FTC kündigt Durchsetzungsmaßnahmen gegen die Alexa- und Ring-Abteilungen von Amazon wegen Verstößen gegen die Privatsphäre der Nutzer an

Am 31. Mai kündigte die Federal Trade Commission (FTC oder Commission) zwei separate Durchsetzungsmaßnahmen gegen Amazon an – eine gegen seinen cloudbasierten Sprachdienst Alexa und die andere gegen Ring, sein intelligentes Türklingelsystem. Obwohl die beiden Durchsetzungsmaßnahmen auf unterschiedlichen Tatsachen basieren, konzentrieren sich beide Beschwerden auf Behauptungen, dass Alexa und Ring die Privatsphäre der Benutzer auf verschiedene Weise verletzt haben, unter anderem durch irreführende Datenspeicherungspraktiken, übermäßigen Mitarbeiterzugriff auf Benutzerdaten und unzureichende Cybersicherheit Praktiken Methoden Ausübungen. Im Rahmen dieser Vergleiche muss Amazon mehr als 30 Millionen US-Dollar an die Bundesregierung zahlen. Das Unternehmen hat auf die Vorwürfe der FTC in Bezug auf die Durchsetzungsmaßnahmen von Ring und Alexa reagiert.

Diese Vergleiche verdeutlichen die Arten von Aktivitäten, auf die sich die FTC künftig bei der Durchsetzung konzentrieren könnte (und tatsächlich hat die Behörde bereits eine weitere Durchsetzungsmaßnahme im Zusammenhang mit Kinderdaten angekündigt, seit diese Vergleiche veröffentlicht wurden). Vor allem spiegeln die zugrunde liegenden Beschwerden in diesem Fall eine weit gefasste Vorstellung davon wider, was die FTC als „unfaire“ Praktiken im Sinne von Abschnitt 5 des FTC-Gesetzes ansieht, darunter Praktiken wie übermäßiger Mitarbeiterzugriff auf Kundendaten, unzureichende Cybersicherheitskontrollen, unnötige Speicherung von Kundendaten und Nichteinhaltung von Löschungswünschen. In Zukunft können Unternehmen damit rechnen, dass sich die FTC auf diese weitreichende Auslegung unlauterer Praktiken stützt, um Unternehmen zu sanktionieren, die den Datenschutz ihrer Kunden verletzen.

Darüber hinaus sollten Unternehmen, die im Bereich der künstlichen Intelligenz (KI) tätig sind, beachten, dass die FTC die Einhaltung des Datenschutzes als Voraussetzung für die Entwicklung dieser Modelle ansieht. Im Rahmen der vorgeschlagenen Anordnung für Alexa verlangte die FTC von Amazon, inaktive Kinderkonten sowie bestimmte Sprachaufzeichnungen und Geolokalisierungsinformationen zu löschen, und untersagte dem Unternehmen außerdem, solche Daten zum Trainieren seiner Algorithmen zu verwenden, da sie behauptete, dass die Informationen unter Verstoß verarbeitet wurden des Children's Online Privacy Protection Act (COPPA). Angesichts der zunehmenden Verbreitung von KI-Produkten sollten sich Unternehmen darüber im Klaren sein, dass die FTC genau darauf achtet, wie diese Modelle entwickelt werden (und welche Auswirkungen diese KI-Produkte haben können) und die Datenherausgabe als Abhilfe einsetzen wird, wenn sie dies für angemessen hält.

Diese Durchsetzungsmaßnahmen setzen ein aktives Jahr für die FTC-Durchsetzung im Bereich Datenschutz und Sicherheit fort, wobei die Kommission bereits mehrere Durchsetzungsmaßnahmen gegen Unternehmen wegen Missbrauchs von Gesundheitsdaten eingeleitet, eine verstärkte Prüfung biometrischer Technologien angekündigt und Unternehmen vor den rechtlichen Konsequenzen gewarnt hat Risiken beim Einsatz von KI-Tools. Angesichts dieses Umfelds verschärfter behördlicher Kontrolle sollten Unternehmen sicherstellen, dass sie robuste und transparente Richtlinien zur Datenerfassung und -nutzung entwickeln, umsetzen und einhalten.

In diesem Beitrag fassen wir die Beschwerden der FTC und die vorgeschlagenen festgelegten Anordnungen im Rahmen der Amazon-Durchsetzungsmaßnahmen zusammen und heben die wichtigsten Erkenntnisse für Unternehmen hervor, die verstehen möchten, wie sich diese Durchsetzungsmaßnahmen künftig auf ihre Datenschutz- und Sicherheitsprogramme auswirken könnten.

