Sprachassistenten und Datenschutz am Beispiel Pflegeeinrichtungen

Sprachassistenten wie Alexa, Siri und Google Home sind mittlerweile zu einem festen Bestandteil der Gesellschaft geworden. Prognosen gehen davon aus, dass 2024 bis zu 8,4 Milliarden Sprachassistenten[1] weltweilt im Einsatz sein werden. Damit übertrifft die Anzahl von Alexa, Siri und Co. sogar die Weltbevölkerung. Der Einsatz dieser Hilfsmittel erfolgt nicht nur im Privaten. Gerade im Bereich der ambulanten Pflege könnten sie pflegebedürftigen Personen den Alltag erleichtern, wenn diese per Sprache z.B. den Radiosender ändern können, was sie aufgrund ihres Gesundheitszustands selbst nicht mehr bewerkstelligen können. Daher werden diese Personen oder deren Angehörigen früher oder später fragen, ob sie einen Sprachassistenten aufstellen dürfen. Spätestens dann müssen sich Pflegeeinrichtungen damit auseinandersetzen, welche Folgen der Einsatz von Sprachassistenten für den Datenschutz hat.

Warum Sprachassistenten für den Datenschutz problematisch sind

Sprachassistenten müssen ständig zuhören, damit sie auf Sprachkommandos reagieren können. Das bedeutet jedoch, dass sie gleichzeitig auch jederzeit personenbezogene Daten erfassen oder dies zumindest nicht ausgeschlossen werden kann. Für den ordnungsgemäßen Gebrauch ist es sinnvoll, dass die Assistenten stets auf die Sprachkommandos reagieren können. Leider sind sie häufig noch fehleranfällig. So kann es passieren, dass sie ähnlich klingende Worte als Sprachbefehl erkennen und sich dann ungewollt aktivieren und personenbezogene Daten aufzeichnen, auf welche die Nutzer keinen Einfluss haben. Somit ist die Privatsphäre potentiell gefährdet, wenn sich ein Sprachassistent im selben Raum befindet. Zusätzlich ist fraglich, inwiefern betroffene Personen ihre Betroffenenrechte, wie z.B. das Löschen, vollumfänglich ausüben können. Eine Löschung ist bspw. in der Alexa-App möglich, ob die Daten jedoch noch an anderer Stelle gespeichert werden ist unbekannt. Ob pflegebedürftige Personen diese App bedienen können und verstehen was sie da tun, ist ebenfalls fraglich.

Problematik der besonderen Kategorien personenbezogener Daten

Einem datenschutzkonformen Einsatz von Sprachassistenten in der Pflege steht neben den grundlegenden Problemen auch die Art der Daten entgegen, welche sie in Pflegeeinrichtungen verarbeiten. Mitarbeitende oder externe Ärzte verarbeiten in der Regel bei ihren pflegerischen Leistungen besondere Kategorien personenbezogener Daten der Klienten. Da es hierbei zur Aussprache von v. a. Gesundheitsdaten kommt, kann ein allzeitbereiter Sprachassistent eine Datenpanne auslösen. Die besonderen personenbezogenen Daten unterliegen nach den Datenschutzgesetzen einem besonderem Schutz. Ein solcher Schutz kann nicht gewährleistet sein, wenn Sprachassistenten fehleranfällig sind. Demnach können die Sprachassistenten für Zeiträume pflegerischer Leistungen nicht genutzt werden und sind abzustellen oder gar zu entfernen.

DS-GVO und Sprachassistenten: Problematik der Drittlandsübermittlung

Hinzukommend erschwert die Tatsache, dass die verbreitetsten Sprachassistenten größtenteils von US-Herstellern stammen, den Einsatz in Pflegeeinrichtungen. Die Anbieter der Sprachassistenten stellen zwar gewisse Informationen bereit, wie sie die Daten verarbeiten, jedoch sind nicht alle Nutzungszwecke transparent und Datenübermittlungen an den Anbieter sind ein offenes Geheimnis. Da die Anbieter in Drittländern wie den USA sitzen, findet eine internationale Datenübertragung statt. Eine solche Übermittlung in die USA ist datenschutzrechtlich problematisch, da das Datenschutzniveau in den USA aus Sicht des europäischen Datenschutzrechts unzureichend ist. Wenn Anbieter intransparent Daten verarbeiten, ist der datenschutzkonforme Einsatz fraglich. Die Aufsichtsbehörden befinden aktuell den Einsatz von Microsoft 365 wegen dieser Gründe für nicht datenschutzkonform umsetzbar. Bei Sprachassistenten in der Pflege kommen hier obendrein die besonderen Kategorien personenbezogener Daten hinzu, wodurch ein Einsatz der Sprachassistenten unter Einhaltung der DS-GVO zusätzlich erschwert wird.

