Google reCAPTCHA DSGVO

10. November 2023

Datenschutz Verstehen – reCAPTCHA datenschutzkonform einsetzen

Einleitung

Während Cybersicherheit zunehmend an Bedeutung gewinnt, ist Google reCAPTCHA zu einem unverzichtbaren Werkzeug für Unternehmen geworden, um ihre Webseiten vor automatisierten Angriffen zu schützen. Dieses intelligente Sicherheitssystem, welches darauf ausgelegt ist, echte Nutzer von Bots zu unterscheiden, spielt eine entscheidende Rolle bei der Aufrechterhaltung der Integrität und Benutzerfreundlichkeit von Online-Diensten. Jedoch bringt der Einsatz von reCAPTCHA eine nuancierte Debatte über Datenschutz mit sich. Die Verarbeitung von Nutzerdaten, die für die Unterscheidung zwischen Mensch und Maschine notwendig ist, wirft wichtige Fragen bezüglich der Privatsphäre auf. Wie können Unternehmen also reCAPTCHA nutzen, um ihre Sicherheitsanforderungen zu erfüllen, aber ohne gleichzeitig die Datenschutzrechte ihrer Nutzer zu kompromittieren? Diese Frage klären wir in diesem Beitrag.

Datenschutz Preis berechnen

Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Preise berechnen

Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein Service von Google, der entwickelt wurde, um Websites vor Schadsoftware und missbräuchlichen Aktivitäten zu schützen. CAPTCHA steht als Abkürzung für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Die Idee hinter reCAPTCHA ist, menschlichen Benutzern den Zugang zu einer Website zu ermöglichen, während sie gleichzeitig den unerwünschten Bot-Verkehr blockiert.

Mit zunehmender Digitalisierung sind Spam und Bots zu einer lästigen Plage geworden. Sie überfluten unsere E-Mail-Postfächer, kommentieren unter Instagram-Beiträgen und beeinflussen sogar Online-Umfragen. Dies hat Auswirkungen auf die Benutzererfahrung und auf die Integrität und Sicherheit von Webseiten. Hier kommt nun Google reCAPTCHA ins Spiel.

Jeder wurde schon einmal aufgefordert, verzerrte Wörter oder Zahlen in ein Textfeld einzugeben oder alle Bilder anzuklicken, auf denen ein Fußgängerüberweg zu sehen ist. Diese Aufforderung kommt meistens von Google reCAPTCHA.

Wie funktioniert das Google reCAPTCHA?

Google reCAPTCHA ist ein weit verbreiteter Dienst, der Website-Betreiber dabei unterstützt, den automatisierten Missbrauch ihrer Seiten zu verhindern. Es ist ein Werkzeug, das zwischen menschlichen Nutzern und automatisierten Bots unterscheiden kann, indem es verschiedene Arten von „Tests“ verwendet, die für Bots schwierig, für Menschen jedoch leicht zu lösen sind. Google reCAPTCHA bietet dafür verschiedene Versionen:

reCAPTCHA v2 (I’m not a robot)

Beim klassischen reCAPTCHA v2 werden den Benutzern verzerrte Buchstaben oder Zahlen angezeigt, die sie in ein Textfeld eingeben müssen. Das Captcha analysiert mithilfe von maschinellem Lernen das Verhalten der Benutzer und prüft, ob dieser Mausbewegungen ausführt, wie er auf die Webseite klickt und wie schnell er das Captcha ausfüllt. Die Entscheidung, ob es sich um einen menschlichen Benutzer oder einen Bot handelt, basiert auf diesen Verhaltensanalysen. Problematisch ist an dieser Version des reCAPTACHAs jedoch die mangelnde Barrierefreiheit. Für sehbehinderte Menschen sind die Tests beispielsweise nicht lösbar.

reCAPTCHA v3 (Invisible reCAPTCHA)

Inzwischen sind dank KI auch Bots in der Lage, die CAPTCHAS zu lösen. Zudem waren Nutzerinnen und Nutzer von den Tests häufig genervt. reCAPTCHA v3 wurde daher verbessert und arbeitet für Benutzer unsichtbar im Hintergrund. Nutzer müssen keine Aktionen mehr durchführen. Der Dienst erfasst und analysiert das Nutzerverhalten auf der Website, ohne dass ein Captcha ausgefüllt werden muss. reCAPTCHA vergibt schließlich eine Punktzahl, die angibt, wie wahrscheinlich es ist, dass es sich um einen Bot handelt. Website-Betreiber können anhand dieser Punktzahl, dem sogenannten Captcha-Score, entscheiden, welche Aktionen (z.B. Formularübermittlungen) sie zulassen oder blockieren möchten.

In beiden Versionen von reCAPTCHA wird das Verhalten der Benutzer auf der Website analysiert, um Bots von echten menschlichen Benutzern zu unterscheiden. Dabei werden verschiedene Faktoren berücksichtigt, wie Mausbewegungen, Klickmuster und die Zeit, die benötigt wird, um Aktionen auszuführen. Das Ziel ist es, die Benutzerfreundlichkeit aufrechtzuerhalten und gleichzeitig Spam und Bots abzuwehren.