ALEXA-DURCHSETZUNGSAKTION

Die Beschwerde

Alexa ist der Sprachassistentendienst von Amazon, der Benutzern den Zugriff auf eine Reihe von Produkten und Dienstleistungen über Hardwaregeräte (z. B. Amazon Echo-Lautsprecher) und eine mobile App ermöglicht. Zu den Angeboten von Alexa gehören unter anderem speziell auf Kinder zugeschnittene Produkte und Dienstleistungen wie der Smart Speaker „Echo Dot Kids Edition“ und der Dienst „FreeTime Unlimited on Alexa“, der Kindern Zugang zu Hörbüchern, Spielen und anderen Angeboten ermöglicht. Insbesondere sammelt der Alexa-Dienst im Rahmen seines Betriebs Sprachaufzeichnungen und Geolokalisierungsinformationen der Benutzer.

Die Kernerzählung der FTC-Beschwerde gegen Alexa besteht darin, dass Amazon angeblich unlautere und irreführende Praktiken anwendete, indem es den Verbrauchern vorstellte, Alexa sei ein datenschutzbewusstes Angebot, das es den Benutzern ermöglichte, die Kontrolle darüber auszuüben, wie sensible Daten (einschließlich Sprach- und Geolokalisierungsdaten) erfasst wurden , von Amazon verwendet und aufbewahrt. Die Kommission behauptet, dass diese Darstellungen im Widerspruch zur Realität der Datenerhebungs- und -nutzungspraktiken von Alexa standen und Verstöße gegen Abschnitt 5 des FTC-Gesetzes und die COPPA-Regel darstellten.

Zu den konkreten Behauptungen der Beschwerde gehören die folgenden.

1. Irreführende Darstellungen bezüglich der Löschung von Geolocation-Daten.Die FTC wirft Amazon vor, irreführende Aussagen über die Fähigkeit von Alexa-App-Benutzern gemacht zu haben, die von der App gesammelten Geolokalisierungsinformationen zu löschen, und behauptet, dass Amazon es versäumt habe, Löschanfragen auf Daten anzuwenden, die an „sekundären Datenspeicherorten“ gespeichert sind, und diese Daten weiterhin verwendet habe Zwecken der Produktverbesserung.

2. Täuschende Darstellungen in Bezug auf den Zugriff auf sowie die Löschung und Speicherung von Sprachaufzeichnungen des Benutzers. In der Beschwerde wird Amazon vorgeworfen, irreführende Angaben zum Umgang mit Sprachaufzeichnungen gemacht zu haben. Konkret behauptet die FTC, dass Amazon schriftliche Transkripte von Sprachaufzeichnungen auch nach der Löschung der begleitenden Audiodateien aufbewahrte, seinen Mitarbeitern weitreichenden Zugriff auf Sprachaufzeichnungen gewährte und Sprachaufzeichnungen von Kindern standardmäßig auf unbestimmte Zeit aufbewahrte.

3. Unfaire Datenschutzpraktiken. Die Beschwerde hebt eine Reihe angeblicher Datenschutzpraktiken hervor, die die FTC als unfair eingestuft hat, darunter (1) die Aufbewahrung von Sprachaufzeichnungen von Kindern länger als vernünftigerweise notwendig; (2) Isolierung von Geolokalisierungsdaten von Benutzerlöschanfragen und weiterhin Zugriff auf diese Daten zu Produktverbesserungszwecken, auch nachdem eine Löschanfrage eingereicht wurde; (3) Nichterfüllung vollständiger Löschanfragen für Geolokalisierungsdaten und Sprachaufzeichnungen; und (4) es wurde versäumt, die Verbraucher darüber zu informieren, dass Amazon den Anfragen der Verbraucher, die Geolokalisierungsinformationen oder Sprachaufzeichnungen ihrer Kinder oder ihrer Kinder zu löschen, nicht nachgekommen ist.

4. Verstöße gegen die COPPA-Regeln. In der Beschwerde wird behauptet, dass die Datenschutz- und Sicherheitspraktiken von Amazon im Zusammenhang mit Alexa gegen die COPPA-Regel 16 CFR Teil 312 verstoßen, die Betreibern von Online-Diensten, die sich an Kinder unter 13 Jahren richten, Anforderungen auferlegt. 16 CFR § 312.3. Zu den verletzten Anforderungen gehörten laut der Beschwerde Anforderungen für die Bereitstellung einer Mitteilung, die Eltern über ihr Recht auf Löschung der personenbezogenen Daten ihrer Kinder und die Möglichkeit, dieses Recht auszuüben, informiert (siehe 16 CFR §§ 312.4, 312.6), sowie Verbote der Speicherung personenbezogene Daten von Kindern länger als nötig, um den Zweck zu erfüllen, für den diese Daten gesammelt wurden, siehe 16 CFR § 312.10.

