In seiner Kurz-Information 48 vom 01.07.2023 erläutert der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) die datenschutzrechtlichen Probleme beim Einsatz von Rechtschreibkorrekturfunktionen in Webbrowsern.
Als Ausgangslage skizziert der BayLfD den Digitalisierungsprozess in bayerischen öffentlichen Stellen: Webbrowser werden nicht mehr nur für die Internetrecherche genutzt, sondern kommen auch dort zum Einsatz, wo lokal auf dem Computer installierte Programme den Webanwendungen gewichen sind, z. B. im Bereich der elektronischen Akte, bei cloudbasierten Office-Lösungen oder Online-Formularen – in denen dann auch personenbezogene Daten verarbeitet und bei einer Rechtschreibprüfung und -korrektur ggf. unbemerkt an Dritte übermittelt werden. Solange diese Prüfungen und Korrekturen lokal auf dem eigenen Gerät stattfänden, sei dies im Hinblick auf den Datenschutz – so der BayLfD – auch nicht sonderlich bedenklich, kann aber bei cloudbasierter Künstlicher Intelligenz (KI) zu einer anderen Bewertung führen.
Rechtschreibkorrektur im Webbrowser mittels KI-Unterstützung
Rechtschreibkorrekturen, die Erstellung von „grammatisch vertretbaren“ Sätzen oder das Generieren ganzer Satzgefüge seien dank KI und Maschinellem Lernen (ML) mittlerweile möglich und würden, beispielsweise durch Tools wie ChatGPT, stetig weiterentwickelt und für potenzielle Nutzer immer interessanter werden. Die KI jedoch, so verdeutlicht es der BayLfD, würde nicht länger lokal auf den Geräten der Nutzer*innen installiert, sondern mittels Web- oder Cloud-Diensten eingesetzt werden. Hierbei würden dann die eingegebenen Daten zum Erstellen von Korrektur- und Formulierungsvorschlägen mithilfe des Webbrowsers an den Anwendungsanbieter, also einen externen Empfänger, übermittelt werden.
Hierbei sei insbesondere die für den Anwender teils nicht klar erkennbare Übermittlung der eingegebenen Daten an Dritte ein Problem: In den Einstellungen der Rechtschreibprüfung von Google Chrome heißt es bspw.: „Bei der Eingabe von Text auf Webseiten nach Tippfehlern suchen“. Betrifft dies nur Dateneingaben auf klassischen Webseiten oder auch Fachanwendungen? Der BayLfD erklärt:
„Der Browser kennt diese Unterscheidung allerdings grundsätzlich nicht: Für ihn ist jeder Inhalt eine „Webseite“. Wenn also eine ausschließlich zur internen Nutzung gedachte Webanwendung einen Texteditor oder Formularfelder zur Texteingabe enthält, kommt die Rechtschreibkorrektur hierfür in der Regel ebenso zur Anwendung wie bei irgendeinem im Internet frei zugänglichen Webformular.“
Rechtschreibkorrekturen würden somit – auch in Fachanwendungen – ggf. unbemerkt im Hintergrund stattfinden, ohne dass Nutzer*innen vor oder während der Dateneingabe darauf hingewiesen werden.
Einstellungen am Beispiel zweier Webbrowser
Im Webbrowser Google Chrome kann zwischen zwei Optionen gewählt werden, sofern die Rechtschreibprüfung grundsätzlich aktiviert ist: Die einfache und die erweiterte Rechtschreibprüfung.
Bei der einfachen Rechtschreibprüfung würde – nach Angabe von Google selbst – der im Browser eingegebene Text nicht an den Browseranbieter (Google) gesendet werden. Diese Option, so auch der BayLfD, scheint standardmäßig, also ohne weiteres Zutun, aktiviert zu sein. Im Gegensatz dazu verdeutlicht ein Hinweis in den Browsereinstellungen zur erweiterten Rechtschreibprüfung: „Der in den Browser eingegebene Text wird an Google gesendet.“
Bezüglich des Webbrowsers Microsoft Edge weist der BayLfD darauf hin, dass im Rahmen eines Updates die als „Schreib-Assistent“ bezeichnete Schreibhilfe durch eine cloudbasierte KI-Unterstützung namens „Microsoft Editor“ ergänzt worden sei. Nicht deutlich erkennbar sei hier aber für Nutzer*innen, dass Microsoft Edge den eingegebenen Text im Hintergrund zum Zweck der Textverarbeitung sowie Rechtschreib- und Grammatikprüfung an einen Microsoft-Clouddienst sende. Bei Aktivierung der Funktion „Textvorhersage verwenden“ würden eingegebene Zeichen und Textvorhersagen sogar bis zu 30 Tage lang zwischengespeichert werden, um die Dienstqualität und Leistung zu verbessern (so auch Microsoft unter „Weitere Informationen“ zu dieser Funktion). Weiterhin erklärt der BayLfD, dass der Microsoft Editor im Rahmen eines Updates (Version 104.0.1293.47) – auch als „Text Prediction“ bezeichnete Funktion – standardmäßig aktiviert sei und somit Daten weder mit Wissen und Zutun, noch mit der informierten Einwilligung der Nutzer*innen oder anderer Betroffener an Microsoft übermittelt werden würden. (Die standardmäßige Aktivierung wird auch in den aktuellen Microsoft Edge Policies ausgewiesen: „Text prediction enabled by default“.)
