reCaptcha & Datenschutz: Ist die Nutzung DSGVO konform?
Das reCaptcha Tool von Google soll erkennen, ob es sich bei Websitebesuchern um Menschen oder Maschinen handelt. Doch die neue reCaptcha Generation ist nur schwer mit der DSGVO vereinbar.
Was ist reCaptcha?
Wer beispielsweise ein Kontaktformular auf einer Website ausfüllt, muss oft durch ein sogenanntes Captcha beweisen, dass er oder sie ein Mensch und kein Roboter ist. Diese Tests sind in verschiedenen Formen auf Websites zu finden, zum Beispiel als schwer lesbare Buchstaben- und Zahlenfolgen oder als Bildrätsel (z.B. Zebrastreifen, Fahrräder oder Ampeln).
Diese Tests haben eine einfache, aber sehr sinnvolle Funktion: Sie schützen Websitebetreiber vor einer Spam-Flut durch Bots. Captchas verhindern beispielsweise, dass Registrierungen, Umfragen oder Kommentarfunktionen auf Websites von Fake-Usern oder DDoS-Attacken missbraucht werden.
Wie funktioniert Google reCaptcha?
Datenschützer haben die Funktionsweise von Google reCaptcha analysiert und dabei festgestellt, dass eine Methode darin besteht, dass reCaptcha die Menschlichkeit eines Nutzers anhand eines Google-Cookie im Browser feststellt. Dieses Cookie ist dasselbe, das Nutzern ermöglicht, neue Tabs zu öffnen, ohne sich jedes Mal erneut in einem Google-Konto anmelden zu müssen.
Darüber hinaus läuft reCaptcha mit einem JavaScript-Element, das Mausbewegungen, Tastaturanschläge, Informationen zum Betriebssystem und die Verweildauer auf der Seite erfasst und an Google übermittelt. Diese Daten helfen Google, menschliches Verhalten besser zu erkennen und so Bots von echten Nutzern zu unterscheiden.
Datenverarbeitung durch reCaptcha
Aufgrund der weit verbreiteten Nutzung von reCaptcha auf Websites weltweit besteht die Möglichkeit, dass Google – wenn Sie in Ihrem Google-Konto angemeldet sind – Daten über jede einzelne Webseite erhält, die reCaptcha eingebaut hat. Oft gibt es auf der Website lediglich ein kleines reCaptcha-Logo in der Ecke, aber keinerlei weitere Hinweise darauf, was im Hintergrund geschieht. Google stellt zwar klar, dass die gesammelten Daten zur Verbesserung von reCaptcha und zur Erhöhung der allgemeinen Sicherheit verwendet werden, jedoch ist es nicht eindeutig, wie Google diese Daten konkret nutzt. Es ist nicht auszuschließen, dass die gesammelten Informationen verwendet werden, um personalisierte Profile zu erstellen und gezielte Werbung anzuzeigen.
Für die Analyse des Nutzerverhaltens werden dabei verschiedene personenbezogene Daten erfasst und an Google weitergeleitet, darunter:
- IP-Adresse
- Datum und Uhrzeit des Besuchs
- Screenshot des gesamten Browserfensters
- Referrer URL (die Adresse der Seite, von der der Besucher kommt)
- Browser Plug-ins
- Informationen über das Betriebssystem (z.B. Windows, Linux, iOS)
- Mögliche Google-Cookies
- Mausbewegungen und Tastaturanschläge
- Verweildauer auf der Seite
- Einstellungen des Nutzergeräts (wie Spracheinstellungen, Standort, Browser etc.)
Diese umfangreichen Daten werden verwendet, um menschliches Verhalten von Bots zu unterscheiden, aber auch, um die Effektivität des Systems zu verbessern. Nutzer sollten sich daher bewusst sein, dass die unsichtbare Analyse von reCaptcha auch umfangreiche Informationen über ihr Online-Verhalten sammelt und an Google weitergibt.
Gerichtsentscheidung aus Österreich
Das österreichische Bundesverwaltungsgericht hat am 13. September 2024 (W298 2274626-1) entschieden, dass der Einsatz von Google reCAPTCHA nur mit einer aktiven und informierten Einwilligung der Nutzer erlaubt ist. Grundlage für diese Entscheidung sind sowohl die Datenschutz-Grundverordnung (DSGVO) als auch die ePrivacy-Richtlinie (2002/58/EG).
Die wesentlichen Punkte, die zu diesem Urteil führten, sind:
- Personenbezug der Daten: Das Gericht stellte fest, dass durch die Verarbeitung von Daten wie IP-Adresse, Browserinformationen, Betriebssystem und Bildschirmauflösung ein „digitaler Fußabdruck“ erzeugt wird, der den Nutzer eindeutig identifizieren kann. Diese Daten fallen unter die Definition personenbezogener Daten gemäß Art. 4 Nr. 1 DSGVO.
- Erforderlichkeit von reCAPTCHA: Das Gericht entschied, dass der Einsatz von reCAPTCHA für den Betrieb der Webseite nicht zwingend erforderlich war. Es gibt alternative Maßnahmen zur Verhinderung von Bot-Angriffen, die keine personenbezogenen Daten erheben (Art. 5 Abs. 1 DSGVO).
- Fehlende Einwilligung: Da der Einsatz von reCAPTCHA nicht zwingend erforderlich war, konnte die Verarbeitung nur auf der Grundlage einer ausdrücklichen Einwilligung der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. a) DSGVO). Die Verarbeitung hätte also nicht ohne diese vorherige Einwilligung durchgeführt werden dürfen.
- Intransparente und unvollständige Information: Ein weiterer wesentlicher Punkt des Urteils war, dass der Webseitenbetreiber die Nutzer nicht ausreichend und transparent über die Datenverarbeitung informiert hatte. Dies verstößt gegen die Informationspflichten gemäß Art. 13 und Art. 14 DSGVO.
Zusammengefasst fordert das Gericht, dass Webseitenbetreiber die Nutzer klar und umfassend über die Nutzung von reCAPTCHA und die damit verbundene Datenverarbeitung informieren und ihre ausdrückliche Einwilligung einholen müssen, bevor personenbezogene Daten verarbeitet werden.
Wir helfen weiter!
Herauszustellen ist, dass die Entscheidung des österreichischen Gerichts – aufgrund des europäischen Kontextes – auch für deutsche Gerichte maßgeblich sein dürfte. Für Webseitenbetreiber bedeutet dies eine klare Verpflichtung, ihre Dienste so zu gestalten, dass die Rechte der Nutzer jederzeit gewahrt bleiben. Durch die Implementierung datenschutzkonformer Lösungen können Betreiber von Webseiten nicht nur ihre rechtliche Absicherung stärken, sondern auch das Vertrauen der Nutzer gewinnen – ein wesentlicher Faktor, um in der heutigen digitalen Welt erfolgreich zu sein.
Aus diesem Grund bieten wir Ihnen eine umfassende datenschutzrechtliche Beratung und die Bestellung als externen Datenschutzbeauftragten an. Hierzu können Sie sich jederzeit vertrauensvoll per E-Mail unter info@steinbock-partner.de oder telefonisch an uns wenden. Gerne beraten und unterstützen wir Sie auf Ihrem Weg.