Die vorgeschlagene festgelegte Verordnung

Die vorgeschlagene festgelegte Reihenfolge stellt die folgenden Hauptanforderungen an Amazon.

1. Löschung von Informationen. Amazon ist verpflichtet, einen Prozess zu implementieren, um inaktive Alexa-Kinderprofile zu identifizieren und alle mit solchen Profilen verknüpften personenbezogenen Daten von Kindern zu löschen. Darüber hinaus muss Amazon die Löschung aller Geolokalisierungs-, Sprach- oder personenbezogenen Daten von Kindern sicherstellen, deren Löschung ein Benutzer (oder ein Elternteil des Kinderbenutzers) zuvor beantragt hat, und es ist ihm untersagt, diese Daten anschließend zur Erstellung oder Verbesserung von Modellen und anderen Daten zu verwenden andere datenbezogene Tools.

2. Datenschutzprogramm. Amazon muss ein Datenschutzprogramm implementieren, das sich auf die Erfassung und Nutzung von Geolokalisierungsinformationen konzentriert. Dieses Programm muss Funktionen wie jährliche Risikobewertungen, die Umsetzung von Schutzmaßnahmen (einschließlich Datenschutzüberprüfungen, Mitarbeiterschulungen und Zugangskontrollen) und eine Überprüfung der Dienstleister umfassen.

3. Keine falschen Angaben zum Datenschutz von Geolokalisierung und Sprachinformationen.Es ist Amazon untersagt, falsche Angaben zu Alexas Datenaufbewahrungs-, Zugriffs- und Löschpraktiken in Bezug auf Geolokalisierung und Sprachinformationen zu machen, einschließlich des Ausmaßes, in dem Benutzer Kontrolle über diese Praktiken ausüben können.

4. Hinweise zur Datenaufbewahrung und -löschung.Amazon muss den Verbrauchern Offenlegungen zur Datenaufbewahrung und -löschung zur Verfügung stellen, in denen erläutert wird, warum Sprach- und/oder Geolokalisierungsinformationen erfasst werden und über welche Mechanismen Benutzer die Löschung dieser Informationen beantragen können.

5. 25-Millionen-Dollar-Geldurteil.Amazon muss eine zivilrechtliche Strafe in Höhe von 25 Millionen US-Dollar zahlen.

RING-DURCHSETZUNGSAKTION

Die Beschwerde

Ring ist ein Unternehmen für Heimsicherheitskameras, das 2018 von Amazon übernommen wurde. Ring verkauft „mit dem Internet verbundene, videofähige Überwachungskameras, Türklingeln und zugehöriges Zubehör und Dienstleistungen“, darunter Kameras, die private Räume in den Häusern der Verbraucher überwachen. Im Rahmen seiner Angebote speichert und analysiert Ring die von seinen Geräten aufgenommenen Videoaufzeichnungen.

Im Großen und Ganzen wird in der Beschwerde der FTC gegen Ring behauptet, dass das Unternehmen seinen Mitarbeitern weitreichenden Zugang zu den Videodaten der Kunden gewährt habe, es versäumt habe, die Kunden über das Ansehen von Videoaufzeichnungen durch seine Mitarbeiter zu informieren oder deren Zustimmung einzuholen, und keine angemessenen Datensicherheitspraktiken zum Schutz eingeführt habe seine Geräte vor Cybersicherheitsgefährdungen zu schützen. In der Beschwerde wird behauptet, dass diese Praktiken betrügerische und unlautere Praktiken darstellten, die gemäß Abschnitt 5 des FTC-Gesetzes strafbar seien.

Zu den konkreten Behauptungen der Beschwerde gehören die folgenden.

1. Umfassender Mitarbeiterzugriff auf Kundenvideoaufzeichnungen.In der Beschwerde wird behauptet, Ring habe es versäumt, den Mitarbeiterzugriff auf Videoaufzeichnungen von Kunden angemessen einzuschränken, was dazu geführt habe, dass jeder Ring-Mitarbeiter (zusätzlich zu Hunderten von Auftragnehmern) auf alle Kundenvideos zugreifen und diese herunterladen könne, unabhängig davon, ob sie einem legitimen Geschäftszweck dienten für eine solche Aktivität.

