Aktuelle Kurz-Information 48: Datenschutz bei Rechtschreibkorrektur im Webbrowser

Stichwörter: KI bei Webbrowsern - Rechtschreibkorrektur, Webbrowser - Schreibhilfe, Webbrowser - Webbrowser | Stand: 1. Juli 2023

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

Schreibhilfen in Webbrowsern können auf Künstliche Intelligenz zurückgreifen, um Verbesserungsvorschläge zu machen; dabei kann es zu einer Übermittlung personenbezogener Dateneingaben an den Browseranbieter kommen.
Die Übermittlung hängt davon ab, wie der Browser konfiguriert ist.
Bayerische öffentliche Stellen sollten die bei ihnen eingesetzten Browser insofern kritisch überprüfen.

Im Zuge der Digitalisierung ist die Nutzung von Webbrowsern bei bayerischen öffentlichen Stellen eine Selbstverständlichkeit. Bei Webbrowsern denkt man vorrangig an die Informationsrecherche im World Wide Web - jedoch ist das Einsatzspektrum viel breiter: Immer mehr Desktopanwendungen werden durch Webanwendungen ersetzt, die nur in einem Browser zu nutzen sind. Das gilt etwa für elektronische Akten, cloudbasierte Office-Lösungen und Online-Formulare. Kommen personenbezogene Daten ins Spiel, können Webbrowser schnell zum datenschutzrechtlichen Stolperstein werden, wenn sie eingegebene Daten - unbemerkt - an Dritte übermitteln.

So enthalten moderne Webbrowser in der Regel Funktionen zur Rechtschreib- und Grammatikkorrektur sowie zur Autovervollständigung einzelner Wörter. Solche Funktionen sind datenschutzrechtlich nicht besonders bedenklich, solange die Eingaben lediglich auf dem Gerät (lokal) geprüft oder mit einem lokal vorgehaltenen Wörterbuch abgeglichen werden. Mit der Einbindung cloudbasierter Künstlicher Intelligenz (KI), die für optimierte Korrekturleistungen Texteingaben an Dritte übermittelt, ändert sich aber die datenschutzrechtliche Bewertung.

1. KI-Unterstützung bei Webbrowser-Funktionen

Durch den Einsatz von KI und Maschinellem Lernen (ML) können auf Basis von Sprachmodellen fließende, grammatisch vertretbare Sätze und sogar ganze Satzgefüge generiert werden. Sprachmodelle nutzen dazu statistische Eigenschaften von Texten, wie die Häufigkeit von Wörtern und Wortfolgen (Phrasen). Die Funktionalität von Sprachmodellen entwickelte sich mit Anwendungen der jüngsten Generation - wie beispielsweise ChatGPT - sprunghaft weiter, so dass Sprachmodelle in kurzer Zeit erheblich an Relevanz gewannen. Das Interesse der Anwendungsanbieter ist hoch, die Eingabe von Text durch KI-Unterstützung zu erleichtern und die Qualität von Korrekturvorschlägen zu verbessern. Allerdings wird die zugehörige KI-Anwendung nicht mehr lokal auf dem Gerät des Nutzenden installiert; die Datenverarbeitung erfolgt vielmehr regelmäßig mittels eines Web- oder Cloud-Diensts. Dazu werden die eingegebenen Daten zum Generieren von Korrekturvorschlägen mithilfe des Webbrowsers an den Anwendungsanbieter, also einen Dritten, übermittelt. Insbesondere die dazugehörige Formulierung in den Einstellungen von Google Chrome - "Bei der Eingabe von Text auf Webseiten nach Tippfehlern suchen" - mag den Verantwortlichen zu der Annahme verleiten, die Rechtschreibkorrektur-Funktion betreffe lediglich klassische Webseiten "draußen" im World Wide Web und nicht auch Fachanwendungen wie die elektronische Akte:

Der Browser kennt diese Unterscheidung allerdings grundsätzlich nicht: Für ihn ist jeder Inhalt eine "Webseite". Wenn also eine ausschließlich zur internen Nutzung gedachte Webanwendung einen Texteditor oder Formularfelder zur Texteingabe enthält, kommt die Rechtschreibkorrektur hierfür in der Regel ebenso zur Anwendung wie bei irgendeinem im Internet frei zugänglichen Webformular. Die Korrektur findet dabei möglicherweise bereits ganz unauffällig im Hintergrund während der Eingabe statt, also ohne Anzeige eines expliziten Hinweises im Webbrowser und ohne bewussten Aufruf einer entsprechenden Funktion durch den Nutzenden.

