09.12.2024
Ist reCAPTCHA von Google DSGVO-konform? Alternativen und Risiken
Der Einsatz von Google reCAPTCHA birgt datenschutzrechtliche Herausforderungen – vor allem in der kostenfreien Variante ohne Auftragsverarbeitungsvertrag. Erfahren Sie, wie Sie Datenschutzrisiken minimieren, welche alternativen Lösungen es gibt und wie Sie eine DSGVO-konforme Captcha-Implementierung sicherstellen können.
Dr. Philipp Siedenburg
Director Datenschutz
Ist Google reCAPTCHA DSGVO-konform?
Die französische Datenschutzbehörde CNIL hat 2023 eine Strafe gegen ein Unternehmen verhängt, das Google reCAPTCHA ohne Nutzereinwilligung einsetzte. Auch deutsche Datenschutzbehörden sehen den Einsatz kritisch. So rät das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) von der Verwendung des Tools ab, während die Berliner Datenschutzbehörde eine Einwilligung der Nutzer:innen als erforderlich sieht.
Die Kernprobleme beträfen fehlende Rechtsgrundlagen, Auftragsverarbeitungsverträge sowie mangelnde Transparenz seitens Google. Ein datenschutzkonformer Einsatz des Tools ohne Einwilligung scheint vor diesem Hintergrund fraglich. Angesichts dieser Herausforderungen stellt sich gegebenenfalls auch die Frage nach datenschutzfreundlichen Alternativen.
Was ist Google reCAPTCHA?
Google reCAPTCHA ist eine weitverbreitete Lösung, um automatisierte Programme (Bots) von menschlichen Nutzerinnen und Nutzern zu unterscheiden und Webseiten vor automatisierten Angriffen zu schützen. Der Begriff „CAPTCHA“ steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“.
Tools wie Google reCAPTCHA verhindern, dass Bots Webseiten überlasten oder Accounts mit Brute-Force-Angriffen übernehmen. Google reCAPTCHA ist in verschiedenen Versionen verfügbar, darunter Bild- und Text-CAPTCHAs sowie die neueste Version, Invisible reCAPTCHA. Bei Invisible reCAPTCHA müssen Nutzer:innen keine sichtbaren Aufgaben mehr erfüllen.
Stattdessen wird das Verhalten des Besuchenden im Hintergrund analysiert und anhand von Nutzeraktivitäten und -Informationen bewertet. Dabei werden personenbezogene Daten verarbeitet wie z.B.
- Website, die reCAPTCHA einbindet,
- Referrer-URL (Website, von welcher der Besuchende kommt),
- IP-Adresse des Besuchenden,
- Einstellungen des Endgeräts (Sprache, Browser, Standort),
- Verweildauer,
- Mausbewegungen und Tastaturanschläge,
- Bildschirm- und Fensterauflösung,
- Zeitzone,
- Installation von Browser-Plugins.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Datenschutzrechtliche Probleme bei reCAPTCHA
Dieses „unsichtbare“ Verarbeitungssystem birgt Herausforderungen für den Datenschutz: Um zu bestimmen, ob es sich um einen Menschen oder Bot handelt, muss das Nutzerverhalten analysiert werden. Bewegungen, Verweildauer und Interaktionen werden erfasst, ohne dass Nutzer:innen dies bemerken.
Verarbeitung von personenbezogenen Daten:
Bei der Nutzung von Google reCAPTCHA werden personenbezogene Daten wie IP-Adresse, Browser- und Standortinformationen sowie Mausbewegungen erfasst und verarbeitet, sodass die DSGVO Anwendung findet.
Speicherung von Informationen auf dem Endgerät:
Im Rahmen der Nutzung werden Informationen im Local Storage und Session Storage sowie teilweise auch Cookies gespeichert, welche dazu beitragen, die Bots zu erkennen. Darüber hinaus werden für die Funktionalität auch die Cookies von Google ausgelesen. Deshalb findet § 25 TDDDG Anwendung.
Rechtsgrundlage:
Häufig wird der Einsatz von reCAPTCHA auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) und auf die Ausnahme in § 25 Abs. 2 Nr. 2 TDDDG gestützt. Damit diese Rechtsgrundlage greift, muss die Datenerhebung essentiell/unentbehrlich für den Betrieb einer Webseite sein. Grundsätzlich haben Websitebetreiber ein berechtigtes Interesse daran, sich vor Spambots zu schützen, allerdings könnten die Grundrechte und Interessen der Nutzer:innen, insbesondere wegen der umfangreichen Datenverarbeitung durch Google, überwiegen.
Zwar ist der Schutz einer Website durch Captchas häufig unerlässlich, um Spam-Angriffe zu verhindern, allerdings bestehen gegebenenfalls für den konkreten Anwendungsfall alternative, datenschutzfreundlichere Lösungen, die den Schutz von Webseiten gleichermaßen gewährleisten können, ohne dass umfangreiche Nutzerdaten verarbeitet werden.
Eine Einwilligung als Rechtsgrundlage - wie sie auch die Berliner Datenschutzbehörde fordert - wäre daher bei Zweifeln hinsichtlich der Erforderlichkeit des Einsatzes eine rechtssichere Alternative.
Die Verarbeitung könnte gegebenenfalls zudem auf die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) gestützt werden, wenn der CAPTCHA-Test beispielsweise vor dem Ausfüllen eines Kontaktformulars erfolgt, also nur auf bestimmten Unterseiten, auf denen der Einsatz solcher Technologien erwartbar und notwendig ist.
Auftragsverarbeitung:
Beim Einsatz der kostenpflichtigen Variante schließen Websitebetreiber einen Vertrag für Google reCAPTCHA Enterprise ab, in dessen Rahmen der Auftragsverarbeitungsvertrag (AVV) für Google Cloud gilt, der die zweckgebundene Verarbeitung der Daten regelt. Viele Websitebetreiber nutzen jedoch die kostenfreie Variante von Google reCAPTCHA. In diesem Fall wird kein AVV zwischen den Parteien geschlossen, sodass die Verarbeitung der personenbezogenen Daten durch Google ohne die nach Art. 28 DSGVO erforderliche vertragliche Grundlage erfolgt.
Transparenz:
Webseitenbetreiber müssen in der Lage sein, die Verarbeitung personenbezogener Daten transparent zu erklären und den rechtmäßigen Einsatz gemäß Art. 5 DSGVO nachzuweisen. Daher ist es notwendig, die Datenverarbeitung so genau wie möglich zu beschreiben und bei Bedarf in Kontakt zu Google zu treten, um weitere Informationen zu erfahren, welche Daten genau erhoben und wie sie verwendet werden.
Lernen Sie unsere Expertise im Datenschutz kennen
Wir unterstützen Sie mit ganzheitlicher Datenschutz-Beratung, als externer DSB oder auf Ihre Bedürfnisse zugeschnitten bei Ihrer Compliance.
Alternativen zu Google reCAPTCHA
Neben Google reCAPTCHA gibt es auch Alternativen, die entweder weniger Daten sammeln oder anders funktionieren. Diese Alternativen sind besonders für Unternehmen interessant, die nach datenschutzfreundlicheren Lösungen suchen.
Ein Beispiel ist die Honey-Pot-Lösung. Hier wird ein unsichtbares Eingabefeld in das Formular eingebaut, das Bots erkennen, von Menschen jedoch mangels Sichtbarkeit nicht ausgefüllt wird. Bots füllen dieses Feld in der Regel automatisch aus und können so leicht als automatisierte Zugriffe identifiziert werden. Diese Methode ist zwar unkompliziert und effektiv, insbesondere für kleinere Websites, kann jedoch unter Umständen nicht alle Bots und potentielle Angriffe abwehren.
Eine weitere Möglichkeit sind andere CAPTCHA-Anbieter mit datensparsameren Voreinstellungen. Diese Anbieter bieten verschiedene Abstufungen in der Funktionsweise des Tools an. Sie können abhängig von der Größe des Unternehmens und der technischen Infrastruktur angepasst werden. Ein umfassender Überblick über verfügbare Captcha-Methoden hilft dabei, die richtige Wahl zu treffen und rechtliche Risiken zu minimieren. So sind effektive Captcha-Methoden jenseits von Google reCAPTCHA ohne Einwilligung gut denkbar.
Fazit zu Google reCAPTCHA
Der Einsatz von Google reCAPTCHA ohne Einwilligung ist mit Risiken verbunden. Dies betrifft insbesondere die umfangreiche Datenverarbeitung und den fehlenden Datenschutzvertrag der kostenlosen Variante. Aufgrund der Vertragssituation ist die kostenpflichtige Nutzung von Google reCAPTCHA Enterprise daher aus Datenschutzsicht vorzuziehen.
Zur Reduzierung des Compliance-Risikos empfiehlt sich gegebenenfalls die Nutzung von Alternativen wie Honeypot-Lösungen oder datenschutzfreundlichen CAPTCHA-Anbietern.
So unterstützen wir Sie
Wir unterstützen Sie dabei, den passenden CAPTCHA-Dienst für Ihr Unternehmen auszuwählen und datenschutzkonform zu implementieren. Unser Beratungsangebot umfasst:
- Problemverständnis und Risikobewertung: Wir analysieren den konkreten Bedarf Ihres Unternehmens und die datenschutzrechtlichen Risiken verschiedener Captcha-Lösungen, einschließlich Google reCAPTCHA.
- Vertragsprüfung und -gestaltung: Wir prüfen, bewerten und gestalten Ihre Verträge mit Captcha-Anbietern, um sicherzustellen, dass sie DSGVO-konform sind.
- Individuelle Anpassungsmöglichkeiten: Wir zeigen Ihnen auf, wo und wie Sie datenschutzfreundliche Anpassungen vornehmen können, um den Einsatz von Captchas rechtssicher zu gestalten.
- Bedarfsgerechte Lösungen: Nicht jeder Captcha-Dienst ist für jedes Unternehmen gleich gut geeignet. Wir helfen Ihnen, eine Lösung zu finden, die den Anforderungen Ihrer Website entspricht, sei es eine einfache Honey-Pot-Lösung oder eine komplexere Captcha-Variante.
Wenn Sie Fragen zur DSGVO-konformen Implementierung von Captcha-Lösungen haben oder wissen möchten, welche Lösung für Ihr Unternehmen optimal ist, sprechen Sie uns an. Wir unterstützen Sie dabei, rechtliche Sicherheit zu gewinnen und eine datenschutzkonforme Captcha-Lösung umzusetzen.
Lernen Sie unsere Expertise im Datenschutz kennen
Wir unterstützen Sie mit ganzheitlicher Datenschutz-Beratung, als externer DSB oder auf Ihre Bedürfnisse zugeschnitten bei Ihrer Compliance.
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können