In einer Kurzinformation hat der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) die datenschutzrechtlichen Probleme beim Einsatz von Rechtschreibkorrekturfunktionen in Webbrowsern erläutert.
Solange diese Prüfungen und Korrekturen lokal auf dem eigenen Gerät stattfänden, ist dies im Hinblick auf den Datenschutz nicht bedenklich. Kommt dabei allerdings cloudbasierte Künstliche Intelligenz (KI) zum Einsatz, ist dies datenschutzrechtlich durchaus problematisch. Er rät daher von der Nutzung KI-gestützter Korrekturfunktionen durch bayerische öffentliche Stellen ab.
Erweiterte Rechtschreibprüfungen übermitteln Texteingaben an Dritte
Webbrowser wie Google Chrome, Microsoft Edge, Mozilla Firefox oder Apple Safari werden längst nicht mehr nur für die eigentliche Internetrecherche, sondern auch als Programmumgebung für Webanwendungen genutzt. Wenn es sich dabei z. B. um elektronische Akten, cloudbasierte Office-Anwendungen wie Textverarbeitungen oder Formular-Apps handelt, werden mit ihnen auch personenbezogene Daten verarbeitet. Kommen dabei die Rechtschreibprüfungen und Korrekturfunktionen des Browsers zum Einsatz, kann es passieren, dass personenbezogene Daten unbemerkt übermittelt werden. Solange die Rechtschreibprüfung im Browser nur lokal stattfindet, ist dies datenschutzrechtlich völlig unbedenklich. Bei den erweiterten Rechtschreibkorrekturen nutzen die Browser aber cloudbasierte Künstliche Intelligenz (KI) und übermitteln dazu Texteingaben an den Anwendungsanbieter, also einen Dritten.
Rechtsgrundlage für die Datenübermittlung fehlt
Der BayLfD verdeutlicht nach der Beschreibung der Funktionen zur Rechtschreibprüfung in den beiden Browsern Chrome und Edge die datenschutzrechtlichen Probleme: Die Datenübermittlung an die Browseranbieter bedarf einer Rechtsgrundlage. Die bayerische öffentliche Stelle handelt hier als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO, da sie durch die Nutzung der KI-unterstützten Browserfunktion über die Mittel und Zwecke der Datenverarbeitung mitentscheidet. Da ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO für Behörden bei Erfüllung ihrer Aufgaben wegen Art. 6 Abs. 1 UAbs. 2 DSGVO nicht möglich ist, kommt zunächst als Rechtsgrundlage die Einwilligung in Betracht (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Diese liegt allerdings zum Zeitpunkt der Datenverarbeitung regelmäßig nicht vor, da sich die bayerische öffentliche Stelle der Übermittlung wahrscheinlich nicht bewusst ist und daher hierfür keine Einwilligungsroutine besteht. Eine rückwirkende Genehmigung einer rechtsgrundlosen Datenverarbeitung ist unzulässig.
Auch die Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO in Verbindung mit Art. 5 Abs. 1 Satz 1 Nr. 1 Bayerisches Datenschutzgesetz, nämlich die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse ist, ist im Falle der KI-gestützten Rechtschreibkorrektur nicht anwendbar. Dass darüber hinaus auch noch die Vorgaben zu Datenübermittlungen in Drittstaaten gemäß Art. 44 ff. DSGVO beachtet werden müssen, ist angesichts der ohnehin fehlenden Rechtsgrundlage eigentlich bedeutungslos, zeigt aber, wie komplex das datenschutzrechtliche Problem ist.
Keine KI-gestützten Korrekturfunktionen in bayerischen Behörden
Das Fazit des BayLfD ist eindeutig: Aufgrund der fehlenden Rechtsgrundlage rät er von der Nutzung KI-gestützter Korrekturfunktionen durch bayerische öffentliche Stellen ab. Er bittet außerdem darum, dass die Einstellungen der Rechtschreibprüfung im eingesetzten Browser überprüft und bei Bedarf datenschutzkonform so angepasst werden, dass bei den Korrekturfunktionen keine Datenübermittlung stattfindet.
Andere Datenschutzbehörden sind der Empfehlung des BayLfD noch nicht gefolgt. Bayern ist bisher das einzige Bundesland, das sich zum Datenschutzproblem der Rechtschreibprüfung positioniert hat. Die Empfehlung des BayLfD gilt im Grunde auch für Privatunternehmen, wobei für diese als Rechtsgrundlage das „berechtigte Interesse der verantwortlichen Stelle“ in Betracht kommen könnte. Dann müssten allerdings auch die Vorgaben zu Datenübermittlungen in Drittstaaten gemäß Art. 44 ff. DSGVO beachtet werden.
HINWEIS
So stellen Sie die Rechtschreibprüfung bei Google Chrome und Microsoft Edge ein:
- Öffnen Sie bei Chrome oder Edge den Bereich Einstellungen und wählen Sie den Eintrag Sprachen.
- Wechseln Sie bei Chrome in den Bereich Rechtschreibprüfung, bei Edge in den Bereich Schreibassistent.
- Nun können Sie bei Chrome die erweiterte Rechtschreibprüfung bzw. bei Edge den Schreibassistenten deaktivieren oder bei Bedarf auch wieder aktivieren. Sowohl die erweiterte Rechtschreibprüfung als auch der Schreibassistent sind standardmäßig deaktiviert, könnten aber bei einem Update automatisch aktiviert werden.
Link: Aktuelle Kurzinformation 48 des BayLfD
Weitere Beiträge:
Aufgaben und Funktion des Standard- Datenschutzmodells
NIS-2-Richtlinie muss bis Oktober 2024 umgesetzt werden