HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
captcha
ReCaptcha

Google reCaptcha und DSGVO – ein Widerspruch?

data processing services & kategorisierung
recaptcha logo
ReCaptcha

Seit 2009 wird der Service von der Google LLC betrieben. Der Captcha-Dienst versucht zu unterscheiden, ob eine bestimmte Interaktion im Internet von einer menschlichen Person oder von einem Computerprogramm bzw. Bot vorgenommen wird.

Inhalt des Beitrags

Was ist ReCaptcha?

Wer ein Kontaktformular auf einer Website ausfüllt, muss häufig durch die Nutzung eines sogenannten Captcha beweisen, dass sie / er Mensch ist – und kein Roboter (Bot = evtl. Schadprogramm). Diese Tests sind in verschiedener Form auf Websites wiederzufinden: Zum Beispiel in einer für Roboter schwer lesbaren Buchstaben- und Zahlenabfolge oder in Form eines Mosaik-Bildes (z.B. Zebrastreifen, Fahrräder oder Ampeln).

 

Das kommt dir sicherlich bekannt vor, bzw. ist dir zigfach im Internet begegnet. Solche Captchas sind keine Beschäftigungstherapie oder Intelligenztests. Nein, sie haben die einfache und sinnvolle Funktion, Websitebetreiber vor einer Spam-Flut durch Bots zu schützen. Es soll verhindern, dass Registrierungen, Umfragen, Kommentarfunktion usw. auf Websites z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc. missbraucht werden. Die Abkürzung CAPTCHA steht für completely automated public Turing test to tell computers and humans apart. Diese Tests sollen (so nimmt man an) nur von Menschen gelöst werden können.

Wie funktioniert die unsichtbare Analyse von reCaptcha überhaupt?

Bei Google werden Datenschützer neugierig und schauen nochmal genauer hin. reCaptcha wurde von Datenschutzexperten untersucht. Laut dieser Untersuchung ist eine der Methoden zum Feststellen der Menschlichkeit, zu gucken, ob du bereits ein Google-Cookie in deinem Browser installiert hast. Es ist das gleiche Cookie, das es dir ermöglicht, neue Tabs in deinem Browser zu öffnen und sich nicht jedes Mal neu bei deinem Google-Konto anmelden zu müssen.

 

In reCaptcha V3-Simulationen (der invisible Variante) wurden bei verbundenem Google-Konto niedrigere Risikowerte ermittelt, als in Browsern ohne verbundenes Google-Konto. Wenn du ein Google-Konto hast, ist es also wahrscheinlicher, dass du ein Mensch bist. Außerdem läuft reCaptcha mit einem JavaScript-Element, welches Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer untersucht und an Google weiterleitet.

 

Damit das Google Tool noch besser und schneller menschliches Verhalten auf Websites erkennt, möchte Google, dass der reCaptcha V3-Code auf sämtlichen (Unter)Seiten der Website eingebettet wird, nicht nur auf Formularen oder Log-in-Seiten. Dadurch soll der zugrunde liegende maschinelle Lernalgorithmus helfen, genauere Risikobewertungen zu generieren.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

 

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Die DSGVO-konformen reCaptcha Alternativen

1.) hCaptcha

hCaptcha ist zwar in puncto Funktion und Technologie mit ReCaptcha von Google vergleichbar, dennoch gibt es ein paar wesentliche Unterschiede.

Pro

  • Ähnliches Feature- & Funktionsspektrum wie ReCaptcha
  • Detaillierte Anpassung möglich (auch hinsichtlich der Schwierigkeit des Captchas)
  • Personenbezogene Daten werden unter Umständen von den übrigen durch das Captcha erhobenen Daten abgekoppelt und gelöscht
  • Machine Learning wird – im Gegensatz zu ReCaptcha – nur bei den übrigen (de-identified) bzw. nicht personenbezogenen Daten angewendet
  • Gemäß des Prinzips der Datensparsamkeit werden ausschließlich nur diejenigen Daten genutzt, die für die Funktion des Captchas tatsächlich notwendig sind

Contra

  • Das Unternehmen hinter hCaptcha (Intuition Machines) hat seinen Sitz in den USA. Wegen des Wegfalls des Privacy Shields, sind Datenübertragungen in die USA grundsätzlich unzulässig und können ggfs. nur im Rahmen spezifischer Ausnahmeregelungen für Einzelfall-Anwendungen legitimiert werden. Eine mögliche Ausnahme stellt die User-Einwilligung durch eine CMP dar
  • Eine Kontrolle der datenschutzkonformen Vorteile auf technischer Ebene ist nicht möglich, weshalb an dieser Stelle allein auf die Angaben des Unternehmens vertraut werden

2.) Friendly Captcha

Friendly Captcha legt den Fokus auf Datenschutz und Usability. Es wird für jeden Nutzer ein einzigartiges „Krypto-Puzzle“ erstellt, welches vom Browser im Hintergrund (ohne, dass der Anwender davon etwas mitbekommt) bearbeitet wird, während der User das Formular ausfüllt.

