Ist Google reCAPTCHA DSGVO – konform?

Google reCAPTCHA ist weit verbreitet, nicht zuletzt weil es oft im Hintergrund abläuft und daher für die Conversion von Vorteil ist. Vielleicht kannst Du Dich noch an Aufgaben wie „markiere alle Autos“ oder „entziffere diese Schrift“ erinnern, die viele Nutzer vor ungeahnte Herausforderungen gestellt haben. Das gehört durch die neue Version von Google reCAPTCHA schon seit einigen Jahren der Vergangenheit an, denn Du kannst nun sogar Spam – Bots identifizieren, ohne dass der Nutzer es bemerken würde. Aber wie sieht es dabei mit dem Datenschutz aus? Das wollen wir uns jetzt anschauen.

I. Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein sog. Captcha und das steht für completely automated public Turing test to tell computers and humans apart. Damit ist die Aufgabe von Google reCAPTCHA schon klar, nämlich Menschen von Bots zu unterscheiden.

Google reCAPTCHA baut auf das von Informatik – Professor Luis von Ahn entwickelte reCAPTCHA auf. Dessen Idee war es, den Nutzern verzerrte Buchstaben und Zahlen entziffern zu lassen, die von einem Computerprogramm nicht gelesen werden konnten. Aus dieser „Arbeit“ der Seitenbesucher zog das ursprüngliche reCaptcha einen Nutzen und half Kunden wie der New York Times bei der Digitalisierung. Später wurde reCaptcha dann von Google gekauft.

Heute wendet Google dieses Verfahren von reCaptcha aber nicht mehr an, sondern im Vordergrund steht eine Auswertung des Nutzerverhaltens durch ein JavaScript – Element. Das verbessert einerseits die Conversion und ist andererseits dem Umstand geschuldet, dass es für künstliche Intelligenz inzwischen ein Leichtes ist, die schwer lesbaren Buchstaben zu erkennen.

II. Welche Daten werden von Google verarbeitet?

Leider macht Google nur unzureichende Angaben zu den verarbeiteten Daten. Der allgemeinen Datenschutzerklärung von Google ist immerhin zu entnehmen, dass allgemeine Nutzungsdaten wie

  • der Typ und die Einstellungen des Browsers,
  • der Typ und die Einstellungen des Geräts,
  • das Betriebssystem,
  • Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und
  • die Telefonnummer sowie die Versionsnummer der App und
  • die IP – Adresse des Nutzers

erhoben werden.

Die allgemeine Datenschutzerklärung von Google enthält aber keine Ausführungen zur Funktionsweise von Google reCAPTCHA. Ob also speziell durch Google reCAPTCHA weitere Daten verarbeitet werden, um das Nutzerverhalten zu analysieren, bleibt unklar.

Das ist jedoch ein Problem, weil Du in Deiner Datenschutzerklärung die Kategorien der verarbeiteten Daten angeben musst (s. auch Art. 14 Abs. 1 lit. d DSGVO). Deshalb ist nach Ansicht der bayerischen Datenschutzbehörde der Einsatz von Google reCAPTCHA bereits problematisch. In deren FAQ ist zu lesen:

Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.

III. Welche weiteren Daten werden eventuell noch verarbeitet?

In Internetquellen (z.B. bei businessinsider.com) ist zu lesen, dass zusätzlich zu den oben unter II. genannten Daten auch folgendes erhoben wird:

  • die Verweildauer auf Websites,
  • die bereits von anderen Google Diensten gesetzten Cookies der letzten 6 Monate,
  • die Anzahl der Mausbewegungen und Klicks und sogar
  • ein kompletter Screenshot des Browserfensters, Pixel für Pixel
Weil diese Angaben aber nicht von Google stammen, können sie von uns weder verifiziert, noch falsifiziert werden.

IV. Welche Rechtsgrundlage gibt es für Google reCAPTCHA?

Nach der DSGVO ist eine Datenverarbeitung nur rechtmäßig, wenn sie auf eine Rechtsgrundlage gestützt werden kann, d.h. es gilt hier der Satz „alles was nicht erlaubt ist, ist verboten“. Es ist also eine Rechtsgrundlage erforderlich, hier kann es nur entweder das überwiegende Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein oder eine sonst erforderliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Aber um es vorwegzunehmen, die Frage nach der einschlägigen Rechtsgrundlage kann gar nicht abschließend beurteilt werden. Wie soeben dargelegt, gibt es gar nicht genug Informationen darüber, welche Daten Google reCAPTCHA eigentlich verarbeitet.

V. Ist der Einsatz von Google reCAPTCHA durch ein berechtigtes Interesse gerechtfertigt?

Als mögliche Rechtsgrundlage für eine Datenverarbeitung kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Schauen wir uns den Wortlaut dieser Vorschrift einmal an:

„Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (…).“

Ein berechtigtes Interesse des Webseitenbetreibers könnte hier sicherlich der Schutz vor Spambots sein. Allerdings ist dieses Interesse nach Art. 6 Abs. 1 lit. f DSGVO mit dem Interesse oder mit den Grundrechten des Nutzers abzuwiegen.

