Vor kurzem habe ich mit großer Begeisterung meine neue Spracherkennungssoftware von einem großen bekannten Hersteller erhalten.
Nachdem ich zum Trainieren der Texterkennung mehrere Märchen auf mein Diktiergerät gesprochen hatte („Der Hase und der Igel“ von den Gebrüdern Grimm und „das Feuerzeug“ von Hans Christian Andersen – und ich mal wieder bemerkt hatte, wie garstig Märchen doch sein können) und die Software eine Analyse meines diktierten Textes vorgenommen hatte, fragte mich die Texterkennungssoftware, ob ich nicht meine gesamten E-Mails und auch meine Texte aus den „Eigenen Dateien“ durchsucht und analysiert haben möchte, um sich an meinem Wortschatz zu gewöhnen und gegebenenfalls Namen aus meinem Adressbuch zu übernehmen.
Dies erachtete ich grundsätzlich als eine gute und einleuchtende Idee, allerdings konnte ich mich noch an Berichte über die entsprechende App für Smartphones desselben Herstellers erinnern, welches auf den Smartphones genau zu diesen Zwecken Adressen und E-Mails durchsuchte und an die Server des Herstellers zur Analyse übermittelte. Aus diesem Grund war ich etwas skeptisch, ob ich diese Analyse auf meinem Rechner durchführen lassen sollte. Glücklicherweise befand sich unter diesen Anfragen mit entsprechenden Checkboxen – immerhin wurde ich hier ja im Gegensatz zu der Anwendung auf den Smartphones vorher gefragt – ein Hinweis auf die entsprechenden Datenschutzrichtlinien des Softwareherstellers.
Diese habe ich auch prompt angeklickt und gesichtet. Eigentlich suchte ich ja nur eine Bestätigung für meine Vermutung, dass die von der Spracherkennungssoftware analysierten Daten lediglich lokal auf meinem Rechner ausgewertet und verarbeitet werden. Denn im Gegensatz zu der Anwendung auf den Smartphones sollte diese Analyse ja auf dem lokalen Rechner möglich sein.
Unter den Datenschutzrichtlinien fand ich allerdings nur Aussagen, dass sich das Unternehmen an die Safe-Habor-Richtlinien halte, dass man meine Daten vertraulich behandele und „alle Produkte und alle Studien, Berichte, Analysen und andere Daten, Informationen und Materialien, die als Ganzes oder teilweise aus Daten gewonnen werden“, im alleinigen Besitz des Herstellers verbleiben würden. Beim genaueren Blick auf diese Datenschutzrichtlinien meinte ich zu erkennen, dass sich die angezeigten und aus der Software aufrufbaren Datenschutzrichtlinien offensichtlich nur auf Daten beziehen, welche beim Besuch der Unternehmenswebseite erhobenen und verarbeitet werden – dies lässt ein Hinweis auf die Verwendung von Cookies zu.
Ich denke nicht, dass ich beschreiben muss, dass ein solcher offensichtlich ungeeigneter Verweis auf Datenschutzrichtlinien vor einem konkreten Verarbeitungsvorgang, welche dann den konkreten Verarbeitungsvorgang überhaupt nicht betreffen, mehr als verwirrend und eigentlich eher kontraproduktiv ist. Statt eine Verweisung auf nicht zutreffende Datenschutzhinweise hätte hier letztendlich die Aussage genügt, dass diese höchst privaten Informationen nicht an den Hersteller oder einen Server in den Vereinigten Staaten übermittelt wird, auf den wie allgemein bekannt die Ermittlungsbehörden im Rahmen des Patriot-Acts Zugriff nehmen dürfen (und sogar eine Auskunft des Herstellers über mögliche Einsichtnahmen der Geheimdienste untersagt ist).
Ich habe die angesprochene Analyse dann nach einer „Nacht drüber schlafen und Nachdenken“ doch noch durchgeführt, allerdings bezogen nur auf ganz bestimmte nicht ganz so vertrauliche Texte und auch solche Texte, welche weder unter die Schweigepflicht des Rechtsanwalts als auch des Datenschutzbeauftragten fallen.
Sicherheitshalber – man kann ja nicht wissen – habe ich bei der Analyse meinen Rechner vom Internet getrennt…
(RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe)