ReCaptcha ist ein Captcha-Dienst und agiert im Hintergrund von Websites um festzustellen, ob es sich bei Besuchern um Menschen oder Computerprogramme handelt. Die aktuelle Herangehensweise ist datenschutzrechtlich bedenklich. Wir erklären Ihnen in diesem Artikel, was Captchas grundsätzlich sind, weswegen wir als Datenschützer bei reCaptcha aufhorchen und welche DSGVO-konformen Captcha Alternativen es für Sie und Ihr Unternehmen gibt.
Was versteht man unter Captcha und wie wird es verwendet?
Mit dem Einsatz von Captchas soll verhindert werden, dass es Maschinen, Computerprogrammen oder Schadsoftware (=Bots) gelingt, auf Websites an Registrierungen oder Kommentarfunktionen teilzunehmen. Captchas sind Ihnen in der Vergangenheit vielleicht als verzerrte Buchstaben – und Zahlenfolgen oder Mosaikbilder begegnet. Auch wenn solche Rätsel bisher nur Menschen lösen konnten, sind dank künstlicher Intelligenz derweil auch Bots dazu in der Lage. Daher mussten auch Captchas verbessert werden.
Google hat sein eigenes reCaptcha Tool inzwischen so weit fortentwickelt, dass es entweder komplett unsichtbar im Hintergrund läuft oder Sie als Nutzer:in lediglich ein Häkchen setzen müssen, um zu bestätigen, dass Sie kein Roboter sind. Diese unsichtbare reCaptcha V3 Simulation von Google ist mittlerweile weltweit auf Websites verbreitet und überprüft die Menschlichkeit seiner Nutzer nicht mehr mit Tests, sondern anhand einer verhaltensbasierten Analyse. Ein Hinweis darauf, dass das eigene Surfverhalten beobachtet und ausgewertet wird, fehlt meist. Manchmal befindet sich lediglich ein kleines Captcha-Logo am Bildschirmrand. Aus Datenschutzsicht ist das problematisch.
Sind Captchas mit der DSGVO vereinbar?
Captchas berechnen die Wahrscheinlichkeit dafür, dass es sich bei dem Nutzer einer Website um einen Menschen handelt. Hierfür wird das Verhalten der Nutzer analysiert und zu einem Captcha-Score addiert. Konkret fließt hier Verhalten ein wie:
bereits installierte Google-Cookies,
bisherige Browser Interaktionen,
Anzahl Mausbewegungen und Tastaturanschläge,
Verweildauer auf Websites.
Um dieses Verhalten auch bewerten zu können, werden zudem folgende personenbezogene Daten zur Auswertung an Google weitergeleitet:
IP-Adresse des Websitebesuchers,
Datum,
ein kompletter Screenshot des Browserfensters,
Referrer URL (die Adresse der Seite von der Besucher kommt),
Browser-Plugins,
Informationen über das Betriebssystem (Windows, Linux, iOS),
Cookies, wie andere Google-Cookies der letzten 6 Monate, wie auch NID Cookies, welche dazu geeignet sind, Nutzerprofile zu erstellen,
und Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.).
Alle personenbezogenen Daten, unter anderem auch diese, stehen unter dem Schutz der DSGVO. Für eine derartige Datenerhebung muss demnach eine Rechtsgrundlage vorliegen. Da keine explizite Einwilligung der Nutzer:innen zur Verarbeitung der Daten eingeholt wird, müsste wenigstens ein berechtigtes Interesse seitens des Websitebetreibers nach Art. 6 Abs. 1 lit. f DSGVO bestehen. Für ein berechtigtes Interesse am Einsatz von ReCaptchas spricht, dass das Tool die Website vor Bot-Angriffen und vollen Spam Ordnern schützt. Gegen ein berechtigtes Interesse spricht, dass es datenschutzfreundlichere Alternativen gibt. Da man nicht genau sagen kann, was Google mit den gesammelten Daten macht, lassen sich die Risiken für die Interessen, Grundrechte und Grundfreiheiten der Betroffenen nicht abschätzen.
