Ist Google reCAPTCHA DSGVO – konform?

Aktualisierung 29.11.2023. Weitere alternative DSGVO-konforme Tools eingefügt

Google reCAPTCHA, wer kennt es nicht? Wenn Du so wie ich im digitalen Zeitalter lebst, bist Du bestimmt schon mal über diese kleinen Tests gestolpert. Erinnerst Du Dich an die Zeiten, in denen Du Straßenschilder und Autos in einem Puzzle aus Bildern identifizieren musstest? Manchmal hat das fast an ein kleines Gehirnjogging erinnert, oder?

Aber hey, die Zeiten haben sich geändert! Google reCAPTCHA hat sich weiterentwickelt, und zwar so, dass Du und ich jetzt einen flüssigeren Nutzerfluss genießen können.

Das Beste daran? Die meisten User merken gar nicht, dass sie gerade einen reCAPTCHA-Test machen.

Ja, Du hast richtig gehört! Die Technologie hat sich so raffiniert entwickelt, dass sie jetzt sogar Spam-Bots entlarven kann, ohne dass es der Nutzer bemerkt.

Aber halt mal, bevor wir uns zu sehr in der Technologie verlieren: Was bedeutet das alles für den Datenschutz? Genau das wollen wir, Du und ich, uns jetzt gemeinsam anschauen.

I. Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein sog. Captcha und das steht für „completely automated public Turing test to tell computers and humans apart“. Damit ist die Aufgabe von Google reCAPTCHA schon klar, nämlich Menschen von Bots zu unterscheiden.

Google reCAPTCHA baut auf das von Informatik – Professor Luis von Ahn entwickelte reCAPTCHA auf. Dessen Idee war es, den Nutzern verzerrte Buchstaben und Zahlen entziffern zu lassen, die von einem Computerprogramm nicht gelesen werden konnten. Aus dieser „Arbeit“ der Seitenbesucher zog das ursprüngliche reCaptcha einen Nutzen und half Kunden wie der New York Times bei der Digitalisierung. Später wurde reCaptcha dann von Google gekauft.

Heute wendet Google dieses Verfahren von reCaptcha aber nicht mehr an, sondern im Vordergrund steht eine Auswertung des Nutzerverhaltens durch ein JavaScript – Element. Das verbessert einerseits die Conversion und ist andererseits dem Umstand geschuldet, dass es für künstliche Intelligenz inzwischen ein Leichtes ist, die schwer lesbaren Buchstaben zu erkennen.

II. Welche Daten werden von Google verarbeitet?

Leider macht Google nur unzureichende Angaben zu den verarbeiteten Daten. Der allgemeinen Datenschutzerklärung von Google ist immerhin zu entnehmen, dass allgemeine Nutzungsdaten wie:

• der Typ und die Einstellungen des Browsers,
• der Typ und die Einstellungen des Geräts,
• das Betriebssystem,
• Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und
• die Telefonnummer sowie die Versionsnummer der App und
• die IP – Adresse des Nutzers

erhoben werden.

Die allgemeine Datenschutzerklärung von Google enthält aber keine Ausführungen zur Funktionsweise von Google reCAPTCHA. Ob also speziell durch Google reCAPTCHA weitere Daten verarbeitet werden, um das Nutzerverhalten zu analysieren, bleibt unklar.

Das ist jedoch ein Problem, weil Du in Deiner Datenschutzerklärung die Kategorien der verarbeiteten Daten angeben musst (s. auch Art. 14 Abs. 1 lit. d DSGVO). Deshalb ist nach Ansicht der bayerischen Datenschutzbehörde der Einsatz von Google reCAPTCHA bereits problematisch. In deren FAQ ist zu lesen: „Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

III. Welche weiteren Daten werden eventuell noch verarbeitet?

In Internetquellen (z.B. bei businessinsider.com) ist zu lesen, dass zusätzlich zu den oben unter II. genannten Daten auch folgendes erhoben wird:

• die Verweildauer auf Websites,
• die bereits von anderen Google – Diensten gesetzten Cookies der letzten 6 Monate,
• die Anzahl der Mausbewegungen und Klicks und sogar
• ein kompletter Screenshot des Browserfensters, Pixel für Pixel

Weil diese Angaben aber nicht von Google stammen, können sie von uns weder verifiziert, noch falsifiziert werden.

IV. Welche Rechtsgrundlage gibt es für Google reCAPTCHA?

Nach der DSGVO ist eine Datenverarbeitung nur rechtmäßig, wenn sie auf eine Rechtsgrundlage gestützt werden kann, d.h. es gilt hier der Satz „alles was nicht erlaubt ist, ist verboten“. Es ist also eine Rechtsgrundlage erforderlich, hier kann es nur entweder das überwiegende Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein oder eine sonst erforderliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Aber um es vorwegzunehmen, die Frage nach der einschlägigen Rechtsgrundlage kann gar nicht abschließend beurteilt werden. Wie soeben dargelegt, gibt es gar nicht genug Informationen darüber, welche Daten Google reCAPTCHA eigentlich verarbeitet.

