Sind die DSGVO und Google ReCaptcha vereinbar?
Google reCaptcha und Datenschutz: Wie es funktioniert und welche DSGVO-konformen Alternativen es für den Schutz vor Spam gibt.
Was ist ReCaptcha?
Wer ein Kontaktformular auf einer Website ausfüllt, muss häufig durch die Nutzung eines sogenannten Captchas beweisen, dass sie / er ein Mensch ist – und kein Roboter (Bot = evtl. Schadprogramm). Diese Tests sind in verschiedener Form auf Websites wiederzufinden: Zum Beispiel in einer für Roboter schwer lesbaren Buchstaben- und Zahlen-Abfolge oder in Form eines Mosaik-Bildes (z.B. Zebrastreifen, Fahrräder oder Ampeln).
Das kommt Ihnen sicherlich bekannt vor bzw. ist Ihnen zigfach im Internet begegnet. Solche Captchas sind keine Beschäftigungstherapie oder Intelligenztests. Nein, sie haben die einfache und sinnvolle Funktion: WebsitebetreiberInnen vor einer Spam-Flut durch Bots zu schützen. Es soll verhindern, dass Registrierungen, Umfragen, Kommentarfunktion usw. auf Websites z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc. missbraucht werden. Die Abkürzung CAPTCHA steht für completely automated public Turing test to tell computers and humans apart. Diese Tests sollen (so wird angenommen) nur von Menschen gelöst werden können.
Google ReCaptcha Varianten
Das führende Captcha-Tool stammt, wie könnte es sonst sein, von der Internet-Macht Google mit über 6 Millionen Installationen. Google hat sein reCaptcha Tool immer weiter optimiert, mit dem Schwerpunkt auf Nutzerfreundlichkeit und Barrierefreiheit. So gibt es inzwischen weitere Versionen dieses Tools. Eine, die nur noch das Setzen eines einfachen Häkchens erfordert. Und eine neue Version, in der das Captcha komplett unsichtbar im Hintergrund abläuft. Es müssen keine Rätsel mehr gelöst werden und sogar das Setzen des Häkchens wird überflüssig. Beim sogenannten Invisible reCaptcha handelt es sich um eine verhaltensbasierte Analyse, die berechnet, wie wahrscheinlich es ist, dass Sie ein Mensch sind.
Tolles Tool, richtig? Doch wie ist es möglich, dass Google so einen Dienst scheinbar kostenlos zur Verfügung stellt? Wie so oft wird auch hier in der Währung PERSÖNLICHE DATEN gezahlt. Sollten Sie das Tool auf Ihrer Website nutzen und dazu eine fundierte Einschätzung benötigen: Fragen Sie einen Datenschutzexperten.
Wie funktioniert diese unsichtbare Analyse auf Menschlichkeit durch Google ReCaptcha überhaupt?
Bei Google werden Datenschützer neugierig und schauen nochmal genauer hin. reCaptcha wurde von Datenschutzexperten untersucht. Laut dieser Untersuchung ist eine der Methoden zum Feststellen der Menschlichkeit, zu gucken, ob Sie bereits ein Google-Cookie in Ihrem Browser installiert haben. Es ist das gleiche Cookie, das es Ihnen ermöglicht, neue Tabs in Ihrem Browser zu öffnen und sich nicht jedes Mal neu bei Ihrem Google-Konto anmelden zu müssen. In reCaptcha V3-Simulationen (der invisible Variante) wurden bei verbundenem Google-Konto niedrigere Risikowerte ermittelt, als in Browsern ohne verbundenes Google-Konto. Wenn Sie ein Google-Konto haben, ist es also wahrscheinlicher, dass Sie ein Mensch sind. Außerdem läuft reCaptcha mit einem JavaScript-Element, welches Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer untersucht und an Google weiterleitet.
Damit das Google Tool noch besser und schneller menschliches Verhalten auf Websites erkennt, möchte Google, dass der reCaptcha V3-Code auf sämtlichen (Unter)Seiten der Website eingebettet wird, nicht nur auf Formularen oder Log-in-Seiten. Dadurch soll der zugrunde liegende maschinelle Lernalgorithmus helfen, genauere Risikobewertungen zu generieren.
Datenverarbeitung durch ReCaptcha
Fehlende Transparenz
Aufgrund der starken Verbreitung von reCaptcha V3 auf Websites weltweit, besteht die Möglichkeit, dass Google, wenn Sie in Ihrem Google-Konto angemeldet sind, Daten über jede einzelne Webseite erhält, die Sie besuchen und in die reCaptcha eingebettet ist. Außer einem kleinen reCaptcha Logo in der Ecke gibt es jedoch oft keinen Hinweis auf der Website, auf das, was im Hintergrund geschieht. Google stellt jedoch auch nicht klar, was es mit den Daten macht, die es über das Nutzerverhalten via reCaptcha erfasst, nur dass sie für die Verbesserung von reCaptcha und allgemeine Sicherheitszwecke verwendet werden. Es ist jedoch nicht auszuschließen, dass Google die Daten nutzt, um persönliche Profile zu erstellen und personalisierte Werbung anzuzeigen.