Datenschutzrechtliche Anforderungen
Der BayLfD verdeutlicht nach der Beschreibung der Funktionen zur Rechtschreibprüfung in den zwei Browsern die datenschutzrechtlichen Probleme: Die Datenübermittlung an die Browseranbieter bedarf einer Rechtsgrundlage auf Seiten der bayerischen öffentlichen Stellen, wenn sich diese als Verantwortliche für den Einsatz der KI-basierten Rechtschreibprüfung entscheiden.
Der Rückgriff auf das berechtigte Interesse an der Datenverarbeitung (Art. 6 Abs. 1 S. 1 lit. f DSGVO) sei für Behörden bei Erfüllung ihrer Aufgaben wegen der Regelung in Art. 6 Abs. 1 UAbs. 2 DSGVO nicht möglich. Auch eine Einwilligung nach Art 6 Abs. 1 S. 1 lit. a DSGVO sei regelmäßig nicht anwendbar, da sich die verantwortliche Stelle der Übermittlung nicht bewusst sei und daher keine Einwilligungsroutine vorhalten würde. Zudem sei es – selbst bei einer vorzeitigen und informierten Einwilligung – nicht Aufgabe der betroffenen Bürger*innen, den Behörden die Nutzung eines „bequemeren“ Betriebsmittels [durch deren Einwilligung] zu ermöglichen. Hier würde letztlich auch fraglich sein, ob eine entsprechende Einwilligung freiwillig wäre.
Zuletzt sei auch die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. e DSGVO (erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt u. a.) i. V. m. Art. 5 Abs. 1 S. 1 Nr. 1 Bayerisches Datenschutzgesetz nicht anwendbar: Der Einsatz einer KI-gestützten Rechtschreibkorrektur mag generell förderlich und hilfreich sein, jedoch nicht erforderlich nach unionsrechtlichen Maßstäben. Eine Abwägung zwischen den Grundrechten der betroffenen Person einerseits und dem gegenläufigen öffentlichen Interesse andererseits würde hier zugunsten der betroffenen Person ausfallen, zumal es immer noch die Alternative der lokalen Rechtsschreibprüfung gäbe. So macht der BayLfD deutlich:
„Bequemlichkeit macht keine Erforderlichkeit.“
Angesichts der fehlenden Rechtsgrundlage hätten auch die Anforderungen an eine Datenübermittlung nach Artt. 44 ff. DSGVO für Browseranbieter außerhalb der EU keine große Bedeutung mehr.
Fazit
Der BayLfD rät von der Nutzung KI-gestützter Korrekturfunktionen durch bayerische öffentliche Stellen ab. Zudem sollten die (Standard-)Einstellungen der Sprachfunktionen im eingesetzten Browser überprüft und bei Bedarf datenschutzkonform angepasst werden (Beispiel Microsoft Edge).
Hinweise der Verfasserin:
Die Empfehlung des BayLfD sollte auch von öffentlichen Stellen anderer Bundesländer berücksichtigt werden, da auch dort die Erforderlichkeit der Datenverarbeitung einen zentralen Begriff in den Landesdatenschutzgesetzen bildet und das Fehlen einer Rechtsgrundlage beim Einsatz der KI-gestützten Rechtschreibkorrektur naheliegend ist.
Im Hinblick auf privatwirtschaftliche Unternehmen käme als Rechtsgrundlage weiterhin das berechtigte Interesse der verantwortlichen Stelle in Betracht, sofern keine überwiegenden schützenswerten Interessen betroffener Personen dem entgegenstehen. Darüber hinaus müssten die Anforderungen der Artt. 44 ff. DSGVO berücksichtigt und – falls anwendbar – erfüllt werden. Insgesamt sollten sich aber auch privatwirtschaftliche Unternehmen immer die Frage stellen, ob die Erforderlichkeit oder lediglich die Bequemlichkeit ausschlaggebend für eine Datenverarbeitung ist und ob nicht weniger eingriffsintensive Alternativen zur Verfügung stehen.
Karsten Ronnenberg
10. August 2023 @ 13:59
Wie man im Titel sehen kann, wurde die Rechtschreibhilfe sofort abgeschaltet. Wir ziehen unseren Hut vor der konsequenten Haltung! 🙂
Daniela Windelband
10. August 2023 @ 14:05
Danke für den Hinweis! Wir arbeiten ganz datenschutzkonform 😉