V. Ist der Einsatz von Google reCAPTCHA durch ein berechtigtes Interesse gerechtfertigt?

Als mögliche Rechtsgrundlage für eine Datenverarbeitung kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Schauen wir uns den Wortlaut dieser Vorschrift einmal an:

„Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (…).“

Ein berechtigtes Interesse des Webseitenbetreibers könnte hier sicherlich der Schutz vor Spambots sein. Allerdings ist dieses Interesse nach Art. 6 Abs. 1 lit. f DSGVO mit dem Interesse oder mit den Grundrechten des Nutzers abzuwiegen.

Hier lässt sich jedenfalls sagen, dass die Grundrechte des Nutzers, namentlich das allgemeine Persönlichkeitsrecht, durch die Datenerhebung von Google reCAPTCHA umso stärker beeinträchtigt werden, je mehr Daten Google über das Nutzerverhalten erhebt und je intensiver es diese Daten auswertet. Je eher Google zum Beispiel aus dem Nutzerverhalten sogar eine Art Persönlichkeitsprofil des Nutzers erstellt, desto eher überwiegen die Grundrechte des Nutzers gegenüber dem Einsatz von Google reCAPTCHA durch den Webseitenbetreiter ohne Einwilligung.

Da Google reCAPTCHA nicht ohne Einwilligung verwendet werden darf, solltest du also davon absehen reCAPTCHA ohne Einwilligung zu verwenden. Wenn Du Google reCAPTCHA mit Einwilligung verwendest, etwa indem Du es in den Cookie – Banner aufnimmst, stellt sich das Problem, dass Bots das Tool sehr leicht umgehen können. Sie müssen nur die Cookies ablehnen. Vielleicht gibt es eine Lösung für dieses Problem, aber ich kenne sie nicht. Zudem bleibt weiterhin fraglich ob reCHAPTCHA selbst mit Einwilligung DSGVO konform ist-denn an die Übermittlung von Daten in die USA sind erhöhte Anforderungen zu stellen.

VI. Welche Cookies setzt Google reCAPTCHA ?

Nach eigenen Angaben in den FAQ setzt Google reCAPTCHA lediglich das notwendige Cookie _GRECAPTCHA. Allerdings wird dieses Cookie standardmäßig von der Domäne google.com geladen, sodass Google reCAPTCHA vermutlich von all den dort geladenen Cookies Kenntnis erlangen kann, wenn der Nutzer zeitgleich in seinem Google – Konto angemeldet ist. Schon dadurch kann Google ein umfangreiches Nutzerprofil erstellen.

Wenn Du Google reCAPTCHA ohne Einwilligung verwenden möchtest, solltest Du die Domain nicht von google.com, sondern von www.recaptcha.net  laden, wie in den verlinkten Google – FAQ angegeben.

VII. Ist Google reCAPTCHA DSGVO konform?

Weil Du als Webseitenbetreiber nicht angeben kannst, welche Daten verarbeitet werden, kann Google reCAPTCHA derzeit nicht DSGVO – konform verwendet werden. Selbst eine erforderliche Einwilligung kann darüber nicht hinweghelfen.

Wir können Google reCAPTCHA also aus datenschutzrechtlicher Sicht nicht empfehlen.

Wie sicher ist reCAPTCHA?

Da einige Bots die jüngsten Fortschritte der KI nutzen um die Aufgaben von reCAPTCHA zu lösen, kann reCAPTCHA als nicht mehr sehr sicher angesehen werden. Zudem werden von Cyperkriminellen öfters Arbeitskräfte aus Billiglohnländern beauftragt und reCHAPTCHA zu überlisten.

Was bedeutet geschützt durch reCAPTCHA?

„Geschützt durch reCAPTCHA“ bedeutet, dass eine Webseite oder ein Online-Dienst einen Sicherheitsmechanismus namens reCAPTCHA verwendet, um sich vor automatisierten Spam- oder Missbrauchsversuchen zu schützen. Wie bereits erwähnt ist Aufgrund der neuesten KI-Entwicklungen der Schutz von reCAPTCHA fraglich.

VIII. Gibt es datenschutzfreundlichere Alternativen?

Wenn es Alternativen gibt, die datenschutzfreundlicher sind, als Google reCAPTCHA  und den Schutz vor Spam – Bots ähnlich gut leisten, spricht das dafür, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nicht erforderlich ist gemäß Art. 6 Abs. 1 lit. f DSGVO.

Abgesehen davon empfehlen wir Dir sowieso den Einsatz dieser datenschutzfreundlicher Alternativen, schon wegen der Unklarheit über die verarbeiteten Daten. Datenfreundliche Alternativen sind zum Beispiel:

1. Honeypots

DSGVO Mehr über die DSGVO erfährst du hier.