Ihre Kontakte
Der EU-Datenschutzausschuss (EDSA) hat jüngst Leitlinien veröffentlicht, welche die datenschutzrechtlichen Vorgaben für den Einsatz und die Entwicklung von virtuellen Voice-Assistants erläutern. Die technologiespezifische Empfehlung hilft bei der Implementierung der datenschutzrechtlichen Grundsätze und sollte daher von Verantwortlichen und Entwicklern gleichermassen berücksichtigt werden. Hervorzuheben ist insbesondere, dass der EDSA die Frage nach der erforderlichen Rechtsgrundlage für die Datenverarbeitung durch virtuelle Voice-Assistants differenziert beantwortet: So muss zur Nutzerprofilerstellung zum Zwecke der personalisierten Werbung eine informierte Einwilligung der Nutzer eingeholt werden, während andere Datenverarbeitungen, wie bspw. die blosse Beantwortung von Nutzeranfragen, durchaus zur Erfüllung eines bestehenden oder potentiellen Vertrags mit dem Nutzer erforderlich sein können, so dass hierfür keine Einwilligung erforderlich ist.
Reger Einsatz Virtueller Voice Assistants
Die jüngsten technologischen Fortschritte haben die Genauigkeit und Popularität von virtuellen Sprachassistenten bzw. Virtual Voice-Assistants (VVA) stark erhöht. Im März 2021 veröffentlichte der Europäische Datenschutzausschuss (EDSA) daher den Entwurf einer Empfehlung zu VVA. Der EDSA definiert VVA als einen Dienst, der Sprachbefehle versteht und sie ausführt oder bei Bedarf an andere IT-Systeme weiterleitet. Aus dieser Definition wird ersichtlich, dass VVA in einer Vielzahl von Alltagsgegenständen eingebaut sind, wie z.B. Smartphones und Tablets, herkömmlichen Computern, Autos oder intelligenten Lautsprechern.
Kernpunkte der Empfehlung
Nach Ende der öffentlichen Konsultation wurde nun im Juli 2021 die finale Version der «Guidelines 02/2021 on virtual voice assistants» veröffentlicht. Der EDSA ruft in diesen zunächst in Erinnerung, dass die für die Datenverarbeitung Verantwortlichen, die VVA-Dienste anbieten, sowie ihre Auftragsverarbeiter sowohl die Datenschutz-Grundverordnung als auch die E-Privacy-RL einhalten müssen (siehe zur laufenden Revision der E-Privacy-RL: MLL-News vom 17. Juni 2021). Die folgenden datenschutzrechtlichen Aspekte der Empfehlung sind hervorzuheben:
- Umsetzung der Informationspflichten
VVA-Dienste werden immer öfter auch über bildschirmlose Endgeräte angeboten, wie z.B. intelligente Lautsprecher. Dennoch müssen die Nutzer auch hier im Einklang mit den Anforderungen der DSGVO über die Datenverarbeitungen informiert werden, wenn sie den VVA einrichten oder eine VVA-App installieren. Der EDSA empfiehlt den Anbietern, Designern und Entwicklern von VVA, sprachbasierte Schnittstellen zu entwickeln, über welche die vorgeschriebenen Informationen bereitgestellt werden können. Zudem könne die Information auch über eine Kombination von Kanälen bereitgestellt werden.
- Transparenz über den Status des VVA
VVA-Dienste werden meistens über ein Keyword aktiviert. Damit dies funktioniert, müssen sie ihre Umgebung konstant «abhören». Dies ist mit einer Datenerhebung verbunden. Der EDSA empfiehlt, dass der VVA-Dienst transparent indiziert, ob er aktiviert ist und seine Umgebung abhört, z.B. mit visuellen oder akustischen Signalen.
- Verknüpfung mit anderen Diensten
Der EDSA sieht die Verknüpfung von VVA-Diensten mit anderen Dienstleistungen kritisch. Er empfiehlt, diese Dienste zu entbündeln, d.h. eine Registrierung für jede einzelne Dienstleistung vorzusehen, insbesondere weil dies die Transparenz gegenüber den Nutzern erhöht. Der EDSA macht hier das (Negativ)Beispiel eines Anbieters, der bei der Registrierung auf seine allgemeine Datenschutzerklärung verweist, in der aber auch über die Datenerhebung im Zusammenhang mit anderen Diensten informiert wird, welche evtl. mit dem VVA-Dienst verknüpft werden können. Auf diese Weise werde die Information nicht präzis und leicht verständlich i.S.v. Art. 12 DSGVO bereitgestellt.
