KI-Rechtschreibung: Was hat das mit Datenschutz zu tun?

Auf den ersten Blick ist oft nicht erkenntlich, in welchen Themenfeldern der Datenschutz eine große Rolle spielt. Vor allem Laien unterschätzen regelmäßig die Brisanz von Datenschutzfragen. Gerade letztere sind für die Masse der Nutzer in ihren datenschutzrechtlichen Konsequenzen kaum durchschaubar. Jüngstes Beispiel für die diesbezüglichen Tücken technologischer Anwendungen sind die Rechtschreibkorrekturfunktionen von Webbrowsern. Die basieren in der Regel auf künstlicher Intelligenz und zeigen ein weiteres Beispiel dafür auf, dass KI ebenso erstaunlich wie unvollkommen ist.

Cloudanwendungen sind in ihrer Komplexität bedenklich

Auch in Behörden und bei staatlichen Institutionen ist die Nutzung von Cloudanwendungen inzwischen Alltag. In seiner Funktion als Landesbeauftragter für Datenschutz in Bayern weist Prof. Dr. Thomas Petri mit Kurzinformationen regelmäßig auf Datenschutzprobleme hin, die sich insbesondere für die öffentlichen Stellen im Freistaat ergeben könnten, also für Behörden, Schulen und weitere Institutionen. In der jüngsten Kurzinformation weist Petri darauf hin, dass Webbrowser zunehmend bei der Nutzung von Webprogrammen eine Rolle spielen, die die Aufgabe von Programmen auf der Festplatte übernommen haben.

Als Beispiele nennt er Office-Programme, die cloudbasiert als Weblösung genutzt werden, mit denen aber digitale Akten gepflegt oder Online-Formulare gespeichert werden. Gerade im Hinblick auf die Arbeitsabläufe von öffentlichen Stellen dürfte diese Feststellung bedeutsam sein. Nun ist es möglich, dass bei der Rechtschreibprüfung durch den Webbrowser personenbezogene Daten an Dritte übermittelt werden – und zwar unbemerkt vom Nutzer des Programms. Korrekturprogramme auf dem eigenen Rechner werfen keine Datenschutzfragen auf. Sind sie aber in der Cloud abrufbar und beruhen auf künstlicher Intelligenz, ergeben sich tatsächlich Zweifel an der datenschutzrechtlichen Unbedenklichkeit. Denn diese Korrekturläufe werden auf externen Servern durchgeführt und gespeichert, damit werden auch personenbezogene Daten bedenkenlos in der Cloud abgelegt.

Datenmissbrauch könnte jederzeit erfolgen

Das Problem besteht unter anderem darin, dass KI grundsätzlich speichert, was sie produziert, um in der Folge daraus lernen zu können. Wenn beispielsweise eine cloudbasierte KI-Anwendung zur Rechtschreibkorrektur und für grammatisch einwandfreie Formulierungsvorschläge herangezogen wird, kommt es über den Webbrowser zur Datenübermittlung an den jeweiligen Anbieter dieser KI-Unterstützung. Dabei ist nicht immer klar, wie diese erfolgt und in welchem Umfang. Ebenso unklar ist, ob beispielsweise zu Korrekturzwecken übermittelte Textdateien gelöscht werden und wann dies geschieht.

Nach Ansicht des Bayerischen Datenschutzbeauftragten ist für eine KI jeder Inhalt eine Webseite. Wenn also eine ausschließlich zur internen Nutzung gedachte Webanwendung einen Texteditor oder Formularfelder zur Texteingabe enthält, kommt die Rechtschreibkorrektur hierfür in der Regel ebenso zur Anwendung wie bei irgendeinem im Internet frei zugänglichen Webformular. So könnten die Rechtschreibkorrekturen in beiden Fällen unbemerkt im Hintergrund ablaufen und die in den Dokumenten veröffentlichten personenbezogenen Daten könnten in die Hände Dritter geraten.

DSGVO noch ohne Lösung für dieses Problem

Der Browser Google Chrome veranschaulicht bei seiner Korrekturfunktion, wie schwierig eine datenschutzrechtliche Betrachtung ist. Chrome bietet Usern eine einfache sowie eine erweiterte Rechtschreibprüfung an. Bei der einfachen Variante werden nach Google-Angaben keine Daten an den diesen Browseranbieter gesendet – bei der erweiterten ist in den Browsereinstellungen zu lesen, dass die eingegebenen Texte an Google gesendet werden. Das bedeutet für Petri, dass für die behördliche Nutzung des Browsers eine klare rechtliche Grundlage verfasst werden muss.

Sowohl Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse) wie Art. 6 Abs. 1 S. 1 lit. f DSGVO (Einwilligung) bieten keinen ausreichenden rechtlichen Rahmen. Das liegt schon daran, dass die betroffenen Behörden sich einer Datenübertragung durch die Korrekturfunktion gar nicht bewusst seien. Auch könne den Bürgern, deren persönliche Daten zur Disposition stehen, schwerlich zugemutet werden, mit einer Einwilligung der Arbeitserleichterung von Behörden zu dienen. Schließlich setzt sich Bayerns oberster Datenschützer auch mit Art. 6 Abs. 1 S. 1 lit. e DSGVO auseinander, in dem aus der Wahrnehmung einer Aufgabe im öffentlichen Interesse ein Erfordernis abgeleitet werden könnte. Dazu stellt er klar: „Bequemlichkeit macht keine Erforderlichkeit.“ Daher bleibt es vor einer rechtlichen Klärung des Sachverhalts bei einer eindeutig formulierten Empfehlung des obersten Datenschützers an alle Behörden in Bayern: Finger weg von Korrekturprogrammen, die auf einer KI basieren.