Die Datenschutzkonferenz (DSK) ist ein Zusammenschluss der deutschen Datenschutzbehörden des Bundes und der Länder. Das Gremium kann zwar formal nichts entscheiden, hat aber eine enorme faktische Macht, weil es Leitlinien für das Handeln der einzelnen Behörden vorgibt. Diese wiederum können bei Datenschutzverstössen hohe Geldbussen verhängen. Ihre Aufgabe besteht auch darin, bei Datenschutzproblemen zu sensibilisieren.

Rolf Schwartmann
Eine Kolumne
Diese Kolumne stellt die Sicht von Rolf Schwartmann dar. Informieren Sie sich, wie unsere Redaktion mit Meinungen in Texten umgeht.

"Verbot" von Microsoft 365 wirft Fragen auf

Die Entscheidungen sind nicht immer verständlich. Kürzlich etwa hat die DSK die Nutzung von Microsoft 365 faktisch "verboten", indem es die datenschutzkonforme Nutzung der Software, sprich Word und Teams, in Abrede stellt. Damit sind Unternehmen und Behörden in Deutschland digital nicht mehr handlungsfähig. Sie sollen nun prüfen, wie Office-Lösungen aus der Cloud datenschutzkonform eingesetzt werden können. Wie das gehen soll, sagen die Behörden nicht.

Mehr zum Thema Digitales

Automatisierte Rechtschreibprüfung kann Passwörter mitlesen

Dabei haben insbesondere Datenschutzbehörden einen Beratungsauftrag. Dass sie diesen auch wahrnehmen, zeigt ein Fall in Hessen. Der dortige Landesbeauftragte informierte zuletzt über eine gravierende Sicherheitslücke bei Browsern. Hintergrund war, dass bei einem Update der gängigen Browser eine Rechtschreibprüfung bei Eingabefeldern auf Webseiten aktiviert wurde. Was zunächst nützlich klingt, entpuppt sich als heikles Datenschutzproblem.

Die automatisierte Rechtschreibprüfung erfolgt nämlich nicht auf dem Endgerät des Nutzers, sondern wird KI-basiert durch den Browseranbieter durchgeführt. Gibt der Nutzer einen Text in ein Eingabefeld ein, werden die Daten nicht durch den Webseitenbetreiber, sondern auch durch den Browseranbieter verarbeitet. Dabei kann nicht ausgeschlossen werden, dass auch eingegebene Passwörter übermittelt werden.

Wichtige Warnung der Datenschutzbehörde

Dieser Hinweis aus Hessen ist wichtig und hilfreich. Er weist auf Risiken hin und bietet Hilfe an. Was fehlte, war eine Koordination der Sensibilisierung mit den anderen Behörden. Aufsichtsbehörden sollten ihre gewichtige und herausragende Stellung dazu nutzen, um gemeinsam auf solche Sicherheitslücken aufmerksam zu machen. Dazu ist die DSK ein geeignetes Gremium. Zugleich sollten DSK und Behörden Handlungsempfehlungen zur Beseitigung des Risikos geben und diese prominent platzieren, damit von der behördlichen Expertise nicht nur einzelne Verantwortliche profitieren.

Lesen Sie auch:

So löst man das Problem der unerwünschten Rechtschreibkontrolle

Die Sicherheitslücke bei der Rechtschreibkontrolle lässt sich durch wenige Klicks in den Einstellungen des Browsers schliessen. Am oberen rechten Rand der Webansicht finden sich in der Regel drei Linien oder Punkte. Klickt man sie an und sucht den Menüpunkt Einstellungen auf, dann kann man im Suchfenster etwa Rechtschreibkontrolle eingeben und findet in der Regel die Einstellung. Dann kann man die externe Kontrolle durch KI mit einem Klick unterbinden. Bei Unternehmen und Behörden kann der Admin über Gruppenrichtlinien die KI-basierte Rechtschreibprüfung deaktivieren.

Verwendete Quellen:

  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit: Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln
  • Datenschutzkonferenz: Beschlüsse (PDF), 25.11.2022
Interessiert Sie, wie unsere Redaktion arbeitet? In unserer Rubrik "So arbeitet die Redaktion" finden Sie unter anderem Informationen dazu, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte kommen. Unsere Berichterstattung findet in Übereinstimmung mit der Journalism Trust Initiative statt.
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.