Ist Google reCAPTCHA DSGVO – konform?

Aktualisierung 29.11.2023. Weitere alternative DSGVO-konforme Tools eingefügt

Google reCAPTCHA, wer kennt es nicht? Wenn Du so wie ich im digitalen Zeitalter lebst, bist Du bestimmt schon mal über diese kleinen Tests gestolpert. Erinnerst Du Dich an die Zeiten, in denen Du Straßenschilder und Autos in einem Puzzle aus Bildern identifizieren musstest? Manchmal hat das fast an ein kleines Gehirnjogging erinnert, oder?

Aber hey, die Zeiten haben sich geändert! Google reCAPTCHA hat sich weiterentwickelt, und zwar so, dass Du und ich jetzt einen flüssigeren Nutzerfluss genießen können.

Das Beste daran? Die meisten User merken gar nicht, dass sie gerade einen reCAPTCHA-Test machen.

Ja, Du hast richtig gehört! Die Technologie hat sich so raffiniert entwickelt, dass sie jetzt sogar Spam-Bots entlarven kann, ohne dass es der Nutzer bemerkt.

Aber halt mal, bevor wir uns zu sehr in der Technologie verlieren: Was bedeutet das alles für den Datenschutz? Genau das wollen wir, Du und ich, uns jetzt gemeinsam anschauen.

I. Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein sog. Captcha und das steht für „completely automated public Turing test to tell computers and humans apart“. Damit ist die Aufgabe von Google reCAPTCHA schon klar, nämlich Menschen von Bots zu unterscheiden.

Google reCAPTCHA baut auf das von Informatik – Professor Luis von Ahn entwickelte reCAPTCHA auf. Dessen Idee war es, den Nutzern verzerrte Buchstaben und Zahlen entziffern zu lassen, die von einem Computerprogramm nicht gelesen werden konnten. Aus dieser „Arbeit“ der Seitenbesucher zog das ursprüngliche reCaptcha einen Nutzen und half Kunden wie der New York Times bei der Digitalisierung. Später wurde reCaptcha dann von Google gekauft.

Heute wendet Google dieses Verfahren von reCaptcha aber nicht mehr an, sondern im Vordergrund steht eine Auswertung des Nutzerverhaltens durch ein JavaScript – Element. Das verbessert einerseits die Conversion und ist andererseits dem Umstand geschuldet, dass es für künstliche Intelligenz inzwischen ein Leichtes ist, die schwer lesbaren Buchstaben zu erkennen.

II. Welche Daten werden von Google verarbeitet?

Leider macht Google nur unzureichende Angaben zu den verarbeiteten Daten. Der allgemeinen Datenschutzerklärung von Google ist immerhin zu entnehmen, dass allgemeine Nutzungsdaten wie:

  • der Typ und die Einstellungen des Browsers,
  • der Typ und die Einstellungen des Geräts,
  • das Betriebssystem,
  • Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und
  • die Telefonnummer sowie die Versionsnummer der App und
  • die IP – Adresse des Nutzers

erhoben werden.

Die allgemeine Datenschutzerklärung von Google enthält aber keine Ausführungen zur Funktionsweise von Google reCAPTCHA. Ob also speziell durch Google reCAPTCHA weitere Daten verarbeitet werden, um das Nutzerverhalten zu analysieren, bleibt unklar.

Das ist jedoch ein Problem, weil Du in Deiner Datenschutzerklärung die Kategorien der verarbeiteten Daten angeben musst (s. auch Art. 14 Abs. 1 lit. d DSGVO). Deshalb ist nach Ansicht der bayerischen Datenschutzbehörde der Einsatz von Google reCAPTCHA bereits problematisch. In deren FAQ ist zu lesen: „Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

III. Welche weiteren Daten werden eventuell noch verarbeitet?

In Internetquellen (z.B. bei businessinsider.com) ist zu lesen, dass zusätzlich zu den oben unter II. genannten Daten auch folgendes erhoben wird:

  • die Verweildauer auf Websites,
  • die bereits von anderen Google – Diensten gesetzten Cookies der letzten 6 Monate,
  • die Anzahl der Mausbewegungen und Klicks und sogar
  • ein kompletter Screenshot des Browserfensters, Pixel für Pixel

Weil diese Angaben aber nicht von Google stammen, können sie von uns weder verifiziert, noch falsifiziert werden.

IV. Welche Rechtsgrundlage gibt es für Google reCAPTCHA?

Nach der DSGVO ist eine Datenverarbeitung nur rechtmäßig, wenn sie auf eine Rechtsgrundlage gestützt werden kann, d.h. es gilt hier der Satz „alles was nicht erlaubt ist, ist verboten“. Es ist also eine Rechtsgrundlage erforderlich, hier kann es nur entweder das überwiegende Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein oder eine sonst erforderliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Aber um es vorwegzunehmen, die Frage nach der einschlägigen Rechtsgrundlage kann gar nicht abschließend beurteilt werden. Wie soeben dargelegt, gibt es gar nicht genug Informationen darüber, welche Daten Google reCAPTCHA eigentlich verarbeitet.

