Compliance in der PraxisDatenschutz

Alexa sendet jetzt alle Sprachdaten in die Cloud – ist das DSGVO-konform?

Alexa hört alles mit, was bedeutet das für den Datenschutz?
252x252_arthur_heydata_882dfef0fd_c07468184b.webp
Arthur
22.07.2025

Das wichtigste auf einem Blick

  • Amazon hat die Einstellung „Sprachaufzeichnungen nicht senden“ bei Alexa entfernt, alle Sprachbefehle werden nun standardmäßig an die Cloud übermittelt.
  • Diese Änderung steht im Widerspruch zu mehreren DSGVO-Prinzipien wie Einwilligung, Datenminimierung und Widerspruchsrecht.
  • Besonders problematisch: Keine Altersverifikation für Kinderdaten und keine echte Opt-out-Option für Nutzer:innen.
  • Unternehmen, die Voice Tech entwickeln, sollten auf Privacy by Design, granulare Einwilligungen und DSFA setzen, um DSGVO-konform zu bleiben.

Alexa jetzt immer in der Cloud – dein Sprachbefehl, deine DSGVO-Risiken

In einem umstrittenen Schritt hat Amazon die Datenschutzrichtlinie für Alexa-fähige Geräte angepasst – mit massiven Auswirkungen auf die DSGVO-Compliance:
Seit dem 28. März 2025 hat Amazon die Einstellung „Sprachaufzeichnungen nicht senden“ deaktiviert – und zwar auf allen Echo-Geräten, die eigentlich lokale Speicherung unterstützen würden. Das heißt: Von nun an werden alle Alexa-Interaktionen, die durch das Aktivierungswort („Alexa“, „Echo“ etc.) ausgelöst werden, immer direkt in Amazons Cloud geschickt. Es gibt keinen Weg mehr, diese Cloud-Verarbeitung zu deaktivieren.

Diese Systemumstellung läuft parallel mit der Einführung von Alexa+, Amazons neuem generativen KI-Assistenten, der fortschrittlichere, personalisierte und kontextbezogene Konversationen verspricht.

Amazon argumentiert, dass diese Datenübertragung erforderlich sei, um Alexa+-Funktionen wie Gedächtnis, bessere Kontextverständnis und intelligente Dialoge bereitzustellen. Gleichzeitig bedeutet das aber, dass du als Nutzer:in die Kontrolle darüber verlierst, ob deine Sprachdaten gespeichert, ausgewertet oder sogar für das Training künftiger KI-Modelle eingesetzt werden. Das bringt erhebliche Fragen zu Datenschutz, Einwilligung und Rechtsmäßigkeit – vor allem im Rahmen der DSGVO.

Wenn du als Unternehmen KI-Tools, Sprachassistent:innen oder Smart-Home-Produkte entwickelst, ist das ein deutlicher Hinweis: Datenschutz und Privacy by Design ist keine Option mehr, sondern steht im Zentrum von Nutzer:innenschutz und rechtlicher Verantwortung.

Inhaltsverzeichnis:

DSGVO-Bedenken bei der neuen Alexa-Politik

Amazons neue Alexa-Richtlinie wirft aus DSGVO-Sicht viele Fragen auf.

Obwohl Alexa weiterhin auf das Aktivierungswort wartet, verändert der Wegfall der Opt-Out-Möglichkeit für das Senden von Aufnahmen an die Cloud die rechtliche Situation. Jetzt wird jede Interaktion, die gestartet wird, außerhalb des Geräts gespeichert und verarbeitet.

Hier findest du die wichtigsten DSGVO-Prinzipien, die Amazons neuer Ansatz möglicherweise verletzt:

1. Einwilligung

Laut Artikel 6 und 7 der DSGVO muss jede Datenverarbeitung auf einer freiwilligen, spezifischen, informierten und eindeutigen Einwilligung beruhen.

Die Entscheidung von Amazon, die Möglichkeit zur Deaktivierung der Cloud-Verarbeitung zu entfernen, schwächt die Nutzer:innenkontrolle erheblich. Niemand muss mehr zustimmen, dass Daten gesammelt und gespeichert werden – es ist einfach immer eingeschaltet. Statt „Sprachaufzeichnungen nicht senden“ gibt es jetzt die Einstellung „Aufzeichnungen nicht speichern“. Das heißt: Deine Sprachaufnahmen werden immer an die Cloud geschickt und erst nach Bearbeitung gelöscht – dieses Vorgehen untergräbt das zentrale DSGVO-Prinzip der freiwilligen und spezifischen Einwilligung.

