn es eine dezentrale OpenSource alternative geben würde. Aber das gestaltet sich wohl schwierig zu programmieren.
Sie unterschätzen den Bedeutung von Sprachdaten. Diese werten das persönliche Dossier über Sie erheblich auf und geben Aufschluss über Charakter, Stimmungslage und innerer psychische Struktur.
„Sicherheitsfirmen“ stehen schon in den Startlöchern um entsprechende Services bereitzustellen.
Zum Trafficaufkommen sei gesagt, dass Sprache sich sehr effizient kodieren lässt. Selbst der alte DS0 (PCM) Standard kommt mit 64 kbit/s aus. Zudem könnte ein manipuliertes Gerät den Datenversand so steuern, dass dieser mit legitimen Traffic zeitlich zusammenfällt ohne Verdacht zu erregen.
Das Kernproblem sehe ich allerdings nicht darin, dass eine Überwachung überhaupt möglich ist, vielmehr in der Leichtigkeit mit der diese geschehen kann: So müssen sie keine Wohnung mehr aufwendig „verdrahten“ oder Personen auf Schritt und Tritt verfolgen. Smartphone und Alexa ermöglichen eine kosteneffiziente anlasslose Massenüberwachung. Es gibt nur noch rechtliche Hürden, die man gerade versucht zu beseitigen.
https://www.datenschutz.de
https://www.datenschutzzentrum.de
https://www.datenschutzkonferenz-online.de/kurzpapiere.html
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf
Die Rechte und Freiheiten natürlicher Personen sind zentral bei der Abschätzung eines Risikos gemäß der DS-GVO. Jede Verarbeitung personenbezogener Daten ist mindestens eine Beeinträchtigung des Grundrechts auf den Schutz personenbezogener Daten, die durch eine Rechtsgrundlage gerechtfertigt werden muss (Art. 8 GrCh und Art. 6 DS-GVO).
Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses,
das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und
Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder meh-
rere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlich-keit, dass das Ereignis und die Folgeschäden eintreten.
Gemäß ErwGr 75 sind unter die möglichen Schäden physische, materielle und immaterielle Schäden
einzuordnen. Ungerechtfertigte Beeinträchtigungen der Rechte und Freiheiten von natürlichen Personen (Grundrechtsverletzungen) sind unter die immateriellen Schäden zu rechnen.