V. Ist der Einsatz von Google reCAPTCHA durch ein berechtigtes Interesse gerechtfertigt?

Als mögliche Rechtsgrundlage für eine Datenverarbeitung kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Schauen wir uns den Wortlaut dieser Vorschrift einmal an:

„Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (…).“

Ein berechtigtes Interesse des Webseitenbetreibers könnte hier sicherlich der Schutz vor Spambots sein. Allerdings ist dieses Interesse nach Art. 6 Abs. 1 lit. f DSGVO mit dem Interesse oder mit den Grundrechten des Nutzers abzuwiegen.

Hier lässt sich jedenfalls sagen, dass die Grundrechte des Nutzers, namentlich das allgemeine Persönlichkeitsrecht, durch die Datenerhebung von Google reCAPTCHA umso stärker beeinträchtigt werden, je mehr Daten Google über das Nutzerverhalten erhebt und je intensiver es diese Daten auswertet. Je eher Google zum Beispiel aus dem Nutzerverhalten sogar eine Art Persönlichkeitsprofil des Nutzers erstellt, desto eher überwiegen die Grundrechte des Nutzers gegenüber dem Einsatz von Google reCAPTCHA durch den Webseitenbetreiter ohne Einwilligung.

Da Google reCAPTCHA nicht ohne Einwilligung verwendet werden darf, solltest du also davon absehen reCAPTCHA ohne Einwilligung zu verwenden. Wenn Du Google reCAPTCHA mit Einwilligung verwendest, etwa indem Du es in den Cookie – Banner aufnimmst, stellt sich das Problem, dass Bots das Tool sehr leicht umgehen können. Sie müssen nur die Cookies ablehnen. Vielleicht gibt es eine Lösung für dieses Problem, aber ich kenne sie nicht. Zudem bleibt weiterhin fraglich ob reCHAPTCHA selbst mit Einwilligung DSGVO konform ist-denn an die Übermittlung von Daten in die USA sind erhöhte Anforderungen zu stellen.

VI. Welche Cookies setzt Google reCAPTCHA ?

Nach eigenen Angaben in den FAQ setzt Google reCAPTCHA lediglich das notwendige Cookie _GRECAPTCHA. Allerdings wird dieses Cookie standardmäßig von der Domäne google.com geladen, sodass Google reCAPTCHA vermutlich von all den dort geladenen Cookies Kenntnis erlangen kann, wenn der Nutzer zeitgleich in seinem Google – Konto angemeldet ist. Schon dadurch kann Google ein umfangreiches Nutzerprofil erstellen.

Wenn Du Google reCAPTCHA ohne Einwilligung verwenden möchtest, solltest Du die Domain nicht von google.com, sondern von www.recaptcha.net  laden, wie in den verlinkten Google – FAQ angegeben.

VII. Ist Google reCAPTCHA DSGVO konform?

Weil Du als Webseitenbetreiber nicht angeben kannst, welche Daten verarbeitet werden, kann Google reCAPTCHA derzeit nicht DSGVO – konform verwendet werden. Selbst eine erforderliche Einwilligung kann darüber nicht hinweghelfen.

Wir können Google reCAPTCHA also aus datenschutzrechtlicher Sicht nicht empfehlen.

Wie sicher ist reCAPTCHA?

Da einige Bots die jüngsten Fortschritte der KI nutzen um die Aufgaben von reCAPTCHA zu lösen, kann reCAPTCHA als nicht mehr sehr sicher angesehen werden. Zudem werden von Cyperkriminellen öfters Arbeitskräfte aus Billiglohnländern beauftragt und reCHAPTCHA zu überlisten.

Was bedeutet geschützt durch reCAPTCHA?

„Geschützt durch reCAPTCHA“ bedeutet, dass eine Webseite oder ein Online-Dienst einen Sicherheitsmechanismus namens reCAPTCHA verwendet, um sich vor automatisierten Spam- oder Missbrauchsversuchen zu schützen. Wie bereits erwähnt ist Aufgrund der neuesten KI-Entwicklungen der Schutz von reCAPTCHA fraglich.

VIII. Gibt es datenschutzfreundlichere Alternativen?

Wenn es Alternativen gibt, die datenschutzfreundlicher sind, als Google reCAPTCHA  und den Schutz vor Spam – Bots ähnlich gut leisten, spricht das dafür, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nicht erforderlich ist gemäß Art. 6 Abs. 1 lit. f DSGVO.

Abgesehen davon empfehlen wir Dir sowieso den Einsatz dieser datenschutzfreundlicher Alternativen, schon wegen der Unklarheit über die verarbeiteten Daten. Datenfreundliche Alternativen sind zum Beispiel:

1. Honeypots

Honeypots sind Felder in Formularen, die nicht ausgefüllt werden sollen. Sie liefern einen wirksamen Schutz vor Bots, weil ein Bot nicht erkennen würde, dass das Feld leer bleiben soll und so in die Falle tappt.