2. Einstellungen bei verbreiteten Webbrowsern

Eine "Erweiterte Rechtschreibprüfung" bietet beispielsweise der Webbrowser "Google Chrome": "Der in den Browser eingegebene Text wird an Google gesendet", heißt es in einem separaten Hinweis in den Browser-Einstellungen in der Rubrik "Sprachen" zu dieser Option für die Rechtschreibprüfung. Die "Erweiterte Rechtschreibprüfung" mit der damit einhergehenden Übermittlung von Daten an Google ist jedoch in den Spracheinstellungen nicht standardmäßig aktiviert; stattdessen stellt die "Einfache Rechtschreibprüfung" die Standardeinstellung dar:

Einstellungen

Anders verhält es sich beim Webbrowser "Microsoft Edge": Im Rahmen eines Updates wurde hier die als "Schreib-Assistent" bezeichnete Schreibhilfe durch eine cloudbasierte KI-Unterstützung namens "Microsoft Editor" ergänzt. Dieser bietet erweiterte Rechtschreibprüfung, eine Grammatikprüfung und Textvorhersagen. So sollen Nutzende schneller und mit weniger Fehlern schreiben können - sie sind sich aber eventuell nicht der Tatsache bewusst, dass Microsoft Edge den eingegebenen Text im Hintergrund an einen Microsoft-Clouddienst sendet, der den Text verarbeitet, um Rechtschreib- und Grammatikfehler zu erkennen. Sofern die Funktion "Textvorhersage verwenden" aktiviert ist, werden eingegebene Zeichen und Textvorhersagen nach Angabe von Microsoft sogar bis zu 30 Tage lang zwischengespeichert, um die Dienstqualität und Leistung zu verbessern. Entsprechende Hinweise finden sich erst im "Kleingedruckten" bzw. unter "Weitere Informationen" zu diesen Funktionen.

Einstellungen

Ist der Microsoft-Editor aktiviert, werden Eingaben im Browser (etwa in Formularfeldern) zu Zwecken dieser erweiterten Rechtschreibunterstützung an Microsoft übermittelt. Es gibt Hinweise darauf, dass davon sogar Passwörter betroffen sein könnten. Microsoft kennzeichnet den Microsoft Editor nicht nur als empfohlene Einstellung beim Verwenden der Schreibunterstützung, sondern hat ihn automatisch im Zuge eines Updates aktiviert: Mit der Version 104.0.1293.47 (Stable-Release vom 5. August 2022; Beta-Version: 104.0.1293.14 vom 7. Juli 2022) wurde die intern offenbar als "Text Prediction" bezeichnete Funktionalität, die nach der Dokumentation einen "Microsoft Turing service" genannten Dienst nutzt, per Richtlinie standardmäßig aktiviert. So werden die Daten nach diesem Update automatisch im Hintergrund an Microsoft übermittelt. Dies geschieht möglicherweise ohne Wissen und Zutun des Nutzenden und damit ohne vorherige informierte Einwilligung des Nutzenden oder anderer Betroffener.

3. Datenschutzrechtliche Anforderungen

Die Datenübermittlung an einen Browseranbieter wie Google oder Microsoft bedarf einer Rechtsgrundlage, wenn sich eine bayerische öffentliche Stelle bei der Verarbeitung personenbezogener Daten dieser Funktionen zur Rechtschreib- und Grammatikkorrektur bedient (vgl. Art. 6 Abs. 1 Datenschutz-Grundverordnung - DSGVO). Die bayerische öffentliche Stelle handelt hier als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO, da sie durch die Nutzung der KI-unterstützten Browserfunktion über die Mittel und Zwecke der Datenverarbeitung (jedenfalls: mit-)entscheidet.

