Google reCaptcha und Datenschutz: Wie es funktioniert und welche DSGVO-konformen Alternativen es für den Schutz vor Spam gibt.
Wer ein Kontaktformular auf einer Website ausfüllt, muss häufig durch die Nutzung eines sogenannten Captchas beweisen, dass sie / er ein Mensch ist – und kein Roboter (Bot = evtl. Schadprogramm). Diese Tests sind in verschiedener Form auf Websites wiederzufinden: Zum Beispiel in einer für Roboter schwer lesbaren Buchstaben- und Zahlen-Abfolge oder in Form eines Mosaik-Bildes (z.B. Zebrastreifen, Fahrräder oder Ampeln).
Das kommt Ihnen sicherlich bekannt vor bzw. ist Ihnen zigfach im Internet begegnet. Solche Captchas sind keine Beschäftigungstherapie oder Intelligenztests. Nein, sie haben die einfache und sinnvolle Funktion: WebsitebetreiberInnen vor einer Spam-Flut durch Bots zu schützen. Es soll verhindern, dass Registrierungen, Umfragen, Kommentarfunktion usw. auf Websites z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc. missbraucht werden. Die Abkürzung CAPTCHA steht für completely automated public Turing test to tell computers and humans apart. Diese Tests sollen (so wird angenommen) nur von Menschen gelöst werden können.
Mit dem Privacy Hub erhalten Sie Zugriff auf alle Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen.
Das führende Captcha-Tool stammt, wie könnte es sonst sein, von der Internet-Macht Google mit über 6 Millionen Installationen. Google hat sein reCaptcha Tool immer weiter optimiert, mit dem Schwerpunkt auf Nutzerfreundlichkeit und Barrierefreiheit. So gibt es inzwischen weitere Versionen dieses Tools. Eine, die nur noch das Setzen eines einfachen Häkchens erfordert. Und eine neue Version, in der das Captcha komplett unsichtbar im Hintergrund abläuft. Es müssen keine Rätsel mehr gelöst werden und sogar das Setzen des Häkchens wird überflüssig. Beim sogenannten Invisible reCaptcha handelt es sich um eine verhaltensbasierte Analyse, die berechnet, wie wahrscheinlich es ist, dass Sie ein Mensch sind.
Tolles Tool, richtig? Doch wie ist es möglich, dass Google so einen Dienst scheinbar kostenlos zur Verfügung stellt? Wie so oft wird auch hier in der Währung PERSÖNLICHE DATEN gezahlt. Sollten Sie das Tool auf Ihrer Website nutzen und dazu eine fundierte Einschätzung benötigen: Fragen Sie einen Datenschutzexperten.
Bei Google werden Datenschützer neugierig und schauen nochmal genauer hin. reCaptcha wurde von Datenschutzexperten untersucht. Laut dieser Untersuchung ist eine der Methoden zum Feststellen der Menschlichkeit, zu gucken, ob Sie bereits ein Google-Cookie in Ihrem Browser installiert haben. Es ist das gleiche Cookie, das es Ihnen ermöglicht, neue Tabs in Ihrem Browser zu öffnen und sich nicht jedes Mal neu bei Ihrem Google-Konto anmelden zu müssen. In reCaptcha V3-Simulationen (der invisible Variante) wurden bei verbundenem Google-Konto niedrigere Risikowerte ermittelt, als in Browsern ohne verbundenes Google-Konto. Wenn Sie ein Google-Konto haben, ist es also wahrscheinlicher, dass Sie ein Mensch sind. Außerdem läuft reCaptcha mit einem JavaScript-Element, welches Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer untersucht und an Google weiterleitet.
Damit das Google Tool noch besser und schneller menschliches Verhalten auf Websites erkennt, möchte Google, dass der reCaptcha V3-Code auf sämtlichen (Unter)Seiten der Website eingebettet wird, nicht nur auf Formularen oder Log-in-Seiten. Dadurch soll der zugrunde liegende maschinelle Lernalgorithmus helfen, genauere Risikobewertungen zu generieren.
Fehlende Transparenz
Aufgrund der starken Verbreitung von reCaptcha V3 auf Websites weltweit, besteht die Möglichkeit, dass Google, wenn Sie in Ihrem Google-Konto angemeldet sind, Daten über jede einzelne Webseite erhält, die Sie besuchen und in die reCaptcha eingebettet ist. Außer einem kleinen reCaptcha Logo in der Ecke gibt es jedoch oft keinen Hinweis auf der Website, auf das, was im Hintergrund geschieht. Google stellt jedoch auch nicht klar, was es mit den Daten macht, die es über das Nutzerverhalten via reCaptcha erfasst, nur dass sie für die Verbesserung von reCaptcha und allgemeine Sicherheitszwecke verwendet werden. Es ist jedoch nicht auszuschließen, dass Google die Daten nutzt, um persönliche Profile zu erstellen und personalisierte Werbung anzuzeigen.
Für die Analyse des Verhaltens werden personenbezogene Daten wie:
an Google weitergeleitet.