Für die Analyse des Verhaltens werden personenbezogene Daten wie:
- IP-Adresse
- Datum
- kompletter Screenshot des Browserfensters
- Referrer URL (die Adresse der Seite von der der Besucher kommt)
- Browser PlugIns
- Infos über das Betriebssystem (Windows, Linux, iOS)
- ggf. Cookies (andere Google-Cookies der letzten 6 Monate)
- CSS Informationen der Seite
- Mausbewegungen und Tastaturanschläge
- Verweildauer
- Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.)
Auszug aus der Datenschutzerklärung | ReCaptcha:
Welche Daten werden von reCAPTCHA gespeichert? ReCAPTCHA sammelt personenbezogene Daten von Usern, um festzustellen, ob die Handlungen auf unserer Webseite auch wirklich von Menschen stammen. Es kann also die IP-Adresse und andere Daten, die Google für den reCAPTCHA-Dienst benötigt, an Google versendet werden. IP-Adressen werden innerhalb der Mitgliedstaaten der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum fast immer zuvor gekürzt, bevor die Daten auf einem Server in den USA landen. Die IP-Adresse wird nicht mit anderen Daten von Google kombiniert, sofern Sie nicht während der Verwendung von reCAPTCHA mit Ihrem Google-Konto angemeldet sind. Zuerst prüft der reCAPTCHA-Algorithmus, ob auf Ihrem Browser schon Google-Cookies von anderen Google-Diensten (YouTube. Gmail usw.) platziert sind. Anschließend setzt reCAPTCHA ein zusätzliches Cookie in Ihrem Browser und erfasst einen Schnappschuss Ihres Browserfensters.
Dieser Ausschnitt aus der Datenschutzerklärung zu Google reCaptcha lässt uns hellhörig werden. Es scheint also, dass Google Ihre persönlichen Daten verwendet und analysiert noch bevor Sie auf das Häkchen „Ich bin kein Roboter“ klicken. Bei der Invisible reCAPTCHA-Version fällt sogar das Ankreuzen weg und der ganze Erkennungsprozess läuft im Hintergrund ab. Wie viel und welche Daten Google genau speichert, verrät Google nicht im Detail.
Darf ReCaptcha auf der eigenen Webseite eingebunden werden?
Berechtigtes Interesse oder Opt-In pflichtig?
Als WebsitebetreiberIn steht die grundlegende Frage im Raum, ob das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, also ob die Datenerhebung notwendig für den Betrieb der Website ist und somit der Einsatz des reCaptchas unbedingt erforderlich.
Dafür spricht, dass ein Schutz der Webseite über Captchas notwendig ist, wenn das Postfach nicht von Spam überflutet werden soll. Dagegen spricht, dass es auch andere datenschutzfreundlichere Lösungen gibt. Somit wird die Argumentation über das berechtigte Interesse schwierig. WebsitebetreiberInnen müssen sich also die explizite Einwilligung ihrer NutzerInnen einholen.
Unter diesen Gesichtspunkten lässt sich das Google reCaptcha aus unserer Sicht nicht mit der DSGVO vereinen. Auch das Landesamt für Datenschutzaufsicht Bayern rät davon ab:
Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.
Mögliche Datenverarbeitung in den USA
Da beim Aktivieren des Tools eine Verbindung zu den Servern von Google hergestellt wird und hierdurch eine Datenübermittlung in die USA stattfinden kann, sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen. Da die Datenübermittlung in die USA seit dem Schrems-II-Urteil ein grundsätzliches Problem darstellt, raten wir unbedingt zu einer geeigneten reCaptcha Alternative.
Der Ausschnitt der BayLDA gibt die Rechtsproblematik treffend wieder:
DSGVO-Konforme ReCaptcha Alternativen
HCaptcha
hCaptcha ist zwar in puncto Funktion und Technologie mit ReCaptcha von Google vergleichbar, dennoch gibt es ein paar wesentliche Unterschiede.
- Ähnliches Feature- & Funktionsspektrum wie ReCaptcha
- Detaillierte Anpassung möglich (auch hinsichtlich der Schwierigkeit des Captchas)
- Personenbezogene Daten werden unter Umständen von den übrigen durch das Captcha erhobenen Daten abgekoppelt und gelöscht
- Machine Learning wird – im Gegensatz zu ReCaptcha – nur bei den übrigen (de-identified) bzw. nicht personenbezogenen Daten angewendet
- Gemäß des Prinzips der Datensparsamkeit werden ausschließlich nur diejenigen Daten genutzt, die für die Funktion des Captchas tatsächlich notwendig sind
- Das Unternehmen hinter hCaptcha (Intuition Machines) hat seinen Sitz in den USA. Wegen des Wegfalls des Privacy Shields, sind Datenübertragungen in die USA grundsätzlich unzulässig und können ggfs. nur im Rahmen spezifischer Ausnahmeregelungen für Einzelfall-Anwendungen legitimiert werden. Eine mögliche Ausnahme stellt die User-Einwilligung durch eine CMP dar
- Eine Kontrolle der datenschutzkonformen Vorteile auf technischer Ebene ist nicht möglich, weshalb an dieser Stelle allein auf die Angaben des Unternehmens vertraut werden
Friendly Captcha
Friendly Captcha legt den Fokus auf Datenschutz und Usability. Es wird für jeden Nutzer ein einzigartiges „Krypto-Puzzle“ erstellt, welches vom Browser im Hintergrund (ohne, dass der Anwender davon etwas mitbekommt) bearbeitet wird, während der User das Formular ausfüllt.