2. Widerspruchsrecht

Nach Artikel 21 DSGVO haben Betroffene das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen – vor allem, wenn die Verarbeitung auf dem berechtigten Interesse (und nicht Einwilligung) des Unternehmens beruht.

Aktuell gibt es hierfür jedoch keinen echten Mechanismus. Die einzige Möglichkeit, das Senden zu verhindern, besteht darin, Alexa gar nicht mehr zu nutzen oder das Mikrofon zu deaktivieren. Das ist kein echter Opt-out im DSGVO-Sinn: Nutzer:innen werden faktisch gezwungen, die Cloud-Verarbeitung zu akzeptieren.

3. Datenminimierung

Artikel 5 DSGVO fordert, dass nur die Daten erfasst werden dürfen, die für den jeweiligen Zweck unbedingt erforderlich sind.

Mit Alexa+ werden ab sofort alle Sprachdaten per Default an die Cloud gesendet. Amazon behauptet, dass diese Praxis die neuen generativen KI-Fähigkeiten wie Memory und Personalisierung ermöglicht. Aber laut DSGVO ist entscheidend: Ist diese umfassende Datensammlung überhaupt verhältnismäßig?
Ohne klare technische Begründung oder granularere Kontrollmöglichkeiten ist das Senden aller Interaktionen rechtlich bedenklich.

4. Daten von Kindern

Personenbezogene Daten von Kindern erfordern laut DSGVO besonderen Schutz. In vielen EU-Ländern dürfen Kinder unter 16 nicht in die Verarbeitung einwilligen – das dürfen nur Eltern.

Alexa wird oft in Familien eingesetzt. Wenn ein Kind nach dem Aktivierungswort spricht, sendet Alexa diese Aufnahme nun immer an Amazon – selbst wenn kein:e Erwachsene:r die Freigabe erteilt hat. Amazon hat nicht erklärt, wie sie erkennen, ob ein:e Sprecher:in minderjährig ist, oder wie sie Eltern-Einwilligungen prüfen.
Das öffnet die Tür zu ungewollter Datensammlung mit Kindern ohne Rechtsgrundlage – bereits in den USA wurde Amazon deshalb mit 25 Mio. US-Dollar Strafe belegt, weil Alexa Sprachaufzeichnungen von Kindern unbefristet gespeichert hatte (COPPA).

Grafik zur Sprachverarbeitung durch Alexa+: Schrittweise Darstellung der Aufzeichnung, Cloud-Verarbeitung und möglicher KI-Nutzung. alexa gdpr Ablauf.

Best Practices für DSGVO-konforme Sprach- und KI-Produkte

Amazon ist nicht das einzige Unternehmen, das beim Umgang mit Sprachdaten kritisiert wird. Google, Apple und Meta haben ähnliche Datenschutzskandale erlebt, von versehentlichen Aufzeichnungen bis fehlender Einwilligung und dem Versand von Gesprächen an Auftragnehmer:innen. Diese Fälle zeigen klar: Voice Tech und Datenschutz müssen Hand in Hand gehen.

Amazons Schritt ist ein Paradebeispiel für den Konflikt zwischen KI-Entwicklung und Datenschutz. Es zeigt auch: Teil des Trends zu „smarteren“ KI-Assistent:innen ist leider oft auch weniger Nutzer:innenkontrolle und stattdessen mehr Fokus auf Modellleistung.

Für Unternehmen, die sprachgesteuerte Tools entwickeln, gilt: DSGVO-Verletzungen ziehen nicht nur Bußgelder, sondern auch Vertrauens- und Imageschaden nach sich!

