Gastbeitrag von Carsten Euwens

Googles Captcha-Dienst DSGVO-konform auf Website verwenden – So geht’s!

Veröffentlicht: 23.01.2024 | Geschrieben von: Gastautor | Letzte Aktualisierung: 24.01.2024
Google
© VitaliiStock / Depositphotos.com

Ein Captcha-Dienst oder -Test stellt fest, ob ein Online-Nutzer ein echter Mensch oder ein Bot ist. Dabei steht die Abkürzung Captcha für „Completely Automated Public Turing test to tell Computers and Humans Apart“.

Googles Dienst „reCAPTCHA“ wird häufig genutzt und stellt für Websitebetreiber ein unverzichtbares Instrument dar, um ihre Online-Formulare vor Spam und anderem Missbrauch zu schützen. Dank der Verwendung von fortschrittlichen Algorithmen ist reCAPTCHA in der Lage, sehr genau zwischen echten menschlichen Nutzern und automatisierten Bots zu unterscheiden.

Websitebetreiber sollten bei der Verwendung von reCAPTCHA im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) vorsichtig sein. Denn das System stellt nicht nur Verbindungen zu externen Google-Servern her, sondern verarbeitet auch eine beträchtliche Menge an personenbezogenen Daten, was datenschutzrechtliche Bedenken mit sich bringen kann.

Hintergrund: Welche Daten und Cookies werden gesammelt?

Wenn Websitebetreiber reCAPTCHA nutzen, geschieht dies in Kooperation mit Google, wobei eine Vielzahl von Benutzerdaten erfasst wird. Ein zentraler Bestandteil dieses Prozesses ist die Überprüfung durch Google reCAPTCHA, ob im Browser des Nutzers bereits ein Cookie vorhanden ist. Ist dies nicht der Fall, legt Google eines an. Es ist auch möglich, dass während der Einbindung bis zu einem Dutzend weitere Cookies platziert werden. Zudem kann es zum Datenaustausch über verschiedene Domains hinweg kommen. 

Das Endresultat dieses Vorgangs ist, dass Google durch reCAPTCHA ein detailliertes Nutzerprofil erstellt, das es ermöglicht, den Nutzer auf unterschiedlichen Websites wiederzuerkennen und somit ein kontinuierliches Tracking des Nutzerverhaltens zu gewährleisten.

Das Problem dabei: Viele Nutzer von Websites sind sich oft nicht im Klaren darüber, dass im Hintergrund solch ein Tracking stattfindet. Hinzu kommt, dass Google nicht transparent kommuniziert, welche spezifischen Daten erfasst werden und wie genau diese weiterverarbeitet oder genutzt werden.

Die Daten, die gesammelt werden, können unter anderem Folgendes enthalten:

  • die Website, die reCAPTCHA verwendet,
  • die vorherige besuchte Seite des Nutzers (Referrer-URL),
  • die IP-Adresse des Benutzers, sowie 
    • Geräteeinstellungen wie Sprache, 
    • genutzter Browser 
    • Browser-Erweiterungen
    • Ort und Zeitzone
    • Betriebssystem und Version
  • Aufenthaltsdauer auf der Seite,
  • Mausaktionen und Tastatureingaben,
  • Bildschirmauflösung und Fenstergröße

Was muss aus technischer Sicht beachtet werden?

Websitebetreiber, die reCAPTCHA verwenden, müssen daher unbedingt sicherstellen, dass sie über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. In der Regel ist dies die ausdrückliche und informierte Einwilligung des Nutzers.

Vom Standpunkt des TTDSGs (Telekommunikation-Telemedien-Datenschutz-Gesetz) aus gesehen, ist ebenfalls eine Einwilligung erforderlich, da reCAPTCHA nicht zwingend notwendig ist. Technische Alternativen oder andere Methoden könnten als Ersatz dienen.

Was ist also die beste technische Lösung für Seitenbetreiber, um Google reCAPTCHA rechtskonform zu verwenden?

Bisher problematisch: reCAPTCHA Einwilligung per Cookie Consent Banner

Die Einwilligung der Besucher kann natürlich direkt über den Cookie Consent Banner realisiert werden, allerdings müsste, damit es bei allen Besuchern angezeigt wird, reCAPTCHA als technisch notwendig definiert werden. 

Alternativ könnte man nach DSGVO Art. 6 Abs. 1 lit. f DSGVO unter „Wahrung der berechtigten Interessen“ des Seitenbetreibers Google reCAPTCHA einbauen. Dies ist aber grundsätzlich nicht zu empfehlen, da, wie oben beschrieben, andere Lösungen möglich sind. 