- Der Kern von Friendly Captcha ist Open Source und damit auch auf technischer Ebene transparent einsehbar zudem ermöglicht Open Source die Programmierung einer eigenen Version.
- Es werden keine Cookies gesetzt und es findet kein Tracking statt.
- Das Unternehmen hinter der kommerziellen Version stammt aus Deutschland.
- Die Technologie basiert auf dem dezentralen „Proof of Work“-System
- Durch das Vermeiden komplexer Captchas, wird durch Friendly Captcha ebenfalls Barrierefreiheit gewährleistet.
- Lediglich informationspflichtig (DSE)
Mit Kosten- bzw. Programmier-Aufwand verbunden
Honeypot
- Durch das Vermeiden komplexer Captchas, bleibt diese Variante barrierefrei.
- Der Implementierungsaufwand ist recht gering und erzielt verhältnismäßig großen Erfolg.
- „Honeypot“ lässt sich in der Regel gut mit anderen Captcha-Verfahren kombinieren und so ein noch besserer Spamschutz erzielen.
- Durch das Vermeiden komplexer Captchas, bleibt diese Variante barrierefrei.
- Der Implementierungsaufwand ist recht gering und erzielt verhältnismäßig großen Erfolg.
- „Honeypot“ lässt sich in der Regel gut mit anderen Captcha-Verfahren kombinieren und so ein noch besserer Spamschutz erzielen.
- Browser, die ohne Useraufforderung Felder ausfüllen (Bspw. Safari), können zu Problemen führen, wenn dadurch das unsichtbare Feld mitausgefüllt wird. Deshalb sollte das unsichtbare Feld keine personenbezogenen Daten erheben und beispielsweise mit „Notiz“ beschriftet werden.
- Fortgeschrittene Bots können diese Technologie ggfs. umgehen.
Powermail
Powermail in Kombination mit Typo3-Erweiterungen (z.B. Spam Shield) liefert eine captchalose Alternative zu Spamfiltern. Das Prinzip ist dabei, dass das Ausfüllen von Kontaktformularen mit einigen (im Hintergrund laufenden) Hürden verbunden ist, die in Kombination Spam filtern sollen.
Eine dieser Hürden besteht in der oben erwähnten Honeypot Methode.
- Viele individuelle Einstellungsmöglichkeiten
- Datenschutzfreundlich konfigurierbar
- Nutzerfreundlich
- Einige der Spamschutz-Erweiterungen werden nicht mehr unterstützt und sind dementsprechend veraltet
- Je höher der erzielte Spamschutz sein soll, desto mehr personenbezogene Daten werden notwendigerweise durch das System erfasst.
Auch wenn jede der oben genannten Methoden bzw. Technologien als reCaptcha-Alternative infrage kommt, empfehlen wir Friendly Captcha. Als datenschutzrechtlich beste Alternative mit hoher Nutzerfreundlichkeit funktioniert dieses System zudem mit hoher Wahrscheinlichkeit komplett CMS-unabhängig.
Fazit: Fehlende Rechtgrundlage für ReCaptcha
Was bedeutet das nun für WebsitebetreiberInnen?
Aus genannten Gründen ist das Google Tool nicht mit der DSGVO vereinbar. Google ist und bleibt ein Wirtschaftsunternehmen, dass seine Dienste zwar teilweise kostenlos, aber nicht „umsonst“ anbietet. Die NutzerInnen zahlen am Ende mit ihren Daten. Die mangelhafte Vereinbarkeit mit der DSGVO betrifft daher alle Google-Dienste, nicht nur Google reCaptcha.
Wer das Tool nutzt, sollte sich über die Risiken im Klaren sein und diese möglichst gering halten. Um Risiken zu reduzieren, sollte zunächst Transparenz geschaffen werden. Außerdem sollten NutzerInnen der Nutzung des Tools und somit der Nutzung ihrer Daten explizit über ein Cookie Banner zustimmen. 100% rechtssicher wird die Nutzung dadurch jedoch nicht, weshalb wir empfehlen, sich für eine der datenschutzfreundlichen Alternativen zu entscheiden.
Sicherheit durch regelmäßige Insights-Scans gewinnen und Risiken durch die Einhaltung von rechtlichen Vorgaben reduzieren.
Ihre Vorteile mit dem Privacy Hub
Mit dem Privacy Hub erhalten Sie Zugang zu allen Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen. Mittels Dashboard können Sie das Ergebnis Ihres DSGVO-Scores auf einen Blick erfassen und alle Datenschutzerklärungen zentral verwalten.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich