Captcha

Google reCaptcha und DSGVO – ein Widerspruch?

header-monitoring
service_google-recaptcha
reCaptcha 
Seit 2009 wird der Service von der Google LLC betrieben. Der Captcha-Dienst versucht zu unterscheiden, ob eine bestimmte Interaktion im Internet von einer menschlichen Person oder von einem Computerprogramm bzw. Bot vorgenommen wird.
Sitz: Mountain View, Kalifornien, Vereinigte Staaten
Kategorie: Captcha
Einordnung: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

    Was ist reCaptcha?

    Wer ein Kontaktformular auf einer Website ausfĂŒllt, muss hĂ€ufig durch die Nutzung eines sogenannten Captcha beweisen, dass sie / er Mensch ist - und kein Roboter (Bot = evtl. Schadprogramm). Diese Tests sind in verschiedener Form auf Websites wiederzufinden: Zum Beispiel in einer fĂŒr Roboter schwer lesbaren Buchstaben- und Zahlenabfolge oder in Form eines Mosaik-Bildes (z.B. Zebrastreifen, FahrrĂ€der oder Ampeln).

    Das kommt dir sicherlich bekannt vor, bzw. ist dir zigfach im Internet begegnet. Solche Captchas sind keine BeschĂ€ftigungstherapie oder Intelligenztests. Nein, sie haben die einfache und sinnvolle Funktion, Websitebetreiber vor einer Spam-Flut durch Bots zu schĂŒtzen. Es soll verhindern, dass Registrierungen, Umfragen, Kommentarfunktion usw. auf Websites z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc. missbraucht werden. Die AbkĂŒrzung CAPTCHA steht fĂŒr completely automated public Turing test to tell computers and humans apart. Diese Tests sollen (so nimmt man an) nur von Menschen gelöst werden können.

    Na, auf der Suche nach einem ganz bestimmten Service?

    Ziel erreicht! 🏁

    In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services - ĂŒbersichtlich und digital!

    Expertenwissen und Profi-Tipps gibt's on top 😉

     

    Dataprocessing-Services (DPS)

    Wie funktioniert die unsichtbare Analyse von reCaptcha ĂŒberhaupt?

    Bei Google werden DatenschĂŒtzer neugierig und schauen nochmal genauer hin. reCaptcha wurde von Datenschutzexperten untersucht. Laut dieser Untersuchung ist eine der Methoden zum Feststellen der Menschlichkeit, zu gucken, ob du bereits ein Google-Cookie in deinem Browser installiert hast. Es ist das gleiche Cookie, das es dir ermöglicht, neue Tabs in deinem Browser zu öffnen und sich nicht jedes Mal neu bei deinem Google-Konto anmelden zu mĂŒssen.

    In reCaptcha V3-Simulationen (der invisible Variante) wurden bei verbundenem Google-Konto niedrigere Risikowerte ermittelt, als in Browsern ohne verbundenes Google-Konto. Wenn du ein Google-Konto hast, ist es also wahrscheinlicher, dass du ein Mensch bist. Außerdem lĂ€uft reCaptcha mit einem JavaScript-Element, welches Mausbewegungen und TastaturanschlĂ€ge, Infos ĂŒber das Betriebssystem und Verweildauer untersucht und an Google weiterleitet.

    Damit das Google Tool noch besser und schneller menschliches Verhalten auf Websites erkennt, möchte Google, dass der reCaptcha V3-Code auf sÀmtlichen (Unter)Seiten der Website eingebettet wird, nicht nur auf Formularen oder Log-in-Seiten. Dadurch soll der zugrunde liegende maschinelle Lernalgorithmus helfen, genauere Risikobewertungen zu generieren.

    Rechtliche Grundlage fĂŒr die Verarbeitung

    Die Grundlage fĂŒr die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das EndgerÀt, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmĂ€ĂŸig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfĂŒllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zĂ€hlen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder GerĂ€t herauszufinden, zu verknĂŒpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewĂ€hrleisten, mĂŒssten folgende Bedingungen erfĂŒllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder Àhnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht fĂŒr eigene Zwecke
    5. Der Auftragsverarbeiter verknĂŒpft die Daten nicht ĂŒber verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausfĂŒhrliche Informationen ĂŒber die Erhebung personenbezogener Daten in der DatenschutzerklĂ€rung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber

    Warum ist reCAPTCHA Einwilligungspflichtig?

    • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet wĂŒrden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO fĂŒr die Nutzung von Cloudflare eingeholt werden, da Daten durch den Dienst gespeichert werden.
    • Der Dienst von Cloudflare darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen wĂŒrde.
    • Das ErfĂŒllen der Informationspflicht gemĂ€ĂŸ Art. 13 DSGVO in der DatenschutzerklĂ€rung stellt eine weitere HĂŒrde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.
    • Damit liegen VerstĂ¶ĂŸe gegen die oben genannten Punkte 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begrĂŒndet werden.
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten ĂŒbermittelt werden, musst du immer dafĂŒr sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusĂ€tzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berĂŒcksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    1.) hCaptcha

    hCaptcha ist zwar in puncto Funktion und Technologie mit ReCaptcha von Google vergleichbar, dennoch gibt es ein paar wesentliche Unterschiede.

    Pro

    • Ähnliches Feature- & Funktionsspektrum wie ReCaptcha
    • Detaillierte Anpassung möglich (auch hinsichtlich der Schwierigkeit des Captchas)
    • Personenbezogene Daten werden unter UmstĂ€nden von den ĂŒbrigen durch das Captcha erhobenen Daten abgekoppelt und gelöscht
    • Machine Learning wird – im Gegensatz zu ReCaptcha – nur bei den ĂŒbrigen (de-identified) bzw. nicht personenbezogenen Daten angewendet
    • GemĂ€ĂŸ des Prinzips der Datensparsamkeit werden ausschließlich nur diejenigen Daten genutzt, die fĂŒr die Funktion des Captchas tatsĂ€chlich notwendig sind

    Contra

    • Das Unternehmen hinter hCaptcha (Intuition Machines) hat seinen Sitz in den USA. Wegen des Wegfalls des Privacy Shields, sind DatenĂŒbertragungen in die USA grundsĂ€tzlich unzulĂ€ssig und können ggfs. nur im Rahmen spezifischer Ausnahmeregelungen fĂŒr Einzelfall-Anwendungen legitimiert werden. Eine mögliche Ausnahme stellt die User-Einwilligung durch eine CMP dar
    • Eine Kontrolle der datenschutzkonformen Vorteile auf technischer Ebene ist nicht möglich, weshalb an dieser Stelle allein auf die Angaben des Unternehmens vertraut werden

    2.) Friendly Captcha

    Friendly Captcha legt den Fokus auf Datenschutz und Usability. Es wird fĂŒr jeden Nutzer ein einzigartiges „Krypto-Puzzle“ erstellt, welches vom Browser im Hintergrund (ohne, dass der Anwender davon etwas mitbekommt) bearbeitet wird, wĂ€hrend der User das Formular ausfĂŒllt.

    Pro

    • Der Kern von Friendly Captcha ist Open Source und damit auch auf technischer Ebene transparent einsehbar zudem ermöglicht Open Source die Programmierung einer eigenen Version.
    • Es werden keine Cookies gesetzt und es findet kein Tracking statt.
    • Das Unternehmen hinter der kommerziellen Version stammt aus Deutschland.
    • Die Technologie basiert auf dem dezentralen „Proof of Work“-System
    • Durch das Vermeiden komplexer Captchas, wird durch Friendly Captcha ebenfalls Barrierefreiheit gewĂ€hrleistet.
    • Lediglich informationspflichtig (DSE)

    Contra

    • Das Unternehmen hinter hCaptcha (Intuition Machines) hat seinen Sitz in den USA. Wegen des Wegfalls des Privacy Shields, sind DatenĂŒbertragungen in die USA grundsĂ€tzlich unzulĂ€ssig und können ggfs. nur im Rahmen spezifischer Ausnahmeregelungen fĂŒr Einzelfall-Anwendungen legitimiert werden. Eine mögliche Ausnahme stellt die User-Einwilligung durch eine CMP dar
    • Eine Kontrolle der datenschutzkonformen Vorteile auf technischer Ebene ist nicht möglich, weshalb an dieser Stelle allein auf die Angaben des Unternehmens vertraut werden

    3.) Honeypot

    Honeypot ist eine Technologie, bei der ein weiteres, fĂŒr den Nutzer aber unsichtbares Feld zu dem Formular hinzugefĂŒgt wird. Bots werden dieses Feld ausnahmslos ausfĂŒllen, wĂ€hrend User, da sie das Feld nicht sehen, dieses leer lassen. Im Hintergrund greift anschließend die Logik, dass sĂ€mtliche Formulare, bei denen dieses Feld ausgefĂŒllt ist, als Spam gekennzeichnet werden.

    Pro

    • Ähnliches Feature- & Funktionsspektrum wie ReCaptcha
    • Detaillierte Anpassung möglich (auch hinsichtlich der Schwierigkeit des Captchas)
    • Personenbezogene Daten werden unter UmstĂ€nden von den ĂŒbrigen durch das Captcha erhobenen Daten abgekoppelt und gelöscht
    • Machine Learning wird – im Gegensatz zu ReCaptcha – nur bei den ĂŒbrigen (de-identified) bzw. nicht personenbezogenen Daten angewendet
    • GemĂ€ĂŸ des Prinzips der Datensparsamkeit werden ausschließlich nur diejenigen Daten genutzt, die fĂŒr die Funktion des Captchas tatsĂ€chlich notwendig sind

    Contra

    • Browser, die ohne Useraufforderung Felder ausfĂŒllen (Bspw. Safari), können zu Problemen fĂŒhren, wenn dadurch das unsichtbare Feld mitausgefĂŒllt wird. Deshalb sollte das unsichtbare Feld keine personenbezogenen Daten erheben und beispielsweise mit „Notiz“ beschriftet werden.
    • Fortgeschrittene Bots können diese Technologie ggfs. umgehen.

    4.) Powermail

    Powermail in Kombination mit Typo3-Erweiterungen (z.B. Spam Shield) liefert eine captchalose Alternative zu Spamfiltern. Das Prinzip ist dabei, dass das AusfĂŒllen von Kontaktformularen mit einigen (im Hintergrund laufenden) HĂŒrden verbunden ist, die in Kombination Spam filtern sollen.
    Eine dieser HĂŒrden besteht in der oben erwĂ€hnten Honeypot Methode.

    Pro

    • Viele individuelle Einstellungsmöglichkeiten
    • Datenschutzfreundlich konfigurierbar
    • Nutzerfreundlich

    Contra

    • Einige der Spamschutz-Erweiterungen werden nicht mehr unterstĂŒtzt und sind dementsprechend veraltet
    • Je höher der erzielte Spamschutz sein soll, desto mehr personenbezogene Daten werden notwendigerweise durch das System erfasst.
    dsb

    Cookiebox-Empfehlung:

    Auch wenn jede der oben genannten Methoden bzw. Technologien als reCaptcha-Alternative infrage kommt, empfehlen wir Friendly Captcha. 

    Als datenschutzrechtlich beste Alternative mit hoher Nutzerfreundlichkeit funktioniert dieses System zudem mit hoher Wahrscheinlichkeit komplett CMS-unabhÀngig.

     

    Fazit

    Was bedeutet das nun final fĂŒr Websitebetreiber?

    Google ist und bleibt ein Wirtschaftsunternehmen, dass seine Dienste zwar teilweise kostenlos, aber nicht "umsonst" anbietet (WĂ€hrung = Nutzerdaten).

    Wer das Tool nutzt, sollte sich ĂŒber die Risiken im Klaren sein und diese auch möglichst gering halten. Im ersten Schritt könnte zur Risikoreduzierung Transparenz geschaffen werden. Außerdem sollten Nutzer, der Nutzung des Tools und somit der Nutzung ihrer Daten explizit ĂŒber ein Cookie Banner zustimmen. 100% rechtssicher wird die Nutzung dadurch jedoch nicht, weshalb wir empfehlen, sich fĂŒr eine der datenschutzfreundlichen Alternativen zu entscheiden.

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an