Die Alternative war bisher, Google reCAPTCHA im Cookie Consent Banner als optional zu vermerken, unter z. B. „Personalisierung“ oder einer anderen Kategorie. Allerdings hat das den immensen Nachteil, dass nur ein Teil der Besucher auch das Formular ausfüllen konnte, weil allen Nutzern, die der Verwendung von Cookies nicht zugestimmt haben, kein reCAPTCHA ausgeliefert wurde. Aus Betreibersicht natürlich ein absolutes No-Go. 

Wie soll man also Google reCAPTCHA sinnvoll und so rechtssicher wie möglich nutzen?

So geht es richtig: Einwilligung für reCAPTCHA direkt am Formular abholen

Das beste Vorgehen ist, die Einwilligung direkt am Formular abzufragen. Bei diesem Vorgehen wird anstelle des bekannten reCAPTCHA-Bereiches zuerst ein Platzhalter angezeigt. Über diesen können die User der Verwendung von Google reCAPTCHA nachträglich zustimmen und so das Formular auch absenden, wenn sie zunächst die Cookies abgelehnt hatten. 

Erst mit diesem zustimmenden Klick wird Google reCAPTCHA geladen. So kann explizit in dem Moment, wo Google reCAPTCHA gebraucht wird, über die datenschutzrechtlichen Bedingungen informiert und genau dort die Zustimmung abgeholt werden. Die Zustimmung ist auf diese Weise nur einen Klick für den Besucher entfernt.

recaptcha

Ist reCAPTCHA wirklich notwendig?

Die Notwendigkeit von Google reCAPTCHA hängt von den spezifischen Anforderungen und Zielen der jeweiligen Website ab. Auch wenn die Einrichtung im ersten Moment komplex erscheint – gerade im Rahmen der DSGVO – ist der Nutzen dahinter in der Regel sehr hoch!

Denn wenn die Website Formulare enthält, die von den Nutzern ausgefüllt werden müssen, z. B. Kontaktformulare, Registrierungsformulare oder Bestellformulare, kann reCAPTCHA hilfreich sein, um Spam und Missbrauch zu verhindern. reCAPTCHA ist extrem hilfreich, um sicherzustellen, dass die Anfragen, die über die Website kommen, tatsächlich von menschlichen Benutzern und nicht von Bots oder automatisierten Skripten stammen.

Funktioniert das auch mit anderen Systemen wie hcaptcha?

Das Prinzip ist das gleiche, die Problemstellungen auch. Es werden Daten an dritte Parteien übertragen, dafür braucht es eine aktive Einwilligung, egal ob hcaptcha, reCAPTCHA oder andere Captcha-Dienste.

An dieser Stelle haben wir die technischen Rahmenbedingungen betrachtet, die sinnvoll genutzt werden können. Juristisch sollten Sie das natürlich auch immer im Einzelfall noch einmal von Fachpersonal bewerten lassen.

Mit dem Cookie Consent Tool CCM19 können Google reCAPTCHA und die anderen genannten Dienste DSGVO- und TTDSG-konform verwendet werden - indem die Einwilligung zur Cookie-Nutzung erst direkt am Formular erfolgt.

Artikelbild: http://www.depositphotos.com

carsten euwens papoo

Über den Autor:

Dr. Carsten Euwens ist Geschäftsführer der Papoo Software & Media GmbH, dem Unternehmen hinter CCM19. Seit vielen Jahren widmet er sich mit seinem Unternehmen der Herausforderung, Unternehmen dabei zu unterstützen, Marketing- und Datenschutzanforderungen erfolgreich zu verbinden.

Artikel Weiterempfehlen
Aktualisiert: 24.01.2024
Kategorie: Unternehmen
Veröffentlicht: 23.01.2024
Schlagworte:

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Datenschutz

Verwandte Artikel

DSA
Schärfere EU-Regeln für 19 Tech-Unternehmen
Flaggen USA und EU vor Himmel
Datenübertragung: USA fragen nach Schutz der Privatsphäre in EU-Ländern
Magnet sammelt Daten von Holzmännchen
Scraping-Attacken: Welche Ansprüche bestehen gegen Facebook?

Meistgelesene Artikel

Ebay-Logo unter Lupe
Millionenstrafe: Ebay-Mitarbeiter haben Blogger tyrannisiert
Aktuelle Urteile | 12.01.2024
Miele-Logo auf Scheibe
Miele zieht sich von Amazon zurück
Marktplätze | 06.02.2024
Smartphone zeigt Amazon Seller Account
Seller in Existenzangst: Amazon behält seit Tagen Auszahlungen ein (Update)
Marktplätze | 07.11.2023