Programmcode

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln

Verantwortliche Stellen in Hessen sollten dringend die Einstellungen der von ihnen eingesetzten Browser überprüfen. Im Falle der Aktivierung einer cloudbasierten Schreibunterstützung kann es zur Übermittlung personenbezogener Daten wie zum Beispiel Passwörter an den Browser-Hersteller kommen, ohne dass hierfür eine Rechtsgrundlage vorliegt. Hierdurch kann der Schutz personenbezogener Daten verletzt werden.

Moderne Web-Browser unterstützen die Anwenderinnen und Anwender auf vielfältige Weise bei einer möglichst komfortablen Nutzung des Internets. Eine Rechtschreibprüfung, welche die auf Webseiten eingegebenen Texte auf Korrektheit hin überprüft und Verbesserungsvorschläge unterbreitet, gehört dabei schon lange wie selbstverständlich dazu.

Mittlerweile bieten Web-Browser-Hersteller mitunter auch eine „erweiterte“, „verbesserte“ oder „intelligente“ Schreibunterstützung an. Hierbei kommen auch cloudbasierte Funktionalitäten zum Einsatz, etwa um mittels Künstlicher Intelligenz (KI) vermeintlich bessere Ergebnisse zu erzielen. Wenn eine solche cloudbasierte Schreibunterstützung aktiv ist, werden grundsätzlich alle Benutzereingaben an Server des Herstellers übermittelt. Wie die Untersuchung eines US-amerikanischen IT-SicherheitsunternehmensÖffnet sich in einem neuen Fenster zeigt, können sogar Eingaben in Passwortfeldern übermittelt werden, sofern der Betreiber der jeweiligen Seite dies nicht durch spezielle Vorkehrungen unterbunden hat.

Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) sind konkrete Fälle bekannt, in denen es zur unbemerkten Aktivierung einer cloudbasierten Schreibunterstützung im Zusammenhang mit einem Update gekommen ist. Die Folge waren unbeabsichtigte Übermittlungen personenbezogener Daten an den Hersteller des Browsers. Der HBDI rät verantwortlichen StellenÖffnet sich in einem neuen Fenster in Hessen vor diesem Hintergrund dringend dazu, die Einstellungen der von ihnen genutzten Browser zu überprüfen und bei Bedarf Anpassungen vorzunehmen.

Sollte es bereits zu Übermittlungen personenbezogener Daten ohne Rechtsgrundlage an den Browser-Hersteller gekommen sein, besteht weiterer Handlungsbedarf. Eine solche Übermittlung personenbezogener Daten ist in der Regel eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Ziffer 12 DS-GVO. Eine Datenschutzverletzung muss ein Verantwortlicher unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden, sofern diese Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 DS-GVO). Besteht außerdem voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, so müssen diese Personen unverzüglich über die Datenschutzverletzung benachrichtigt werden (Art. 34 Abs. 1 DS-GVO). Unabhängig vom Risiko müssen verantwortliche Stellen eine Datenschutzverletzung in jedem Fall gemäß Art. 33 Abs. 5 DS-GVO dokumentieren um der Aufsichtsbehörde eine Überprüfung zu ermöglichen. Weiterführende Informationen für eine erforderliche Risikobewertung finden Verantwortliche Stellen in den Erwägungsgründen 75 und 76 der DS-GVO sowie im Kurzpapier Nr. 18Öffnet sich in einem neuen Fenster der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.

Sofern verantwortliche Stellen durch die browserseitige Aktivierung der intelligenten Schreibunterstützung Gefahren für die IT-Sicherheit befürchten, können sich diese an die örtlichen Ansprechpartner für Informationssicherheit und/oder die jeweiligen IT-Fachverantwortlichen vor Ort wenden.