Aktuelles & Veranstaltungen

Sicherheitsrisiko bei automatischer Rechtschreibprüfung in Browsern

Rechtschreibüberprüfung

Fast alle Browser bieten die Funktion einer Rechtschreibprüfung an. Nutzer haben dabei die Möglichkeit, die Rechtschreibung auf Ihren Geräten zu überprüfen und zu korrigieren. Sie können sich auf ihrem Computer Rechtschreibfehler anzeigen lassen, während sie Texte in Eingabefelder im Web eingeben.

Browserfunktion ein Risiko?

Die Browser-Funktion einer cloudbasierten Rechtschreibprüfung stellt dabei jedoch ein großes Sicherheitsrisiko für sensible und personenbezogene Daten dar. Es ist nachvollziehbar, dass die cloudbasierte Rechtschreibprüfung die Nutzereingaben in irgendeiner Weise an die Server des Anbieters (oder Dritter) übertragen muss, um die Eingaben hinsichtlich der Rechtschreibung überprüfen zu können. Das US-amerikanische IT-Sicherheitsunternehmen ott-js hat nun jedoch nachgewiesen, dass die Übermittlung der Nutzereingaben auch vor Anmeldenamen und Passwörtern keinen Halt macht.[1] Zumindest dann, wenn der Betreiber der jeweiligen Website dies nicht durch spezielle Vorkehrungen unterbunden hat. Im Praxistest von ott-js übermittelten 29 von 30 getesteten Websites bei aktivierter erweiterter Rechtschreibprüfung Nutzereingaben an Google und Microsoft. 22 der 30 getesteten Websites sendeten außerdem eingegebene Passwörter, wenn die Funktion „Passwort anzeigen“ genutzt wurde.

Automatische Aktivierung der cloudbasierten Rechtschreibprüfung

In der Regel muss die Funktion der automatischen Rechtschreibprüfung manuell im Browser aktiviert werden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat nun aber davor gewarnt, dass die Funktion in einigen Fällen unbemerkt im Rahmen von Browser-Updates aktiviert wurde.[2]

Fazit

Es ist dringend zu empfehlen die Browsereinstellungen aller eingesetzten Browser zu überprüfen. Von der Nutzung einer cloudbasierten Rechtschreibüberprüfung ist dabei aus datenschutzrechtlicher Sicht dringend abzuraten. Insbesondere, da eine automatische Übermittlung sämtlicher Browsereingaben, inklusive personenbezogener Daten bzw. Zugangsdaten für Systeme, die personenbezogene Daten verarbeiten, eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Ziffer 12 DSGVO darstellen dürfte. Im Falle einer bereits stattgefundenen Übermittlung ist diese als Datenschutzverletzung zu dokumentieren und durch eine Risikoabschätzung festzustellen, ob etwaige Meldepflichten bestehen.

Mark Himmelseher
Werkstudent
Berater für Datenschutz

[1] https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords

[2] https://datenschutz.hessen.de/pressemitteilungen/erweiterte-rechtschreibpr%C3%BCfung-browser-funktionalit%C3%A4t-kann-personenbezogene-daten

Back To Top