Zwischenfazit: Intransparent und nicht angemessenes Datenschutzniveau verhindern den Einsatz

Aufgrund der intransparenten und fehlerhaften Verarbeitung von besonderen personenbezogenen Datenkategorien gefolgt von einer Datenübermittlung in ein Drittland ohne ausreichendes Datenschutzniveau, wie bspw. beim Einsatz von Amazon Alexa, ist ein datenschutzkonformer Einsatz von Sprachassistenten in Pflegeeinrichtungen fraglich. Der Mangel an Schutz für diese besonderen Daten kann in keiner Weise ausgeglichen werden, wodurch von einem Einsatz dringend abzuraten ist. Möglicherweise können deutsche oder europäische Anbieter von Sprachassistenten mit transparenten Datenverarbeitungen diese Lücke schließen. Bei diesen entfällt die Drittlandsproblematik und je nach Umsetzung die intransparente Datennutzungen der Anbieter. Ein Einsatz könnte, je nach Sprachassistent, wieder möglich werden.

Rechtmäßigkeit des Einsatzes von Sprachassistenten durch Pflegeeinrichtungen

Wenn eine Pflegeeinrichtung trotzdem einen Sprachassistenten aufstellen möchte, so ist sie Verantwortlicher nach der Datenschutz-Grundverordnung (DS-GVO). Sie ist dafür verantwortlich, dass sie die Grundsätze für die Verarbeitung von personenbezogenen Daten einhält. Damit der Einsatz rechtmäßig erfolgt, benötigt sie eine Einwilligung der betroffenen Personen. Jede Person, welche einen Raum mit einem Sprachassistent betritt, gilt als betroffene Person und muss ihre Einwilligung zur Nutzung des Assistenten erteilen. Das gilt somit für Bewohner, Beschäftigte, Angehörige und weitere Dritte wie Besucher und Ärzte. Hier zeigt sich die größte Herausforderung eines Einsatzes. Die Einwilligung aller Personen macht es nahezu unmöglich diese in gemeinschaftlich genutzten Räumen oder öffentlichen Bereichen einzusetzen, da jede anwesende Person eingewilligt haben muss. Gerade bei Besuchern, die nur unregelmäßig ihre Angehörigen besuchen oder Handwerkern dürfte dies sehr schwierig sein. Andernfalls dürfen Sprachassistenten nicht genutzt werden. In Räumlichkeiten wie z. B. Einzel- oder Doppelzimmer ist ein Einsatz eher vorstellbarer, da sich üblicherweise die gleichen Personen darin aufhalten.

Datenschutzhinweise zum Einsatz von Sprachassistenten

Damit die betroffenen Personen überhaupt datenschutzkonform einwilligen können, müssen zudem die Informationspflichten eingehalten und angemessene technische und organisatorische Maßnahmen getroffen werden. Das bedeutet, dass die jeweilige Person über die Verarbeitung und die Risiken aufzuklären und Maßnahmen zum Schutz zu treffen sind. Da die Datenverarbeitungen der Anbieter nicht vollumfänglich publik sind, können keine vollständig transparenten Datenschutzhinweise erfolgen, wodurch ein datenschutzkonformer Einsatz ausgeschlossen ist. Des Weiteren sollten Informationen zu Funktionseinstellungen weitergegeben werden wie bspw. das Ertönen eines akustischen Signals bei der Sprachaufzeichnung. Hierdurch erkennen alle Anwesenden, wann eine Sprachaufzeichnung stattfindet.

Ein weiterer zwingender Hinweis betrifft das notwendige Ausschalten bei Gesprächen, welche besondere personenbezogene Daten umfassen wie z. B. Untersuchungen oder therapeutische Gespräche, oder wenn eine Person anwesend ist, welche nicht in die Nutzung eingewilligt hat. Auch der Hinweis, wie lange die Sprachaufzeichnungen gespeichert werden und wie die Löschung erfolgt, gehört zu den Informationen, welche bei der Erteilung der Einwilligung vorliegen müssen. Für die aufgezeichneten Sprachbefehle gilt darüber hinaus aufgrund des Grundsatzes der Speicherbegrenzung auch eine zeitnahe Löschfrist. Die Aufzeichnungen sollten nie länger als ein paar Tage gespeichert werden. Hierfür muss je nach Sprachassistent in der jeweiligen App eine entsprechende Einstellung getroffen werden. Ob diese Daten dann vom Anbieter auch tatsächlich gelöscht werden und nicht für andere Zwecke verarbeitet werden, bleibt unklar. Dennoch müssen die betroffenen Personen darüber aufgeklärt werden, wie der Anbieter des Sprachassistenten mit ihren Daten umgeht – und genau das ist die Herausforderung.

