INFORMATIONEN

Ist die Verwendung von reCAPTCHA DSGVO-konform?

Die reCAPTCHA-Technologie von Google wird verwendet, um festzustellen, ob Website-Besucher menschlich sind oder nicht. Die Datenschutzgrundverordnung und die neue reCAPTCHA-Generation sind jedoch schwer miteinander zu vereinbaren.

ReCAPTCHA ist ein Captcha-Dienst, der im Hintergrund von Websites erkennt, ob es sich bei den Besuchern um Menschen oder Computerprogramme handelt. Aus datenschutzrechtlicher Sicht ist die bisherige Methode problematisch. Was Captchas im Allgemeinen sind, warum wir als Datenschutzbeauftragte auf reCAPTCHA achten und welche DSGVO-konformen Captcha-Lösungen es für Sie und Ihr Unternehmen gibt, erklären wir Ihnen in diesem Artikel.

Was genau ist Captcha und wie funktioniert es?

Captchas werden verwendet, um Maschinen, Computerprogramme und Malware (=Bots) daran zu hindern, sich auf Websites zu registrieren oder Kommentare zu hinterlassen. Captchas sind verzerrte Abfolgen von Buchstaben und Zahlen oder Mosaikbilder, die Sie vielleicht schon einmal gesehen haben. Während früher nur Menschen solche Aufgaben lösen konnten, können dies heute dank künstlicher Intelligenz auch Bots. Infolgedessen müssen auch Captchas verbessert werden.

Google hat sein eigenes reCAPTCHA-Tool inzwischen so weit verfeinert, dass es entweder unauffällig im Hintergrund läuft oder Sie auffordert, ein Kästchen anzukreuzen, um anzuzeigen, dass Sie kein Roboter sind. Die unsichtbare reCAPTCHA V3-Simulation von Google wird inzwischen auf vielen Websites in der ganzen Welt eingesetzt und verwendet keine Tests mehr, um die Menschlichkeit der Nutzerinnen und Nutzer zu überprüfen, sondern stützt sich auf eine verhaltensbasierte Analyse. In der Regel gibt es keine Anzeichen dafür, dass das eigene Surfverhalten überwacht und bewertet wird. Mitunter ist lediglich ein kleines Captcha-Logo am unteren Bildschirmrand zu sehen. Unter dem Gesichtspunkt der Datensicherheit ist dies ein Problem.

Sind Captchas mit der Allgemeinen Datenschutzverordnung (DSGVO) konform?

Captchas stellen fest, ob ein Website-Besucher ein Mensch ist. Zu diesem Zweck werden die Aktivitäten der Nutzer analysiert und zu einem Captcha-Score zusammengefasst. Genauer gesagt, Aktionen wie:

  • Ich habe bereits Google-Cookies installiert.
  • Frühere Browser-Interaktionen
  • Die Anzahl der Mausbewegungen und Tastenanschläge
  • Verweildauer auf Websites
  • Um dieses Verhalten auswerten zu können, werden auch die folgenden personenbezogenen Daten an Google zur Prüfung übermittelt:

  • Die IP-Adresse des Besuchers der Website
  • Date,
  • Dies ist ein vollständiges Bildschirmfoto des Browserfensters.
  • Referrer URL (die Adresse der Seite, von der der Besucher kam),
  • Browser-Plugins,
  • Informationen über das Betriebssystem (Windows, Linux oder iOS),
  • Andere Google-Cookies der letzten 6 Monate sowie NID-Cookies, die zur Erstellung von Nutzerprofilen verwendet werden, sind Beispiele für Cookies.
  • und die Geräteeinstellungen des Nutzers (z. B. Spracheinstellungen, Standort, Browser usw.).
  • Die Datenschutz-Grundverordnung schützt alle personenbezogenen Daten, einschließlich dieser Daten. Folglich muss es eine rechtliche Grundlage für eine solche Datenerfassung geben. Da die ausdrückliche Zustimmung des Nutzers zur Verarbeitung der Daten nicht eingeholt wird, muss der Website-Betreiber ein berechtigtes Interesse gemäß Artikel 6 Absatz 1 Buchstabe f) DSGVO nachweisen. Die Tatsache, dass das Tool die Website vor Bot-Angriffen und überquellenden Spam-Ordnern schützt, zeigt, dass die Verwendung von ReCAPTCHA gerechtfertigt ist. Das Vorhandensein von datenschutzfreundlicheren Optionen steht im Widerspruch zu einem berechtigten Interesse. Die Risiken für die Interessen, Grundrechte und Freiheiten der betroffenen Personen können nicht bestimmt werden, da es unmöglich ist, genau zu wissen, was Google mit den erhaltenen Daten macht.

    Infolgedessen überwiegt das Interesse des Einzelnen das Interesse des Unternehmens, und Google hat kein notwendiges berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten. Häufig gibt es keine andere Rechtsgrundlage für die Datenverarbeitung als die Einwilligung oder das berechtigte Interesse. Infolgedessen ist die Datenverarbeitung von reCAPTCHA durch Google datenschutzrechtlich unzulässig, da es an einer Rechtsgrundlage fehlt.

    Sie sind für die Rechtmäßigkeit der Captcha-Variante verantwortlich, die Sie als Website-Betreiber gewählt haben. Bei der Nutzung von reCAPTCHA ist äußerste Vorsicht geboten, da eine beträchtliche Menge an personenbezogenen Daten ohne Rechtsgrundlage nach der DSGVO erhoben wird. Wenn Sie das Tool dennoch nutzen möchten, beachten Sie bitte die folgenden Faktoren:

  • Schaffen Sie Transparenz: Bringen Sie Ihren Nutzern bei, wie sie das Tool auf Ihrer Website verwenden können.
  • Holen Sie sich die Zustimmung der Website-Besucher zur Nutzung des Tools mit Hilfe eines Cookie-Banners.
  • Wenden Sie das Prinzip der Datenreduzierung an und erfassen Sie nur das absolut Notwendige.
  • Gehen Sie auf Nummer sicher: Verwenden Sie eine Alternative.
  • Zusammenfassung

    Wir empfehlen Ihnen, eines der alternativen Programme zu verwenden, um sicherzustellen, dass Ihre Website DSGVO-konform und frei von Bot-Attacken ist. Wir unterstützen Sie gerne bei der Suche nach einer geeigneten Lösung, um sicherzustellen, dass Ihr Internetauftritt rechtmäßig ist.

    ePrivacy-Verordnung im Kontext der EUDSGVO

    Die alte Richtlinie wird durch die neue EU-Datenschutz-Grundverordnung, die zeitgleich mit der EU-Datenschutz-Grundverordnung in Kraft treten wird, zu einer in allen EU-Staaten geltenden Regelung ohne

    mehr »