Da ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO für Behörden bei Erfüllung ihrer Aufgaben wegen Art. 6 Abs. 1 UAbs. 2 DSGVO nicht möglich ist, kommt zunächst als Rechtsgrundlage die Einwilligung in Betracht (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Diese wird allerdings zum Zeitpunkt der Datenverarbeitung regelmäßig nicht vorliegen, da sich die bayerische öffentliche Stelle - wie oben aufgezeigt - der Übermittlung wahrscheinlich nicht bewusst ist und daher hierfür keine Einwilligungsroutine besteht. Eine rückwirkende Genehmigung einer rechtsgrundlosen Datenverarbeitung ist unzulässig. Die Datenübermittlung auf eine - rechtzeitig eingeholte - Einwilligung zu stützen erscheint jedoch auch aus einem anderen Grund fragwürdig: Es ist nicht Aufgabe der Bürgerinnen und Bürger, den Behörden auf diesem Wege den Einsatz eines "bequemeren" Betriebsmittels zu ermöglichen.

Stattdessen könnte als Rechtsgrundlage für die Übermittlung personenbezogener Daten durch eine bayerische öffentliche Stelle - sofern keine spezialgesetzliche Regelung existiert - Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO in Verbindung mit Art. 5 Abs. 1 Satz 1 Nr. 1 Bayerisches Datenschutzgesetz herangezogen werden, wonach die Übermittlung zulässig ist, wenn sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist. Daran fehlt es.

Der Begriff der Erforderlichkeit ist als Bestandteil von Verarbeitungsbefugnissen, die auf Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO gestützt sind, unionsrechtlich zu verstehen. Er ist im Lichte des unionalen Verhältnismäßigkeitsprinzips zu interpretieren. Geboten ist danach eine Abwägung zwischen den Grundrechten der betroffenen Person einerseits und dem gegenläufigen öffentlichen Interesse andererseits. Eine Verarbeitung personenbezogener Daten ist nicht schon deshalb generell zulässig, weil sie für die Aufgabenerfüllung einer öffentlichen Stelle generell förderlich ist. Eine KI-gestützte Rechtschreibkorrektur mag eine willkommene Hilfe sein; allerdings wird es schlechthin keine öffentliche Aufgabe geben, bei der sich das Interesse an ihrem Einsatz gegen das unionale Datenschutzgrundrecht wie auch das nationale Grundrecht betroffener Personen auf informationelle Selbstbestimmung durchsetzen kann. Dies gilt umso mehr, als eingegebener Text mit der oben erwähnten "Einfachen Rechtschreibprüfung" lokal geprüft werden kann, mithin eine übermittlungsfreie Handlungsalternative zur Verfügung steht. Bequemlichkeit macht keine Erforderlichkeit.

Dass bei einem Browseranbieter aus dem Nicht-EU-Ausland darüber hinaus die Vorgaben zu Datenübermittlungen in Drittstaaten gemäß Art. 44 ff. DSGVO beachtet werden müssen, die infolge des "Schrems II-Urteils" des Europäischen Gerichtshofs vom 16. Juli 2020, C-311/18 mit nur schwer zu erfüllenden Anforderungen verbunden sind, spielt in Anbetracht der bereits fehlenden Rechtsgrundlage letztlich keine entscheidende Rolle mehr.

4. Fazit

KI-gestützte Korrekturfunktionen moderner Webbrowser wie Google Chrome und Microsoft Edge mögen für die Erstellung von Texten zwar nützlich sein; bayerische öffentliche Stellen werden für ihren Einsatz aber keine Rechtsgrundlage finden, sobald personenbezogene Daten betroffen sind. Von der Verwendung solcher Funktionen ist daher abzuraten.

Da die betreffende Funktion zumindest im Fall von Microsoft Edge mittels Updates standardmäßig aktiviert wurde, sollten bayerische öffentliche Stellen, die diesen Browser nutzen, die Konfiguration zeitnah überprüfen und gegebenenfalls datenschutzgerecht anpassen.

Otto-JS Research Team, "Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords", 16. September 2022, Internet: https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords (externer Link). [Zurück]
Referenzdokumentation von Microsoft Edge, Internet: https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-policies#textpredictionenabled (externer Link). [Zurück]
Versionshinweise zu Microsoft Edge Version 104.0.1293.47 vom 5. August 2022, Internet: https://learn.microsoft.com/de-de/deployedge/microsoft-edge-relnote-archive-stable-channel#version-1040129347-august-5.5 (externer Link). [Zurück]
Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020 , 1 VA 33/20, BeckRS 2020, 18859, Rn. 59. [Zurück]
Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020 , 1 VA 33/20, BeckRS 2020, 18859, Rn. 60. [Zurück]