Auszug aus der Datenschutzerklärung | ReCaptcha:
Welche Daten werden von reCAPTCHA gespeichert? ReCAPTCHA sammelt personenbezogene Daten von Usern, um festzustellen, ob die Handlungen auf unserer Webseite auch wirklich von Menschen stammen. Es kann also die IP-Adresse und andere Daten, die Google für den reCAPTCHA-Dienst benötigt, an Google versendet werden. IP-Adressen werden innerhalb der Mitgliedstaaten der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum fast immer zuvor gekürzt, bevor die Daten auf einem Server in den USA landen. Die IP-Adresse wird nicht mit anderen Daten von Google kombiniert, sofern Sie nicht während der Verwendung von reCAPTCHA mit Ihrem Google-Konto angemeldet sind. Zuerst prüft der reCAPTCHA-Algorithmus, ob auf Ihrem Browser schon Google-Cookies von anderen Google-Diensten (YouTube. Gmail usw.) platziert sind. Anschließend setzt reCAPTCHA ein zusätzliches Cookie in Ihrem Browser und erfasst einen Schnappschuss Ihres Browserfensters.
Dieser Ausschnitt aus der Datenschutzerklärung zu Google reCaptcha lässt uns hellhörig werden. Es scheint also, dass Google Ihre persönlichen Daten verwendet und analysiert noch bevor Sie auf das Häkchen „Ich bin kein Roboter“ klicken. Bei der Invisible reCAPTCHA-Version fällt sogar das Ankreuzen weg und der ganze Erkennungsprozess läuft im Hintergrund ab. Wie viel und welche Daten Google genau speichert, verrät Google nicht im Detail.
Ob für den Regelbetrieb rund um Datenschutz, das Onboarding neuer Mitarbeiter oder die Dokumentation aller getroffenen Maßnahmen – Das Cortina DSMS ist Ihre persönliche Bibliothek für Compliance.
Berechtigtes Interesse oder Opt-In pflichtig?
Als WebsitebetreiberIn steht die grundlegende Frage im Raum, ob das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, also ob die Datenerhebung notwendig für den Betrieb der Website ist und somit der Einsatz des reCaptchas unbedingt erforderlich.
Dafür spricht, dass ein Schutz der Webseite über Captchas notwendig ist, wenn das Postfach nicht von Spam überflutet werden soll. Dagegen spricht, dass es auch andere datenschutzfreundlichere Lösungen gibt. Somit wird die Argumentation über das berechtigte Interesse schwierig. WebsitebetreiberInnen müssen sich also die explizite Einwilligung ihrer NutzerInnen einholen.
Unter diesen Gesichtspunkten lässt sich das Google reCaptcha aus unserer Sicht nicht mit der DSGVO vereinen. Auch das Landesamt für Datenschutzaufsicht Bayern rät davon ab:
Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.
Mögliche Datenverarbeitung in den USA
Da beim Aktivieren des Tools eine Verbindung zu den Servern von Google hergestellt wird und hierdurch eine Datenübermittlung in die USA stattfinden kann, sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen. Da die Datenübermittlung in die USA seit dem Schrems-II-Urteil ein grundsätzliches Problem darstellt, raten wir unbedingt zu einer geeigneten reCaptcha Alternative.
Der Ausschnitt der BayLDA gibt die Rechtsproblematik treffend wieder:
HCaptcha ist zwar in puncto Funktion und Technologie mit ReCaptcha von Google vergleichbar, dennoch gibt es ein paar wesentliche Unterschiede.
Friendly Captcha legt den Fokus auf Datenschutz und Usability. Es wird für jeden Nutzer ein einzigartiges „Krypto-Puzzle“ erstellt, welches vom Browser im Hintergrund (ohne, dass der Anwender davon etwas mitbekommt) bearbeitet wird, während der User das Formular ausfüllt.
Powermail in Kombination mit Typo3-Erweiterungen (z.B. Spam Shield) liefert eine captchalose Alternative zu Spamfiltern. Das Prinzip ist dabei, dass das Ausfüllen von Kontaktformularen mit einigen (im Hintergrund laufenden) Hürden verbunden ist, die in Kombination Spam filtern sollen.
Eine dieser Hürden besteht in der oben erwähnten Honeypot Methode.
Auch wenn jede der oben genannten Methoden bzw. Technologien als reCaptcha-Alternative infrage kommt, empfehlen wir Friendly Captcha. Als datenschutzrechtlich beste Alternative mit hoher Nutzerfreundlichkeit funktioniert dieses System zudem mit hoher Wahrscheinlichkeit komplett CMS-unabhängig.
Was bedeutet das nun für WebsitebetreiberInnen?
Aus genannten Gründen ist das Google Tool nicht mit der DSGVO vereinbar. Google ist und bleibt ein Wirtschaftsunternehmen, dass seine Dienste zwar teilweise kostenlos, aber nicht „umsonst“ anbietet. Die NutzerInnen zahlen am Ende mit ihren Daten. Die mangelhafte Vereinbarkeit mit der DSGVO betrifft daher alle Google-Dienste, nicht nur Google reCaptcha.
Wer das Tool nutzt, sollte sich über die Risiken im Klaren sein und diese möglichst gering halten. Um Risiken zu reduzieren, sollte zunächst Transparenz geschaffen werden. Außerdem sollten NutzerInnen der Nutzung des Tools und somit der Nutzung ihrer Daten explizit über ein Cookie Banner zustimmen. 100% rechtssicher wird die Nutzung dadurch jedoch nicht, weshalb wir empfehlen, sich für eine der datenschutzfreundlichen Alternativen zu entscheiden.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zur Web-Compliance und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