2. Versäumnis, Kunden über die menschliche Überprüfung von Videoaufzeichnungen zu informieren und ihre Zustimmung nicht einzuholen. In der Beschwerde wird weiterhin behauptet, dass Ring selbst dann, wenn Mitarbeiter und Auftragnehmer von Ring einen legitimen Geschäftszweck für den Zugriff auf Kundenaufzeichnungen hatten, die Kunden nicht über eine solche menschliche Überprüfung informiert oder deren Zustimmung eingeholt hat. Die Beschwerde richtet sich insbesondere gegen die Nutzungsbedingungen und Datenschutzrichtlinien von Ring aus der Zeit vor Januar 2018. Vor Dezember 2017, so heißt es in der Beschwerde, habe Ring in diesen Dokumenten nicht offengelegt, dass seine Mitarbeiter und Auftragnehmer alle Videoaufzeichnungen einsehen könnten, sondern stattdessen eine allgemeine Beschreibung des Rechts des Unternehmens zur Nutzung dieser Aufzeichnungen zur Produktverbesserung und -entwicklung enthalten. Ebenso wird in der Beschwerde darauf hingewiesen, dass in der Datenschutzrichtlinie von Ring von Dezember 2017 bis Januar 2018 „Rings Verwendung von Geräteaufzeichnungen zur Produktverbesserung und -entwicklung beschrieben“ wurde, es wird jedoch behauptet, dass diese Beschreibung „in dichtem und langwierigem juristischen Fachjargon begraben“ sei.

3. Unzureichende Cybersicherheitspraktiken. In der Beschwerde wird behauptet, Ring habe es versäumt, „Standardsicherheitsmaßnahmen“ zur Verhinderung häufiger Cybersicherheitsangriffe umzusetzen. Konkret lehnte Ring trotz zahlreicher Warnsignale – einschließlich Cybersicherheitsbeeinträchtigungen, Schwachstellenmeldungen und Medienberichten über Angriffe gegen Wettbewerber – angeblich ab, grundlegende Sicherheitsmaßnahmen zu implementieren, oder implementierte Schutzmaßnahmen, die „zu gering und zu spät“ waren.

Die vorgeschlagene festgelegte Verordnung

Die vorgeschlagene festgelegte Verordnung stellt Ring die folgenden Hauptanforderungen auf.

1. Löschung von Videoaufzeichnungen und abgeleiteten Produkten aus der Zeit vor März 2018.Ring ist verpflichtet, die abgedeckten Videoaufzeichnungen von vor März 2018, „Gesichtseinbettungen“ von vor März 2018 und Arbeitsergebnisse (z. B. Modelle und Algorithmen), die aus der Überprüfung der Aufzeichnungen von vor März 2018 entwickelt wurden, zu löschen.

2. Datenschutz- und Datensicherheitsprogramm. Ring ist verpflichtet, ein Datenschutz- und Datensicherheitsprogramm zu implementieren, einschließlich Funktionen wie regelmäßige Risikobewertungen, Entwicklung einer Richtlinie, die die Überprüfung von Kundenvideoaufzeichnungen durch Menschen verbietet, sofern bestimmte Bedingungen nicht erfüllt sind, Mitarbeiterschulung, Datenzugriffskontrollen (z. B. Multifaktor-Authentifizierung). , Anforderungen an sichere Passwörter, Verschlüsselung von Kundenvideoaufzeichnungen während der Übertragung und im Ruhezustand sowie Test- und Überwachungsschutzmaßnahmen. Darüber hinaus ist Ring verpflichtet, die Einhaltung des oben genannten Programms durch alle zwei Jahre stattfindende Bewertungen durch einen unabhängigen externen Gutachter validieren zu lassen.

3. Vorfallberichte.Ring ist verpflichtet, der FTC Berichte über „abgedeckte Vorfälle“ zu übermitteln, die alle Vorfälle umfassen, die entweder dazu führen, dass Ring eine Regierungsbehörde benachrichtigt, oder die die Kompromittierung von Videoaufzeichnungen von 10 oder mehr Ring-Konten beinhalten.

4. Keine falschen Angaben zum Zugriff auf Mitarbeiterdaten und zum Schutz der Cybersicherheit.Ring ist es untersagt, seine Praktiken hinsichtlich des Zugriffs von Mitarbeitern und Auftragnehmern auf Videoaufzeichnungen von Kunden sowie des Ausmaßes, in dem seine Produkte vor „Online-Angriffen aufgrund des Missbrauchs gültiger Authentifizierungsdaten durch externe Akteure“ geschützt sind, falsch darzustellen.

5. Geldurteil in Höhe von 5,8 Millionen US-Dollar.Ring muss der FTC 5,8 Millionen US-Dollar zahlen, die die Kommission dann für die Bereitstellung von Rechtsmitteln für Verbraucher verwenden kann.

WICHTIGSTE ERKENNTNISSE AUS BEIDEN DURCHSETZUNGSMASSNAHMEN

1. Expansive Interpretation unlauterer Praktiken. In beiden Beschwerden vertritt die FTC eine weit gefasste Auffassung davon, was unlautere Praktiken im Sinne des FTC-Gesetzes darstellt. In den Rahmen dieser umfassenden Konzeption fallen Praktiken, die vom allzu weitreichenden Mitarbeiterzugriff auf Kundendaten und unzureichenden Cybersicherheitskontrollen (Ring) bis hin zur unnötigen Aufbewahrung von Kundendaten und der Nichtbeachtung von Löschanfragen (Alexa) reichen. Zusammengenommen deuten diese Durchsetzungsmaßnahmen darauf hin, dass die FTC ihre Interpretation unlauterer Praktiken zunehmend erweitert.

2. Datenentnahme als Abhilfe. Zusätzlich zu den anderen Strafen, die sie im Rahmen ihrer Durchsetzungsklage gegen Alexa verhängte, verlangte die FTC von Amazon auch, die Daten zu löschen, die es zum Trainieren von Alexa verwendet hat, und deren Verarbeitung nach Angaben der FTC einen Verstoß gegen Abschnitt 5 des FTC Act und COPPA darstellt. Die Datenherausgabe ist ein Mittel, das die FTC schon früher eingesetzt hat, und sie wird es wahrscheinlich auch in Zukunft für Durchsetzungsmaßnahmen mit KI-Tools nutzen. Unternehmen, die in diesem Bereich tätig sind, sollten sich dieses potenziellen Risikos im Zusammenhang mit ihren Datenschutz-Compliance-Programmen bewusst sein.

3. Spezifität in Bezug auf die interne Verwendung personenbezogener Daten. Die Ring-Beschwerde unterstreicht die Notwendigkeit für Unternehmen, in ihrer Datenschutzdokumentation klar anzugeben, wie sie Kundendaten verwenden wollen. In dieser Beschwerde betonte die FTC das angebliche Versäumnis von Ring, den Kunden ausdrücklich mitzuteilen, dass ihre Videoaufzeichnungen einer menschlichen Überprüfung unterzogen würden. In diesem Zusammenhang argumentierte die FTC, dass allgemeine Beschreibungen von Videoaufzeichnungen, die zur internen Produktverbesserung und -entwicklung verwendet würden, unzureichend seien. Künftig sollten Unternehmen darauf achten, sich nicht auf „interne Produktverbesserung und -entwicklung“ als pauschale Offenlegung für die interne Verwendung von Kundendaten zu verlassen, sondern stattdessen versuchen, genauere Angaben dazu zu machen, wie Kundeninformationen verwendet werden (einschließlich der Frage, wer sie verwenden wird). ).

4. Beschränkung des Mitarbeiterzugriffs auf personenbezogene Daten. Die Beschwerden der FTC unterstreichen auch die Notwendigkeit für Unternehmen, den Zugriff ihrer Mitarbeiter auf Kundeninformationen auf diejenigen zu beschränken, die eine echte geschäftliche Rechtfertigung für den Zugriff haben. Die FTC kritisierte sowohl Ring als auch Alexa dafür, dass sie es angeblich versäumt hätten, den Pool an Mitarbeitern und Auftragnehmern mit Zugang zu sensiblen Kundeninformationen angemessen einzuschränken, und dies dürfte künftig ein Schwerpunkt der Kommission sein.

5. Vollständige Einhaltung von Löschanfragen. Die Alexa-Beschwerde sollte Unternehmen deutlich daran erinnern, dass sie Anfragen zur Datenlöschung vollständig nachkommen müssen. Dazu gehört die Weiterleitung solcher Löschanfragen, um sicherzustellen, dass Daten beispielsweise von den sekundären Datenspeicherorten gelöscht werden, um die es in der Alexa-Beschwerde geht. Und natürlich sollten Unternehmen darauf achten, dass sie Daten, deren Löschung ein Kunde verlangt hat, auch nur für interne Zwecke nicht weiterverwenden.