Pro

  • Der Kern von Friendly Captcha ist Open Source und damit auch auf technischer Ebene transparent einsehbar zudem ermöglicht Open Source die Programmierung einer eigenen Version.
  • Es werden keine Cookies gesetzt und es findet kein Tracking statt.
  • Das Unternehmen hinter der kommerziellen Version stammt aus Deutschland.
  • Die Technologie basiert auf dem dezentralen „Proof of Work“-System
  • Durch das Vermeiden komplexer Captchas, wird durch Friendly Captcha ebenfalls Barrierefreiheit gewährleistet.
  • Lediglich informationspflichtig (DSE)

Contra

  • Eine Kontrolle der datenschutzkonformen Vorteile auf technischer Ebene ist nicht möglich, weshalb an dieser Stelle allein auf die Angaben des Unternehmens vertraut werden

3.) Honeypot

Honeypot ist eine Technologie, bei der ein weiteres, für den Nutzer aber unsichtbares Feld zu dem Formular hinzugefügt wird. Bots werden dieses Feld ausnahmslos ausfüllen, während User, da sie das Feld nicht sehen, dieses leer lassen. Im Hintergrund greift anschließend die Logik, dass sämtliche Formulare, bei denen dieses Feld ausgefüllt ist, als Spam gekennzeichnet werden.

Pro

  • Ähnliches Feature- & Funktionsspektrum wie ReCaptcha
  • Detaillierte Anpassung möglich (auch hinsichtlich der Schwierigkeit des Captchas)
  • Personenbezogene Daten werden unter Umständen von den übrigen durch das Captcha erhobenen Daten abgekoppelt und gelöscht
  • Machine Learning wird – im Gegensatz zu ReCaptcha – nur bei den übrigen (de-identified) bzw. nicht personenbezogenen Daten angewendet
  • Gemäß des Prinzips der Datensparsamkeit werden ausschließlich nur diejenigen Daten genutzt, die für die Funktion des Captchas tatsächlich notwendig sind

Contra

  • Browser, die ohne Useraufforderung Felder ausfüllen (Bspw. Safari), können zu Problemen führen, wenn dadurch das unsichtbare Feld mitausgefüllt wird. Deshalb sollte das unsichtbare Feld keine personenbezogenen Daten erheben und beispielsweise mit „Notiz“ beschriftet werden.
  • Fortgeschrittene Bots können diese Technologie ggfs. umgehen.

4.) Powermail

Powermail in Kombination mit Typo3-Erweiterungen (z.B. Spam Shield) liefert eine captchalose Alternative zu Spamfiltern. Das Prinzip ist dabei, dass das Ausfüllen von Kontaktformularen mit einigen (im Hintergrund laufenden) Hürden verbunden ist, die in Kombination Spam filtern sollen.
Eine dieser Hürden besteht in der oben erwähnten Honeypot Methode.

Pro

  • Viele individuelle Einstellungsmöglichkeiten
  • Datenschutzfreundlich konfigurierbar
  • Nutzerfreundlich

Contra

  • Einige der Spamschutz-Erweiterungen werden nicht mehr unterstützt und sind dementsprechend veraltet
  • Je höher der erzielte Spamschutz sein soll, desto mehr personenbezogene Daten werden notwendigerweise durch das System erfasst.

Cookiebox-Empfehlung:

Auch wenn jede der oben genannten Methoden bzw. Technologien als reCaptcha-Alternative infrage kommt, empfehlen wir Friendly Captcha. 

 

Als datenschutzrechtlich beste Alternative mit hoher Nutzerfreundlichkeit funktioniert dieses System zudem mit hoher Wahrscheinlichkeit komplett CMS-unabhängig.

Fazit

Was bedeutet das nun final für Websitebetreiber?

Google ist und bleibt ein Wirtschaftsunternehmen, dass seine Dienste zwar teilweise kostenlos, aber nicht „umsonst“ anbietet (Währung = Nutzerdaten).

Wer das Tool nutzt, sollte sich über die Risiken im Klaren sein und diese auch möglichst gering halten. Im ersten Schritt könnte zur Risikoreduzierung Transparenz geschaffen werden. Außerdem sollten Nutzer, der Nutzung des Tools und somit der Nutzung ihrer Daten explizit über ein Cookie Banner zustimmen. 100% rechtssicher wird die Nutzung dadurch jedoch nicht, weshalb wir empfehlen, sich für eine der datenschutzfreundlichen Alternativen zu entscheiden.

recaptcha logo

Du hast Fragen?

Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen:

fragen icon

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

jörg ter beek portrait

Jörg ter Beek

Managing Director, Head of Sales & Partnerships