Das Interesse der Betroffenen steht damit über dem Interesse des Unternehmens, sodass Google nicht über ein notwendiges berechtigtes Interesse verfügt, die personenbezogenen Daten zu verarbeiten. Außer einer Einwilligung oder dem berechtigten Interesse kommt in der Regel keine Rechtsgrundlage zur Datenverarbeitung in Betracht. Dementsprechend fehlt es Google an einer Rechtsgrundlage, sodass die Datenverarbeitung von reCaptcha datenschutzrechtlich nicht zulässig ist.
Sie brauchen Unterstützung?
Das Thema Datenschutz ist so komplex und vielschichtig, dass viele Unternehmen auf externe Unterstützung setzen. Auch das Nutzen von Programmen wie reCaptcha birgt viele Risiken. Die Vorteile: Sie können das Thema komplett an Experten abgeben und haben so Zeit und Kapazitäten für wichtigere Themen.
Google reCaptcha & Datenschutz: Gibt es bessere Alternativen?
Google reCaptcha analysiert das Nutzerverhalten der Website Besucher:innen und verarbeitet dabei eine Vielzahl an Daten, ohne hierfür eine Rechtsgrundlage zu besitzen. Das verstößt gegen die DSGVO.
Aber wie können Sie als Betreiber alternativ feststellen, ob sich ein Mensch oder ein Bot auf Ihrer Website aufhält? Es gibt Anwendungen, die sich dieser Angelegenheit annehmen.
„HCaptcha“ funktioniert ähnliche wie reCaptcha von Google, unterscheidet sich aber in puncto Datenschutz. Gemäß dem in der DSGVO manifestierten Prinzip der Datensparsamkeit werden nur jene Daten erhoben, welche für die Funktion der Captchas zur Erkennung von Bots laut Aussagen des Unternehmens wirklich notwendig sind. Zudem werden personenbezogene Daten von den Captcha Daten getrennt und gelöscht. Nachteil an HCaptcha: Das zugehörige Unternehmen sitzt in den USA, wohin eine Datenübertragung seit Wegfall des Privacy Shields nur unter strengen Voraussetzungen möglich ist.
Bei „Friendly Captcha“ wird für jeden Nutzer ein individuelles „Krypto-Puzzle“ erstellt, welches der Browser im Hintergrund löst, während der Benutzer ein Formular ausfüllt. Tracking oder Cookies werden hier nicht verwendet. Zudem ist der Open Source Code für jeden einseh - und anpassbar.
Der Nachteil: Friendly Captcha ist mit Kosten und Programmieraufwand verbunden.
Die Anwendung „Honeypot“ erstellt ein unsichtbares Fenster extra für Bots, welches menschliche Nutzer nicht sehen können. Die Bots beginnen direkt damit, dieses auszufüllen und fallen damit durch die Menschlichkeitsprüfung. Die Honeypot-Variante ist leicht anwendbar und auch in Verbindung mit weiteren Captcha-Verfahren möglich. Das Gegenargument: Es gibt mittlerweile fortentwickelte Bots, welche in der Lage sind, die Honeypot-Technologie zu umgehen.
Sie als Websitebetreiber:in sind verantwortlich für die Rechtmäßigkeit der von Ihnen gewählten Captcha Variante. Bei der Verwendung von reCaptcha gilt große Vorsicht, da eine Vielzahl an personenbezogenen Daten ohne eine Rechtsgrundlage nach DSGVO erhoben werden. Wollen Sie das Tool dennoch nutzen, sollten Sie folgende Punkte beachten:
Schaffen Sie Transparenz: Unterrichten Sie Ihre Nutzer über die Verwendung des Tools auf Ihrer Website.
Holen Sie sich die Zustimmung der Seitenbesucher zur Nutzung des Tools mithilfe eines Cookie-Banners.
Verfahren Sie nach dem Prinzip der Datenminimierung und erheben nur das Notwendigste.
Gehen Sie auf Nummer Sicher: Verwenden Sie eine Alternative.
Wir empfehlen Ihnen die Verwendung der alternativen Anwendungen, sodass Ihre Website sowohl im Einklang mit der DSGVO als auch frei von Bot-Angriffen bleibt. Wir unterstützen Sie gerne eine passende Alternative zu finden, damit ihr Online-Auftritt rechtssicher ist.
Autorin: Team datenschutzexperte.de
Artikel veröffentlicht: 19.08.2021