2. FriendlyCaptcha

Das Tool friendly captcha arbeitet wie Google reCAPTCHA im Hintergrund, gibt dem Endgerät des Nutzers aber ein Krypto – Rätsel, statt das Nutzerverhalten zu analysieren. Dabei wird zwar letztlich auch die IP – Adresse verarbeitet (wenn auch aufwändig verschlüsselt), jedoch hat das Krypto – Rätsel, das gelöst wird, keinen Bezug zur Privatsphäre des Nutzers. Bei der Nutzung von FriendlyCaptcha werden keine Cookies verwendet oder persönliche Daten von Nutzern gespeichert. Insoweit bietet auch friendly captcha eine datenschutzfreundlichere Alternative.

Friendly Captcha kann je nach Nutzung der Webseite kostenlos, aber auch kostenpflichtig zwischen 9 und 200 Euro im Monat, verwendet werden. Die Preise unterscheiden sich in den enthaltenen Tools und Features, wie zum Beispiel die Anzahl der geschützten Webseiten oder verschiedenen Support-Möglichkeiten. Ähnliches dürfte für das Tool hcaptcha gelten.

3. Captcha.eu

Eine weitere Alternative kommt aus einem Land, das der DSGVO unterliegt: Österreich. Captcha.eu erhebt dabei keine Daten und setzt keine Cookies. Zudem setzt captcha.eu auch auf eine benutzer- und barrierefreundliche Erfahrung. Nutzer müssen keine komplexen Bilderrätsel lösen, was vor allem Menschen mit Einschränkungen zugutekommt.

Fazit

Google reCaptcha analysiert das Nutzerverhalten der Website Besucher und verarbeitet dabei eine Vielzahl an Daten, ohne hierfür eine Rechtsgrundlage zu besitzen. Das verstößt gegen die DSGVO, deswegen können wir reCaptcha nicht empfehlen. Zudem haben sowohl reCAPTCHA v2 als auch v3 zwar den Zweck, einige Bot-Verkehr zu blockieren, jedoch bringen sie eine Reihe von Problemen mit sich. Sie beeinträchtigen die Benutzererfahrung negativ, können von Captcha-Farmen oder künstlicher Intelligenz umgangen werden und bieten keine effektiven Feedback-Mechanismen. Zudem kann es zu falsch positiven und falsch negativen Ergebnissen kommen, und sie sind nicht in der Lage, modernste Bots zu erkennen.

Allerdings gibt es alternativen auf dem Markt (wie zum Beispiel FriendlyCaptcha) die Datenschutzkonform sind und die sich daher bedenkenlos einbinden lassen.

DSGVO Mehr über die DSGVO erfährst du hier.

 

Désirée Jäger, LL.M.

Désirée Jäger, LL.M. Désirée hat sich bereits im Studium mit dem Datenschutz beschäftigt und Ihre Masterarbeit dem Thema: „Die Übermittlung personenbezogener Daten an Empfänger in Drittländer nach Anforderungen der DSGVO“ gewidmet. Sie war einige Zeit als Contract- und Claim-Managerin im maritimen Sektor tätig und hat Vertrags- sowie Claimverhandlungen geführt. Jetzt unterstützt sie Paragraf 7 bei der Lösung rechtlicher Probleme von Unternehmen.

How useful was this post?

Click on a star to rate it!

Average rating 5 / 5. Vote count: 2

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

10 Kommentare

  1. Pingback: Honeypot statt Google-Bot - publishingblog.ch

  2. Pingback: Recaptcha - Recaptcha Test | www.google.com - Login DE Führen

  3. Ist es seltsam oder typyisch, dass noch keine „nennenswerten“ Bußgelder verhängt wurden? Ich wundere mich auch oft, wie sehr groß besuchte Seiten seit 10 Jahren nicht belangt werden, obwohl sie zahlreiche Cookies (u.a. google recaptcha) speichern – ohne vorherige Einwilligung. Wie geht denn die Datenschutzbehörde bei mittelständigen Unternehmen vor, falls ein Verstoß untersucht wird? Wird erst gemahnt oder wird direkt Geldstrafe verlangt?

  4. Pingback: Ultimativer Guide: WordPress Website DSGVO-Konform machen – Google Fonts, Maps, Analytics, reCaptcha - The Small World

  5. Hallo Danke für den kurzen Feed. Wie sieht es aus wenn ich das zum einen in meiner Consent als essentiell angebe und auch in meiner Datenschutzerklärung hinterlegt habe?

  6. Danke für diese großartige Informationsquelle. Ich habe eine WordPress-Lösung entwickelt, wie man das reCAPTCHA-Tool vielleicht DSGVO-konform einsetzen kann. Zumindest ist sie “ konformer“ Du kannst in meinem Blogartikel darüber lesen, der deine Webseite als Quelle mit einem Backlink zu dieser Seite zitiert.

    https://ruesch.tech/de/recaptcha-dsgvo-wordpress/

    Ich würde gerne deine Meinung dazu wissen.

    • Dr. Ronald Kandelhard

      Hallo Steven,

      guter Ansatz auf jeden Fall.
      Im Grundsatz bevorzuge ich aber Alternativen
      zu reCAPTCHA.
      Viel Erfolg mit Deinem Dienst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert