Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln
Moderne Web-Browser unterstützen die Anwenderinnen und Anwender auf vielfältige Weise bei einer möglichst komfortablen Nutzung des Internets. Eine Rechtschreibprüfung, welche die auf Webseiten eingegebenen Texte auf Korrektheit hin überprüft und Verbesserungsvorschläge unterbreitet, gehört dabei schon lange wie selbstverständlich dazu.
Mittlerweile bieten Web-Browser-Hersteller mitunter auch eine "erweiterte", "verbesserte" oder "intelligente" Schreibunterstützung an. Hierbei kommen auch cloudbasierte Funktionalitäten zum Einsatz, etwa um mittels Künstlicher Intelligenz (KI) vermeintlich bessere Ergebnisse zu erzielen. Wenn eine solche cloudbasierte Schreibunterstützung aktiv ist, werden grundsätzlich alle Benutzereingaben an Server des Herstellers übermittelt. Wie die Untersuchung eines US-amerikanischen IT-Sicherheitsunternehmens zeigt, können sogar Eingaben in Passwortfeldern übermittelt werden, sofern der Betreiber der jeweiligen Seite dies nicht durch spezielle Vorkehrungen unterbunden hat.
Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) sind konkrete Fälle bekannt, in denen es zur unbemerkten Aktivierung einer cloudbasierten Schreibunterstützung im Zusammenhang mit einem Update gekommen ist. Die Folge waren unbeabsichtigte Übermittlungen personenbezogener Daten an den Hersteller des Browsers. Der HBDI rät verantwortlichen Stellen in Hessen vor diesem Hintergrund dringend dazu, die Einstellungen der von ihnen genutzten Browser zu überprüfen und bei Bedarf Anpassungen vorzunehmen.
Sollte es bereits zu Übermittlungen personenbezogener Daten ohne Rechtsgrundlage an den Browser-Hersteller gekommen sein, besteht weiterer Handlungsbedarf. Eine solche Übermittlung personenbezogener Daten ist in der Regel eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Ziffer 12 DS-GVO. Eine Datenschutzverletzung muss ein Verantwortlicher unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden, sofern diese Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DS-GVO). Besteht außerdem voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, so müssen diese Personen unverzüglich über die Datenschutzverletzung benachrichtigt werden (Art. 34 Abs. 1 DS-GVO). Unabhängig vom Risiko müssen verantwortliche Stellen eine Datenschutzverletzung in jedem Fall gemäß Art. 33 Abs. 5 DS-GVO dokumentieren, um der Aufsichtsbehörde eine Überprüfung zu ermöglichen. Weiterführende Informationen für eine erforderliche Risikobewertung finden Verantwortliche Stellen in den Erwägungsgründen 75 und 76 der DS-GVO sowie im Kurzpapier Nr. 18 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.
Sofern verantwortliche Stellen durch die browserseitige Aktivierung der intelligenten Schreibunterstützung Gefahren für die IT-Sicherheit befürchten, können sich diese an die örtlichen Ansprechpartner für Informationssicherheit und/oder die jeweiligen IT-Fachverantwortlichen vor Ort wenden.
Mehr zum Thema:
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!
Hessischer Beauftragter für Datenschutz und Informationsfreiheit PM vom 3.11.2022
Mittlerweile bieten Web-Browser-Hersteller mitunter auch eine "erweiterte", "verbesserte" oder "intelligente" Schreibunterstützung an. Hierbei kommen auch cloudbasierte Funktionalitäten zum Einsatz, etwa um mittels Künstlicher Intelligenz (KI) vermeintlich bessere Ergebnisse zu erzielen. Wenn eine solche cloudbasierte Schreibunterstützung aktiv ist, werden grundsätzlich alle Benutzereingaben an Server des Herstellers übermittelt. Wie die Untersuchung eines US-amerikanischen IT-Sicherheitsunternehmens zeigt, können sogar Eingaben in Passwortfeldern übermittelt werden, sofern der Betreiber der jeweiligen Seite dies nicht durch spezielle Vorkehrungen unterbunden hat.
Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) sind konkrete Fälle bekannt, in denen es zur unbemerkten Aktivierung einer cloudbasierten Schreibunterstützung im Zusammenhang mit einem Update gekommen ist. Die Folge waren unbeabsichtigte Übermittlungen personenbezogener Daten an den Hersteller des Browsers. Der HBDI rät verantwortlichen Stellen in Hessen vor diesem Hintergrund dringend dazu, die Einstellungen der von ihnen genutzten Browser zu überprüfen und bei Bedarf Anpassungen vorzunehmen.
Sollte es bereits zu Übermittlungen personenbezogener Daten ohne Rechtsgrundlage an den Browser-Hersteller gekommen sein, besteht weiterer Handlungsbedarf. Eine solche Übermittlung personenbezogener Daten ist in der Regel eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Ziffer 12 DS-GVO. Eine Datenschutzverletzung muss ein Verantwortlicher unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden, sofern diese Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DS-GVO). Besteht außerdem voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, so müssen diese Personen unverzüglich über die Datenschutzverletzung benachrichtigt werden (Art. 34 Abs. 1 DS-GVO). Unabhängig vom Risiko müssen verantwortliche Stellen eine Datenschutzverletzung in jedem Fall gemäß Art. 33 Abs. 5 DS-GVO dokumentieren, um der Aufsichtsbehörde eine Überprüfung zu ermöglichen. Weiterführende Informationen für eine erforderliche Risikobewertung finden Verantwortliche Stellen in den Erwägungsgründen 75 und 76 der DS-GVO sowie im Kurzpapier Nr. 18 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.
Sofern verantwortliche Stellen durch die browserseitige Aktivierung der intelligenten Schreibunterstützung Gefahren für die IT-Sicherheit befürchten, können sich diese an die örtlichen Ansprechpartner für Informationssicherheit und/oder die jeweiligen IT-Fachverantwortlichen vor Ort wenden.
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!