Es ist wichtig zu beachten, dass Google reCAPTCHA Daten über das Verhalten der Website-Besucher erfasst, um diese Analyse durchzuführen. Datenschutzrichtlinien und Transparenz sind daher wichtige Aspekte bei der Implementierung von Google reCAPTCHA auf einer Website.

Google reCAPTCHA verarbeitet eine Vielzahl von Daten, darunter Angaben zur:

Website, die reCAPTCHA einbindet
IP-Adresse des Nutzers
Datum und Zeitzone
kompletter Screenshot des Browserfensters
Referrer URL (die Adresse der Webseite von der die Besucher kommen)
Browser-Plugins
Informationen über das Betriebssystem (Windows, Linux, iOS)
ggf. Cookies (andere Google-Cookies der letzten 6 Monate)
Mausbewegungen und Tastaturanschläge
Verweildauer
Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.)

Diese Liste an – von Google reCAPTCHA gesammelten – personenbezogenen Daten ist lang. Dies wirft datenschutzrechtliche Probleme und die Frage nach möglichen Alternativen auf.

Google reCAPTCHA Alternativen

Für Google reCAPTCHA gibt es verschiedene Alternativen, die Website-Betreiber verwenden können, um Spam und Bots zu bekämpfen und gleichzeitig die Benutzerfreundlichkeit zu wahren.

Eine davon ist honeyCAP. Das Sicherheitssystem basiert auf Honeypot-Techniken. Dafür verwendet es unsichtbare Felder in Formularen, die von menschlichen Nutzenden nicht ausgefüllt werden. Bots hingegen können dazu neigen, diese Felder auszufüllen und somit “in den Honigtopf eintreten”. Wenn ein Honeypot-Feld ausgefüllt ist, kann die Formularübermittlung blockiert werden.

Eine weitere Möglichkeit ist der deutsche Dienst Friendly Captcha. Friendly Captcha erzeugt statt Tests und Bildern interaktive Puzzles, die für Bots schwierig zu lösen sind.

BotDetect ermöglicht es Nutzern, individuelle CAPTCHAs für ihre Webseiten zu erstellen und anzupassen. Es bietet eine Reihe von Anpassungsoptionen wie die Auswahl der Schwierigkeitsstufe und der Sicherheitsoptionen und eine Vielzahl von unterstützenden Plattformen. Die Auswahl eines geeigneten CAPTCHAs hängt von den individuellen Anforderungen der Website und den Datenschutzvorgaben ab.

Ist reCAPTCHA DSGVO-konform?

Die Datenschutzkonformität von Google reCAPTCHA hängt von verschiedenen Faktoren ab, einschließlich der Art und Weise, wie es auf einer Website implementiert und genutzt wird.

Der Dienst analysiert und trackt die Nutzer und deren Verhalten auf der Website. Dabei werden viele personenbezogene Daten gesammelt.

Die bayerische Datenschutzbehörde warnt auf ihrer Website vor Google reCAPTCHA und empfiehlt, Alternativen zu prüfen. Sie weist darauf hin, dass Webseitenbetreiber den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DSGVO nachweisen können müssen. Sonst wäre die Erfüllung der Informationspflicht nicht gewahrt.

reCAPTCHA mit Einwilligung

Die Verarbeitung von Daten durch Google reCAPTCHA muss gem. Art. 6 Abs. 1 DSGVO auf einer rechtlichen Grundlage basieren. reCAPTCHA übermittelt Daten an seinen Mutterkonzern Google in die USA. Daher ist es unbedingt erforderlich, die Einwilligung der Personen einzuholen, von denen personenbezogene Daten übermittelt werden. Der Website-Betreiber hat zwar auch ein berechtigtes Interesse an dem Schutz seiner Website vor Spam und Bots (ist dazu sogar rechtlich verpflichtet), wegen der unnötig vielen Daten, die von Google reCAPTCHA gesammelt werden und der datenschutzfreundlicheren Alternativen, ist jedoch immer eine Einwilligung erforderlich.

Die Einwilligung ist zum Beispiel über ein Consent-Banner oder Content-Blocker möglich. Darauf müssen die Nutzer dem Cookie aktiv zustimmen. Dabei ist es wichtig, dass die Website technisch so aufgestellt ist, dass vor der Zustimmung noch keine Cookies gesetzt werden. Verweigert die Benutzerin und der Nutzer die Einwilligung, muss der Webseitenbetreiber für Alternativen sorgen.

reCAPTCHA Datenschutzerklärung

Der Dienst muss der Datenschutzerklärung hinzugefügt werden. Dabei muss darüber informiert werden, dass Google Cookies setzt, warum über Google reCAPTCHA personenbezogene Daten erhoben werden, wie lange die Daten gespeichert werden, warum die Daten an Google weitergegeben werden, auf welcher Rechtsgrundlage dies fußt, und dass Nutzer der Datenerhebung jederzeit widersprechen können.