Wie gestaltet man verantwortungsvolle Sprachsysteme?
Hier sind konkrete Tipps, um das Risiko zu minimieren und compliant zu bleiben:

  1. Explizite, granulare Einwilligung einholen: Zeige Nutzer:innen im Detail, wozu sie einwilligen, etwa bei Aufzeichnung, Nutzung für Serviceverbesserungen, Produkttests oder KI-Training.
  2. Datenminimierung leben: Erfasse nur, was du wirklich brauchst, oft reicht ein Transkript statt kompletten Audios.
  3. Datenschutz als Standard: Lass Nutzer:innen nicht erst Einstellungen suchen, sichere Privatsphäre muss Standard sein („Privacy by Design und Default“ nach Art. 25 DSGVO).
  4. Absolute Transparenz: Informiere (etwa beim Onboarding oder in Datenschutzhinweisen) klar, welche Sprachdaten wann, warum und wie lange erfasst sowie ggf. an Dritte weitergegeben werden.
  5. Rechte der Nutzer:innen respektieren: Baue Tools ein, mit denen Nutzer:innen ihre Sprachdaten einfach einsehen, löschen oder exportieren können, ohne Hürden oder Verzögerung.
  6. Kontext und Dritte berücksichtigen: Sprachassistent:innen stehen oft in offenen Räumen. Entwickle Lösungen (z.B. Stimmerkennung oder kontextabhängige Aktivierung), damit keine ungewollten Kinderdaten oder Mithörer:innen gesammelt werden.
  7. DSFA (Datenschutz-Folgenabschätzung) für alle Voice-/KI-Projekte: Eine DSFA ist verpflichtend, wenn du sensible Daten, Profiling oder automatisierte Entscheidungen nutzt.

Ampelgrafik zur DSGVO-Konformität von Alexa+: voice tech dsgvo

Fazit

Amazons Entscheidung, Alexa standardmäßig alles aufzeichnen zu lassen, ist mehr als ein technisches Upgrade, sie bringt den Grundkonflikt zwischen Innovation und Privatsphäre ans Licht.
Wer als Unternehmen die DSGVO ernst nimmt und beim Entwickeln verantwortungsvoll mit Nutzerdaten umgeht, ist langfristig besser aufgestellt, genießt das Vertrauen der Nutzer:innen und läuft nicht Gefahr, Bußgelder oder Imageschaden zu riskieren.

Tipp: heyData macht Compliance einfach, egal, ob du die nächste große KI baust oder deine Basics für Datenschutz in der EU legen willst.

FAQs zum Thema Alexa & Datenschutz

Kann ich verhindern, dass Alexa meine Aufzeichnungen an Amazon sendet?
Nein. Seit dem 28. März 2025 gibt es die Einstellung „Sprachaufzeichnungen nicht senden“ nicht mehr. Du kannst nach Verarbeitung festlegen, dass sie nicht gespeichert werden, aber dass sie überhaupt gar nicht übertragen werden, ist nicht mehr möglich.

Ist Alexa nach diesen Änderungen DSGVO-konform?
Das wird aktuell diskutiert. Wichtige Grundsätze wie Einwilligung, Datenminimierung und Widerspruchsrecht werden durch den Wegfall der Opt-out-Einstellung möglicherweise verletzt. Nutzer:innen haben jetzt weniger Kontrolle darüber, wie ihre Sprachdaten verarbeitet werden.

Was sollten Unternehmen beachten, die Voice Tech entwickeln und DSGVO-konform bleiben wollen?
Setzt konsequent auf Privacy by Design: Bietet granulare Einwilligungen an, sammelt nur das Nötigste an Daten, informiert transparent über Prozesse und führt Datenschutz-Folgenabschätzungen (DSFA) durch. Für sensible Sprachdaten in der EU ist Compliance kein Wunsch, sondern Pflicht.

Warum hat Amazon die Einstellung „Keine Sprachaufzeichnungen senden“ entfernt?
Nach Amazon-Angaben ist das nötig, um Alexa+ und die neuen KI-Funktionen zu unterstützen. Features wie Memory und persönlichere Gespräche benötigen die Verarbeitung in der Cloud. Deshalb landen alle Aufzeichnungen künftig immer auf Amazons Servern, auch wenn Nutzer:innen sie gar nicht dauerhaft speichern wollen.

Ist Cloud-Verarbeitung von Sprachdaten nach DSGVO überhaupt erlaubt?
Cloud-Verarbeitung ist nicht grundsätzlich verboten. Sie muss aber den Anforderungen an Rechtmäßigkeit, Transparenz, Zweckbindung und Fairness entsprechen. Wenn Nutzer:innen die Übertragung nicht ablehnen können und keine klare Einwilligung besteht, ist ein DSGVO-Verstoß sehr wahrscheinlich.

Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.