- Rechtgrundlagen für die Verarbeitung von Personendaten
Die Verarbeitung von Personendaten durch den VVA-Dienst braucht eine Rechtsgrundlage (vgl. Art. 6 DSGVO). Der EDSA nennt in seiner Empfehlung vier Verarbeitungskontexte, die mit Blick auf die Rechtsgrundlagen unterschieden werden müssen:- Sofern die Datenverarbeitung der Ausführung der Anfrage des Nutzers dient, ist sie erforderlich, um einen ausdrücklich vom Nutzer gewünschten Dienst der Informationsgesellschaft zu erbringen. In diesem Umfang ist für die Datenverarbeitung ausnahmsweise keine Einwilligung gemäss E-Privacy-RL erforderlich, weil sie sich auf Art. 5 Abs. 3 E-Privacy-RL stützen kann. Im Anwendungsbereich der DSGVO wird gemäss EDSA die Rechtsgrundlage der Erfüllung eines Vertrags mit dem Datensubjekt (Art. 6 Abs. 1 lit. b DSGVO) einschlägig sein.
- Die VVA-Dienste basieren auf Machine-Learning-Methoden. Hierbei finden zwei relevante Datenverarbeitungen statt: Einerseits die Ergänzung des VVA-Trainingsdatensatzes durch neue Nutzerdaten sowie andererseits die menschliche Überprüfung der Datensätze und der durch den VVA-Dienst ausgeführten bzw. nicht ausgeführten Anfragen. Dieses Training der Algorithmen sei streng genommen nicht für die Erfüllung des Vertrags erforderlich, weil VVA-Dienste auch ohne weiteres Training der Algorithmen funktionieren. Gemäss EDSA müsse daher eine andere Rechtsgrundlage gefunden werden. Welche Rechtsgrundlage die richtige wäre, lässt der EDSA aber offen.
- Sofern Sprachdateien zur Identifizierung des Nutzers verwendet werden, erfolgt die Identifizierung anhand biometrischer Merkmale. Das heisst, es findet eine Verarbeitung von biometrischen Daten i.S.v. Art. 4 Nr. 14 DSGVO statt. Für die Verarbeitung dieser besonderen Kategorien von Daten muss eine Rechtsgrundlage nach Art. 9 DSGVO und Art. 6 DSGVO vorliegen, wobei gemäss EDSA nur eine informierte und freiwillige Einwilligung in Frage kommt.
- Schliesslich weist der EDSA darauf hin, dass die von VVA-Diensten gesammelten Daten zur Erstellung von Nutzerprofilen genutzt werden können (z.B. durch die Auswertung von Daten zu Suchanfragen oder von Daten über E-Commerce-Bestellungen). Es könne sein, dass diese Personalisierung einen «intrinsischen» Teil des Dienstes ausmache, wobei es hierbei auf die Natur des Dienstes, die berechtigten Erwartungen der betroffenen Personen, die Nutzungsbedingungen, die Vermarktung des Dienstes sowie auf die Möglichkeit den Dienst ohne Personalisierung zu nutzen ankomme. In diesen Fällen kann die Datenverarbeitung erforderlich sein, um einen ausdrücklich vom Nutzer gewünschten Dienst der Informationsgesellschaft zu erbringen, d.h. sie kann sich auf Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 5 Abs. 3 E-Privacy-RL stützen. Der EDSA hält aber ausdrücklich fest, dass eine Erstellung von Nutzerprofilen zum Ausliefern von personalisierter Werbung nie hierunter subsumiert werden könne (vgl. hierzu auch MLL-News vom 24.11.2019). In diesen Fällen sowie allen anderen Fällen, in denen die Personalisierung nicht zur Vertragserfüllung erforderlich ist, muss «im Prinzip» die Einwilligung der Nutzer eingeholt werden.