Der kostenlose Dienst setzt extrem viele Cookies, welche technisch nicht notwendig sind, sondern nur dafür da sind, Nutzerdaten zu sammeln. Das Tool erhält zudem automatisch Zugang zu Cookies, die für angemeldete Google Nutzer gesetzt werden und enthält den Cookie NID, der geräteübergreifend Nutzer wiedererkennen kann. Die gesammelten Daten werden unter anderem für Marketingzwecke und für die Erstellung von Nutzerprofilen genutzt.

Die Implementierung von Google reCAPTCHA ist daher datenschutzrechtlich problematisch und es sollte einiges beachtet werden. Insbesondere, weil den Nutzerinnen und Nutzern häufig gar nicht bewusst ist, dass ihre Daten gesammelt werden und ihr Verhalten analysiert wird.

Ein großes datenschutzrechtliches Problem ist für den Webseitenbetreiber seinen Informationspflichten aus Art. 13 DSGVO gegenüber den Nutzerinnen und Nutzern nachzukommen. Da unklar ist, welche Daten Google sammelt, ist dieser Pflicht kaum in ausreichendem Maße nachzukommen.

reCAPTCHA Datenübermittlung in die USA

Wichtig ist für Webseitenbetreiber auch zu beachten, dass durch den Einsatz von reCAPTCHA eine Verbindung zu den Servern von Google hergestellt wird. Zwar ist der Anbieter des Dienstes die irische Google Tochter „Google Ireland Limited“, allerdings werden die Daten jedoch, nach Angaben von Google in gekürzter Form, in die USA übermittelt. Betreiberinnen und Betreiber müssen daher die Anforderungen für Drittlandsübermittlungen einhalten, vornehmlich müssen geeignete Garantien in Form von Standarddatenschutzklauseln abgeschlossen werden, um den Nutzerinnen und Nutzern der Webseite ein angemessenes Datenschutzniveau zu bieten.

Im Juli 2023 wurde zwischen der Europäischen Union und den USA das Data Privacy Framework (DPF) abgeschlossen. Das Abkommen legt die Grundlage für einen Angemessenheitsbeschluss der EU, dass die Vereinigten Staaten ein angemessenes Datenschutzniveau gewährleistet. Es führt neue verbindliche Garantien ein, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Nun können personenbezogene Daten aus der EU an US-Unternehmen, die an dem Rahmen teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen. Auch Google hat dem DPF zugestimmt. Allerdings wird das transatlantische Datenschutzabkommen bereits jetzt kritisiert.

Ist Google Fonts durch reCAPTCHA aktiv?

Zudem nutzt reCAPTCHA Google Fonts. Google Fonts ist ein Service, welcher für das Laden von Schriftarten und Typographie-Elementen auf Websites zuständig ist. Durch das reCAPTCHA werden die Schriftarten aktiviert und die IP-Adresse der Nutzerin oder des Nutzers werden übertragen.

In der Datenschutzerklärung sollte daher auch Google Fonts eingebunden werden.

Wegen unrechtmäßiger Einbindung von Google Fonts auf Webseiten gab es bereits mehrere Abmahnwellen gegen den Dienst. Dies ging von einem Urteil des Landgerichts München aus (Urteil v. 20.1.2022, 3 O 17493/20), das feststellte, dass für die Einbindung von Google Fonts eine Einwilligung erforderlich ist. In diesem Urteil stellte das Landgericht eine Verletzung des allgemeinen Persönlichkeitsrechts in Form der informationellen Selbstbestimmung nach § 823 Abs. 1 BGB fest.

Fazit

Der Einsatz von Google reCAPTCHA ist, wie der Einsatz von den meisten Google-Diensten, datenschutzrechtlich problematisch. Die “kostenlose” Sicherheitslösung sammelt viele Daten. Eine transparente Beschreibung des Dienstes und die Einholung der Einwilligung sind zwar ein Schritt in Richtung Datenschutzkonformität, um sicher zu sein, sollte jedoch ein anderer Anbieter gewählt werden.

Dennis Dase

Herr Dennis Dase hat sein Studium des Wirtschaftsrechts an der Hochschule Osnabrück abgeschlossen und ist seitdem als Consultant für das Rechtsgebiet Datenschutz tätig. Zusätzlich besitzt Herr Dase eine Zertifizierung als Datenschutzbeauftragter und Datenschutzauditor (TÜV) und zeichnet sich durch seine hohe IT-Affinität und juristische Expertise im Datenschutzrecht aus. Herr Dase unterstützt als externer Datenschutzbeauftragter und Datenschutzauditor internationale Konzerne, kleine und mittlere Unternehmen (KMU) und Start-ups bei der praxisnahen Umsetzung datenschutzrechtlicher Anforderungen unter Berücksichtigung der wirtschaftlichen Interessen der Unternehmen.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz