KI-Rechtschreibkorrektur im Browser: ein Fall für den Datenschutz?

Datenschutzprobleme können in den vermeintlich abwegigsten Situationen, Geschäftsprozessen oder IT-Umgebungen entstehen. Gerade letztere sind für die Masse der Nutzer in ihren datenschutzrechtlichen Konsequenzen kaum durchschaubar. Jüngstes Beispiel für die diesbezüglichen Tücken technologischer Anwendungen sind die Rechtschreibkorrekturfunktionen von Webbrowsern. Was aber haben diese mit Datenschutz zu tun?

Cloudanwendungen sind kritisch zu sehen

Prof. Dr. Thomas Petri ist der Landesbeauftragte für den Datenschutz des Freistaats Bayern. In Kurzinformationen thematisiert er regelmäßig Datenschutzprobleme, die sich insbesondere für die öffentlichen Stellen im Freistaat ergeben könnten, also für Behörden, Schulen und weitere Institutionen. In der jüngsten Kurzinformation weist Petri darauf hin, dass Webbrowser zunehmend bei der Nutzung von Webprogrammen eine Rolle spielen, die die Aufgabe von Programmen auf der Festplatte übernommen haben. Dazu gehören etwa Office-Anwendungen in der Cloud, digitale Akten und Online-Formulare. Gerade im Hinblick auf die Arbeitsabläufe von öffentlichen Stellen dürfte diese Feststellung bedeutsam sein. Nun ist es möglich, dass bei der Rechtschreibprüfung durch den Webbrowser personenbezogene Daten an Dritte übermittelt werden – und zwar unbemerkt vom Nutzer des Programms. Korrekturprogramme auf dem eigenen Rechner werfen keine Datenschutzfragen auf. Sind sie aber in der Cloud abrufbar und beruhen auf künstlicher Intelligenz, ergeben sich tatsächlich Zweifel an der datenschutzrechtlichen Unbedenklichkeit.

Unbemerkte Datenübertragung möglich

Wenn eine cloudbasierte KI-Anwendung zur Rechtschreibkorrektur und für grammatisch einwandfreie Formulierungsvorschläge herangezogen wird, kommt es über den Webbrowser zur Datenübermittlung an den jeweiligen Anbieter dieser KI-Unterstützung. Dabei ist nicht immer klar, wie diese erfolgt und in welchem Umfang. Der bayerische Landesdatenschutzbeauftragte warnt davor, dass der Webbrowser keine Unterscheidung zwischen internen Fachanwendungen und beliebigen externen Webseiten mache: „Für ihn ist jeder Inhalt eine Webseite. Wenn also eine ausschließlich zur internen Nutzung gedachte Webanwendung einen Texteditor oder Formularfelder zur Texteingabe enthält, kommt die Rechtschreibkorrektur hierfür in der Regel ebenso zur Anwendung wie bei irgendeinem im Internet frei zugänglichen Webformular.“ So könnten die Rechtschreibkorrekturen in beiden Fällen unbemerkt im Hintergrund ablaufen.

Keine Rechtsgrundlage durch DSGVO

Wie vertrackt die Möglichkeit ist, sich Durchblick zu verschaffen, verdeutlicht der Datenschutzbeauftragte am Beispiel von Google Chrome. Dort kann eine einfache sowie eine erweiterte Rechtschreibprüfung gewählt werden. Bei der einfachen Variante werden nach Google-Angaben keine Daten an den diesen Browseranbieter gesendet – bei der erweiterten ist in den Browsereinstellungen zu lesen, dass die eingegebenen Texte an Google gesendet werden. Petri kommt zu dem Schluss, dass die bayerischen öffentlichen Stellen einer Rechtsgrundlage bedürfen, insofern diese KI für die Rechtschreibkorrektur nutzen.

Denn: Ein berechtigtes Interesse an der Datenverarbeitung (Art. 6 Abs. 1 S. 1 lit. f DSGVO) sowie eine Einwilligung (Art 6 Abs. 1 S. 1 lit. a DSGVO) können deshalb nicht zur Anwendung kommen, weil die öffentlichen Stellen über keine Einwilligungsroutine verfügten, da ihnen die Datenübermittlung nicht bewusst sei. Auch könne den Bürgern, deren persönliche Daten zur Disposition stehen, schwerlich zugemutet werden, mit einer Einwilligung der Arbeitserleichterung von Behörden zu dienen. Schließlich setzt sich Bayerns oberster Datenschützer auch mit Art. 6 Abs. 1 S. 1 lit. e DSGVO auseinander, in dem aus der Wahrnehmung einer Aufgabe im öffentlichen Interesse ein Erfordernis abgeleitet werden könnte. Dazu stellt er klar: „Bequemlichkeit macht keine Erforderlichkeit.“ Zusammenfassend empfiehlt Prof. Dr. Thomas Petri den öffentlichen Stellen Bayerns, auf eine KI-basierte Rechtschreibkorrekturfunktion besser zu verzichten.