- Daten von Kindern
Der EDSA erinnert daran, dass spezielle Anforderungen an die Verarbeitung von Daten von Kindern gelten, insbesondere dass nur Kinder über 16 Jahre gültig einwilligen können (vgl. Art. 8 Abs. 1 DSGVO). Bei jüngeren Kindern müsse die Einwilligung der Eltern eingeholt werden. Zudem regt er die Verantwortlichen dazu an, Investitionen in die Entwicklung von Methoden zu tätigen, die Eltern die Kontrolle der Nutzung von VVA-Diensten durch ihre Kinder ermöglichen.
- Datenminimierung
In der Empfehlung werden zudem verschiedene Hinweise zur Einhaltung des Datenminimierungsgrundsatzes gegeben. Interessant ist der Hinweis, dass die Identifizierung anhand der Stimme nicht permanent, sondern erst durch ein Keyword aktiviert werden sollte. Zudem gäbe es gemäss EDSA VVA-Dienste, welche die Daten solange aufbewahren würden, bis der Nutzer aktiv ihre Löschung verlange. Dies sei keine korrekte Umsetzung des Grundsatzes der Datenminimierung.
Darüber hinaus finden sich auch Empfehlungen zur Datensicherheit, der Verarbeitung besonderer Kategorien von Daten, Data Protection by Design and Default sowie Überlegungen zur Umsetzung von Rechten der betroffenen Personen.
Einschätzung
Es ist zu begrüssen, dass der EDSA diese technologiespezifische Empfehlung erlassen hat. Hilfreich sind gerade die Empfehlungen zur Umsetzung der Informationspflichten sowie die Feststellung, dass mit Schnittstellen zu anderen Medien gearbeitet werden kann. Praxisrelevant, wenn auch keineswegs überraschend, sind die Hinweise zu den Rechtsgrundlagen der Datenverarbeitung. Wie der EDSA festhält, muss insbesondere für die Nutzerprofilerstellung zum Zwecke der personalisierten Werbung eine informierte Einwilligung der Nutzer eingeholt werden. Bemerkenswert ist jedoch, dass sich der EDSA nicht darauf festlegt, dass die Nutzung von Personendaten zur Weiterentwicklung von Machine-Learning Algorithmen immer eine Einwilligung erfordert. Entwickler, die jedoch keine Einwilligung für die Weiterentwicklung der Machine-Learning Algorithmen einholen, müssen sich im Einzelfall gut überlegen und dokumentieren, weshalb die Datenverarbeitung gestützt auf eine andere Rechtsgrundlage erfolgen kann. Das Einholen einer Einwilligung dürfte daher oftmals immer noch eine rechtssichere Alternative bleiben, selbst wenn diese widerrufen werden kann.
Gerade letztere Überlegungen verdeutlichen, dass Einsatz und Entwicklung von VVA-Diensten aus datenschutzrechtlicher Sicht immer im Einzelfall beurteilt werden müssen. Die in der Praxis sehr relevante Frage, wie der rechtssichere Transfer von Personendaten in Länder ausserhalb der EU bzw. des EWR sichergestellt werden soll, wird zudem in der vorliegenden Empfehlung gar nicht thematisiert. Gerade die Zusammenarbeit mit Dienstleistern oder Entwicklern im Ausland sollte daher einer eingehenden Prüfung unterzogen werden (siehe dazu auch: MLL-News vom 20. Juni 2021). Die Empfehlungen des EDSA bieten also eine gute Orientierung für die datenschutzrechtlichen Anforderungen an VVA-Dienste, sind aber diesbezüglich keineswegs abschliessend.
Weitere Informationen:
- EDSA/EDPB: Guidelines 02/2021 on virtual voice assistants Version 2.0 Adopted on 7 July 2021, Version 2.0, Adopted July 7 2021
- E-Privacy-Richtlinie (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)
- Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
- MLL-News vom 20. Juni 2021: Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln
- MLL-News vom 17. Juni 2021: E-Privacy-Verordnung: EU-Rat einigt sich auf eine Regelung für die Nutzung von Kommunikationsdaten und Cookies