CAPTCHA

[Name Captcha]

header-monitoring
service_google

[Name Captcha]

Ein Captcha-Dienst versucht zu unterscheiden, ob eine bestimmte Interaktion im Internet von einer menschlichen Person oder von einem Computerprogramm bzw. Bot vorgenommen wird.

Sitz: [Stadt, Region, Land]
Kategorie:
Captcha
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist [Name Captcha]?

    Wer ein Kontaktformular auf einer Website ausfüllt, muss häufig durch die Nutzung eines sogenannten Captcha beweisen, dass sie / er Mensch ist - und kein Roboter (Bot = evtl. Schadprogramm). Diese Tests sind in verschiedener Form auf Websites wiederzufinden: Zum Beispiel in einer für Roboter schwer lesbaren Buchstaben- und Zahlen-Abfolge oder in Form eines Mosaik-Bildes (z.B. Zebrastreifen, Fahrräder oder Ampeln). Das kommt dir sicherlich bekannt vor bzw. ist dir zigfach im Internet begegnet. Die Abkürzung CAPTCHA steht für completely automated public Turing test to tell computers and humans apart.

    Warum wird [Name Captcha] verwendet?

    Solche Captchas sind keine Beschäftigungstherapie oder Intelligenztests. Nein, sie haben die einfache und sinnvolle Funktion: Websitebetreiber vor einer Spam-Flut durch Bots zu schützen. Es soll verhindern, dass Registrierungen, Umfragen, Kommentarfunktion usw. auf Websites z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc. missbraucht werden. Diese Tests sollen (so nimmt man an) nur von Menschen gelöst werden können.

     

    Welche Daten werden verarbeitet?

    [Die Technologie wie Captchas funktionieren kann von Anbieter zu Anbieter sehr unterschiedlich sein. Daher kann es auch sehr unterschiedlich sein, welche Daten von dem Anbieter gesammelt werden. So liest z.B. Google die Informationen aus den Google Cookies aus um festzustellen ob es sich um einen Bot handelt und andere Captchas funktionieren ohne Cookies. Google prüft ob der Nutzer ein Google Konto hat, verarbeitet also personenbezogene Daten, andere anonymisieren die IP-Adresse und speichern keine personenbezogene Daten. Schau dir den Dienst am besten einmal an, um eine Aussage treffen zu können.]

    • [IP-Adresse
    • Geräte- und Browserinformationen
    • Betriebssystem
    • Inhalt der Anfrage
    • Datum und Uhrzeit der Anfrage]*Z.b.*

    [Da es sich schon alleine bei der IP-Adresse um ein personenbezogenes Datum handelt, ist gem. Art. 6 Abs. 1 lit. a DSGVO eine Einwilligung der Nutzer einzuholen.]

    ***Platzhalter CTA***

     

     

     

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist [Name Captcha] Einwilligungspflichtig?

    • Die IP-Adresse der Nutzer ist ein personenbezogenes Datum. Zwar werben einige Anbieter damit, dass sie die IP-Adresse nicht verarbeiten, allerdings kann davon ausgegangen werden, dass die IP-Adresse zumindest geloggt wird. Dies reicht schon aus um als Verarbeitung gewertet zu werden.
    • Wenn Cookies gesetzt werden, so ist dies definitiv mit einer Einwilligung gem. Art. 25 Abs. 1 TTDSG verbunden. Selbst Cookieless Tracking könnte eine Einwilligung erforderlich machen. Siehe dazu die Infobox zu Cookies oben.
    • *Weiterhin besteht das Problem, dass [Name Captcha] ein US-Amerikanisches Unternehmen ist und die USA seit der Beendigung des Privacy Shields als unsicherer Drittstaat gelten. Dadurch gibt es aktuell keine Rechtsgrundlage für die Übermittlung der Daten in die USA.**Bei USA Anbieter*
    • *Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Cloudflare eingeholt werden, da Daten durch den Dienst gespeichert werden.**Bei USA Anbieter*
    • In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Server durch [Name Captcha] aufgebaut wird, um den Austausch von Daten zu verhindern.

    Damit liegen Verstöße gegen die oben genannten Punkte [2, 3 und 7] vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    Da es viele Anbieter von Captchas gibt, die ihren Zweck erfüllen, sollte möglichst der gewählt werden, der aus Datenschutzsicht am unbedenklichsten ist. [Name Captcha] gehört zu den [besseren / eher bedenklichen] Anbietern.

    Fazit zur datenschutzkonformen Nutzung von [Name Captcha]

    Der Einsatz von Captchas ist sinnvoll und nachvollziehbar. Es bleibt eigentlich nur die Frage, für welchen Dienst du dich entscheiden solltest. Aus unserer Sicht ist das ganz klar derjenige, der einen guten Datenschutz liefert. Bei [Name Captcha] ist dies [leider nicht] der Fall. *Da es sich bei [Name Captcha] um ein US-Unternehmen handelt, sollte man den Nachteil der fehlenden Rechtsgrundlage dadurch umgehen, dass man einen deutschen oder europäischen Anbieter wählt.* Generell sollte jedoch die Einwilligung kein großes Problem darstellen.

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an