Hier lässt sich jedenfalls sagen, dass die Grundrechte des Nutzers, namentlich das allgemeine Persönlichkeitsrecht, durch die Datenerhebung von Google reCAPTCHA umso stärker beeinträchtigt werden, je mehr Daten Google über das Nutzerverhalten erhebt und je intensiver es diese Daten auswertet. Je eher Google zum Beispiel aus dem Nutzerverhalten sogar eine Art Persönlichkeitsprofil des Nutzers erstellt, desto eher überwiegen die Grundrechte des Nutzers gegenüber dem Einsatz von Google reCAPTCHA durch den Webseitenbetreiter ohne Einwilligung.

Wo auf diesem Spektrum Google reCAPTCHA nun zu verorten ist, bleibt jedoch letztlich Spekulation. Ich kann also nur etwas zurückhaltend sagen, dass der Einsatz von Google reCAPTCHA ohne Einwilligung mit einem Risiko behaftet ist. Du solltest es daher besser nicht verwenden.

Wenn Du Google reCAPTCHA mit Einwilligung verwendest, etwa indem Du es in den Cookie – Banner aufnimmst, stellt sich das Problem, dass Bots das Tool sehr leicht umgehen können. Sie müssen nur die Cookies ablehnen. Vielleicht gibt es eine Lösung für dieses Problem, aber ich kenne sie nicht.

VI. Welche Cookies setzt Google reCAPTCHA ?

Nach eigenen Angaben in den FAQ setzt Google reCAPTCHA lediglich das notwendige Cookie _GRECAPTCHA.

Allerdings wird dieses Cookie standardmäßig von der Domäne google.com geladen, sodass Google reCAPTCHA vermutlich von all den dort geladenen Cookies Kenntnis erlangen kann, wenn der Nutzer zeitgleich in seinem Google – Konto angemeldet ist. Schon dadurch kann Google ein umfangreiches Nutzerprofil erstellen.

Wenn Du Google reCAPTCHA ohne Einwilligung verwenden möchtest, solltest Du die Domain nicht von google.com, sondern von www.recaptcha.net  laden, wie in den verlinkten Google – FAQ angegeben.

VII. Gibt es datenschutzfreundlichere Alternativen?

Wenn es Alternativen gibt, die ebenso datenschutzfreundlich sind, wie Google reCAPTCHA , aber den Schutz vor Spam – Bots ähnlich gut leisten, spricht das dafür, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nicht erforderlich ist gemäß Art. 6 Abs. 1 lit. f DSGVO.

Abgesehen davon empfehlen wir Dir sowieso den Einsatz dieser datenschutzfreundlicher Alternativen, schon wegen der Unklarheit über die verarbeiteten Daten.

1. Honeypots

Honeypots sind Felder in Formularen, die nicht ausgefüllt werden sollen. Sie liefern einen wirksamen Schutz vor Bots, weil ein Bot nicht erkennen würde, dass das Feld leer beleiben soll und so in die Falle tappt.

2. Andere Tools

Das Tool friendly captcha arbeitet wie Google reCAPTCHA im Hintergrund, gibt dem Endgerät des Nutzers aber ein Krypto – Rätsel, statt das Nutzerverhalten zu analysieren. Dabei wird zwar letztlich auch die IP – Adresse verarbeitet (wenn auch aufwändig verschlüsselt), jedoch hat das Krypto – Rätsel, das gelöst wird, keinen Bezug zur Privatsphäre des Nutzers. Insoweit bietet auch friendly captcha eine datenschutzfreundlichere Alternative.

Ähnliches dürfte für das Tool hcaptcha gelten.

VII. Ist Google reCAPTCHA DSGVO konform?

Weil Du als Webseitenbetreiber nicht angeben kannst, welche Daten verarbeitet werden, kann Google reCAPTCHA derzeit nicht DSGVO – konform verwendet werden. Selbst eine wohl erforderliche Einwilligung kann darüber nicht hinweghelfen.

Wir können Google reCAPTCHA also aus datenschutzrechtlicher Sicht nicht empfehlen. Bisher kam es allerdings auch noch nicht zu Abmahnungen, Bußgeldern oder Gerichtsverfahren in nennenswertem Ausmaß wegen Google reCAPTCHA .

DSGVO Mehr über die DSGVO erfährst du hier.
Rechtsanwalt Kolja Stübing

Kolja Strübing, Rechtsanwalt. Kolja hat in Freiburg und Leipzig seine juristische Ausbildung absolviert. In Freiburg war er lange als studentische Hilfskraft an einem Lehrstuhl tätig. Nun unterstützt er Paragraf 7 als Rechtsanwalt. Sein Vordiplom in Mathematik hilft ihm dabei, auch die technischen Hintergründe zu verstehen. Er ist nun in der Welt zu Hause und lernt gerade surfen.

1 Kommentare

  1. Pingback: Honeypot statt Google-Bot - publishingblog.ch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.