Zwischenfazit: Zusätzliche Einwilligungen und An- und Ausschalten der Geräte erschweren den Einsatz

Wenn Pflegeeinrichtungen zusätzlich zu ihren pflegerischen Leistungen nun auch noch weitere Einwilligungen eines sich möglicherweise ständig ändernden Personenkreises einholen müssen, so belastet sie das zusätzlich. Außerdem müssen sie darauf achten, dass sie die Geräte an- und ausschalten, je nachdem was gerade erforderlich ist. Aus diesen Gründen ist es fraglich, ob der Nutzen eines Sprachassistenten überwiegt. Ein Einsatz durch die Pflegeeinrichtung ist somit höchst wahrscheinlich weder datenschutzkonform noch praktikabel möglich.

Nutzung der Sprachassistenten durch die Bewohner der Pflegeeinrichtungen

Was ändert sich, wenn ein Sprachassistent von einer betreuten Person platziert wird? Dann ist die Pflegeeinrichtung nicht mehr die verantwortliche Stelle und für den Einsatz nicht mehr verantwortlich. Die Anforderungen an den Einsatz gehen somit auf die betreute Person über. Diese ist dafür verantwortlich, dass sie die Persönlichkeitsrechte von anderen Personen nicht  beeinträchtigt. Inwiefern das den Klienten bewusst ist oder sie überhaupt dazu in der Lage sind dem auch nachkommen zu können, ist jedoch fraglich. Die Pflegeeinrichtung könnte ihre Klienten hierbei unterstützen, dann muss sie jedoch die eben genannten praktischen Herausforderungen lösen. Ob sie das leisten kann oder möchte, erscheint beim aktuellen Pflegemangel eher unrealistisch. Die Einrichtung muss ihre Mitarbeiterinnen und Mitarbeiter jedoch schützen. Die Einrichtung hat Sorge zu tragen, dass sie diese über jeden Sprachassistenten sowie deren Risiken informiert sind und dies in der Betreuung zu berücksichtigen. Somit müsste die Einrichtung über jeden Einsatz eines verwendeten Sprachassistenten informiert sein.

Fazit: Ein datenschutzkonformer Einsatz von Sprachassistenten ist aktuell nur schwer umsetzbar

Aufgrund der intransparenten Datenverarbeitungen durch die Anbieter der Sprachassistenten ist ein sicherer und datenschutzkonformer Einsatz aktuell nur schwer umsetzbar. Besonders in Fällen von besonderen personenbezogenen Daten höchstwahrscheinlich nicht möglich. Wenn Bewohner Sprachassistenten nutzen, so sind diese dafür verantwortlich und nicht die Pflegeeinrichtungen. Allerdings muss sie ihre Mitarbeiterinnen und Mitarbeiter über den Einsatz aufklären und sie davor schützen, dass Klienten deren Persönlichkeitsrechte verletzen. Zusätzlich kommen weitere Aktivitäten zu den ohnehin schon zahlreichen pflegerischen Aufgaben hinzu. Der Einsatz bleibt somit aus praktischer Sicht eher unrealistisch. Aus Datenschutzsicht gibt es sehr viele praktische Herausforderungen bei denen eine Lösung unklar ist. Da Sprachassistenzen neu sind, sollten Datenschutzbeauftragte Piloteinsätze sorgfältig begleiten. Nur so lässt sich herausfinden, ob ein Einsatz überhaupt möglich ist. Perspektivisch dürften vermutlich nur europäischen Anbieter die Anforderungen an einen datenschutzkonformen Einsatz erfüllen. Deshalb sollten Pflegeinrichtungen stets ihre Datenschutzbeauftragten einbinden, wenn sie von einem Sprachassistenten in ihren Einrichtung erfahren, oder planen solche einzusetzen.

Ihnen fehlt ein Experte, der Sie in der Umsetzung des Datenschutzes unterstützt? Wir helfen Ihnen gerne! Nehmen Sie jetzt Kontakt zu uns auf!

von Marc Menz, 01.02.2023

Bitte beachten Sie: Dieser Beitrag ist keine Rechtsberatung, sondern spiegelt nur unsere Erfahrungen aus der Datenschutzberatung wider!

Hinweis: Personenbezüge in männlicher Form schließen alle Geschlechter mit ein. Die Lesbarkeit soll durch die Verwendung der männlichen Form erleichtert werden.

Bildquelle: Bild von HeikoAL auf Pixabay

[1] https://de.statista.com/statistik/daten/studie/1323879/umfrage/anzahl-weltweit-verwendeter-sprachassistenten/

Sie interessieren sich für weitere unserer Blogbeiträge? Abonnieren Sie unseren Newsletter, dann informieren wir Sie automatisch über neue Beiträge.

*Pflichtangabe

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert