Die Datenschutzkonferenz (DSK) ist ein Zusammenschluss der deutschen Datenschutzbehörden des Bundes und der Länder. Das Gremium kann zwar formal nichts entscheiden, hat aber eine enorme faktische Macht, weil es Leitlinien für das Handeln der einzelnen Behörden vorgibt. Diese wiederum können bei Datenschutzverstößen hohe Geldbußen verhängen. Ihre Aufgabe besteht auch darin, bei Datenschutzproblemen zu sensibilisieren.
"Verbot" von Microsoft 365 wirft Fragen auf
Die Entscheidungen sind nicht immer verständlich. Kürzlich etwa hat die DSK die Nutzung von Microsoft 365 faktisch "verboten", indem es die datenschutzkonforme Nutzung der Software, sprich Word und Teams, in Abrede stellt. Damit sind Unternehmen und Behörden in Deutschland digital nicht mehr handlungsfähig. Sie sollen nun prüfen, wie Office-Lösungen aus der Cloud datenschutzkonform eingesetzt werden können. Wie das gehen soll, sagen die Behörden nicht.
Automatisierte Rechtschreibprüfung kann Passwörter mitlesen
Dabei haben insbesondere Datenschutzbehörden einen Beratungsauftrag. Dass sie diesen auch wahrnehmen, zeigt ein Fall in Hessen. Der dortige Landesbeauftragte informierte zuletzt über eine gravierende Sicherheitslücke bei Browsern. Hintergrund war, dass bei einem Update der gängigen Browser eine Rechtschreibprüfung bei Eingabefeldern auf Webseiten aktiviert wurde. Was zunächst nützlich klingt, entpuppt sich als heikles Datenschutzproblem.
Die automatisierte Rechtschreibprüfung erfolgt nämlich nicht auf dem Endgerät des Nutzers, sondern wird KI-basiert durch den Browseranbieter durchgeführt. Gibt der Nutzer einen Text in ein Eingabefeld ein, werden die Daten nicht durch den Webseitenbetreiber, sondern auch durch den Browseranbieter verarbeitet. Dabei kann nicht ausgeschlossen werden, dass auch eingegebene Passwörter übermittelt werden.
Wichtige Warnung der Datenschutzbehörde
Dieser Hinweis aus Hessen ist wichtig und hilfreich. Er weist auf Risiken hin und bietet Hilfe an. Was fehlte, war eine Koordination der Sensibilisierung mit den anderen Behörden. Aufsichtsbehörden sollten ihre gewichtige und herausragende Stellung dazu nutzen, um gemeinsam auf solche Sicherheitslücken aufmerksam zu machen. Dazu ist die DSK ein geeignetes Gremium. Zugleich sollten DSK und Behörden Handlungsempfehlungen zur Beseitigung des Risikos geben und diese prominent platzieren, damit von der behördlichen Expertise nicht nur einzelne Verantwortliche profitieren.
Lesen Sie auch:
- Fido 2: Einloggen soll einfach und sicher werden
- Privatsphäre versus Bequemlichkeit: Die Vor- und Nachteile von WhatsApp & Co.
So löst man das Problem der unerwünschten Rechtschreibkontrolle
Die Sicherheitslücke bei der Rechtschreibkontrolle lässt sich durch wenige Klicks in den Einstellungen des Browsers schließen. Am oberen rechten Rand der Webansicht finden sich in der Regel drei Linien oder Punkte. Klickt man sie an und sucht den Menüpunkt Einstellungen auf, dann kann man im Suchfenster etwa Rechtschreibkontrolle eingeben und findet in der Regel die Einstellung. Dann kann man die externe Kontrolle durch KI mit einem Klick unterbinden. Bei Unternehmen und Behörden kann der Admin über Gruppenrichtlinien die KI-basierte Rechtschreibprüfung deaktivieren.
Verwendete Quellen:
- Der Hessische Beauftragte für Datenschutz und Informationsfreiheit: Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln
- Datenschutzkonferenz: Beschlüsse (PDF), 25.11.2022
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.