Die reCAPTCHA-Technologie von Google wird verwendet, um festzustellen, ob Website-Besucher menschlich sind oder nicht. Die Datenschutzgrundverordnung und die neue reCAPTCHA-Generation sind jedoch schwer miteinander zu vereinbaren.
ReCAPTCHA ist ein Captcha-Dienst, der im Hintergrund von Websites erkennt, ob es sich bei den Besuchern um Menschen oder Computerprogramme handelt. Aus datenschutzrechtlicher Sicht ist die bisherige Methode problematisch. Was Captchas im Allgemeinen sind, warum wir als Datenschutzbeauftragte auf reCAPTCHA achten und welche DSGVO-konformen Captcha-Lösungen es für Sie und Ihr Unternehmen gibt, erklären wir Ihnen in diesem Artikel.
Was genau ist Captcha und wie funktioniert es?
Captchas werden verwendet, um Maschinen, Computerprogramme und Malware (=Bots) daran zu hindern, sich auf Websites zu registrieren oder Kommentare zu hinterlassen. Captchas sind verzerrte Abfolgen von Buchstaben und Zahlen oder Mosaikbilder, die Sie vielleicht schon einmal gesehen haben. Während früher nur Menschen solche Aufgaben lösen konnten, können dies heute dank künstlicher Intelligenz auch Bots. Infolgedessen müssen auch Captchas verbessert werden.
Google hat sein eigenes reCAPTCHA-Tool inzwischen so weit verfeinert, dass es entweder unauffällig im Hintergrund läuft oder Sie auffordert, ein Kästchen anzukreuzen, um anzuzeigen, dass Sie kein Roboter sind. Die unsichtbare reCAPTCHA V3-Simulation von Google wird inzwischen auf vielen Websites in der ganzen Welt eingesetzt und verwendet keine Tests mehr, um die Menschlichkeit der Nutzerinnen und Nutzer zu überprüfen, sondern stützt sich auf eine verhaltensbasierte Analyse. In der Regel gibt es keine Anzeichen dafür, dass das eigene Surfverhalten überwacht und bewertet wird. Mitunter ist lediglich ein kleines Captcha-Logo am unteren Bildschirmrand zu sehen. Unter dem Gesichtspunkt der Datensicherheit ist dies ein Problem.
Sind Captchas mit der Allgemeinen Datenschutzverordnung (DSGVO) konform?
Captchas stellen fest, ob ein Website-Besucher ein Mensch ist. Zu diesem Zweck werden die Aktivitäten der Nutzer analysiert und zu einem Captcha-Score zusammengefasst. Genauer gesagt, Aktionen wie:
Um dieses Verhalten auswerten zu können, werden auch die folgenden personenbezogenen Daten an Google zur Prüfung übermittelt:
Die Datenschutz-Grundverordnung schützt alle personenbezogenen Daten, einschließlich dieser Daten. Folglich muss es eine rechtliche Grundlage für eine solche Datenerfassung geben. Da die ausdrückliche Zustimmung des Nutzers zur Verarbeitung der Daten nicht eingeholt wird, muss der Website-Betreiber ein berechtigtes Interesse gemäß Artikel 6 Absatz 1 Buchstabe f) DSGVO nachweisen. Die Tatsache, dass das Tool die Website vor Bot-Angriffen und überquellenden Spam-Ordnern schützt, zeigt, dass die Verwendung von ReCAPTCHA gerechtfertigt ist. Das Vorhandensein von datenschutzfreundlicheren Optionen steht im Widerspruch zu einem berechtigten Interesse. Die Risiken für die Interessen, Grundrechte und Freiheiten der betroffenen Personen können nicht bestimmt werden, da es unmöglich ist, genau zu wissen, was Google mit den erhaltenen Daten macht.
Infolgedessen überwiegt das Interesse des Einzelnen das Interesse des Unternehmens, und Google hat kein notwendiges berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten. Häufig gibt es keine andere Rechtsgrundlage für die Datenverarbeitung als die Einwilligung oder das berechtigte Interesse. Infolgedessen ist die Datenverarbeitung von reCAPTCHA durch Google datenschutzrechtlich unzulässig, da es an einer Rechtsgrundlage fehlt.
Sie sind für die Rechtmäßigkeit der Captcha-Variante verantwortlich, die Sie als Website-Betreiber gewählt haben. Bei der Nutzung von reCAPTCHA ist äußerste Vorsicht geboten, da eine beträchtliche Menge an personenbezogenen Daten ohne Rechtsgrundlage nach der DSGVO erhoben wird. Wenn Sie das Tool dennoch nutzen möchten, beachten Sie bitte die folgenden Faktoren:
Zusammenfassung
Wir empfehlen Ihnen, eines der alternativen Programme zu verwenden, um sicherzustellen, dass Ihre Website DSGVO-konform und frei von Bot-Attacken ist. Wir unterstützen Sie gerne bei der Suche nach einer geeigneten Lösung, um sicherzustellen, dass Ihr Internetauftritt rechtmäßig ist.