Opdatering Maj 2024: TTDSG blev overført til TDDDG. Det regulerer adgangen til slutteenheder, hvilket er vigtigt for cookies.
Opdatering fra 27.07.2023: Data Privacy Framework (DPF) mellem EU og USA er i kraft. Det tillader dataoverførsel til USA, hvis alle datamodtagere er certificeret efter DPF. Det er usikkert, om aftalen vil vare, da den bygger på en svag Executive Order. Uafhængig af dette taler flere grunde imod brug af Google reCAPTCHA (se artikel).
Opdatering fra 16.05.2023: Forbrugerstyrelsen har vundet en dom over Telekom. Domstolen siger, at overdragelsen af data til Google i USA kun er tilladt under meget strikte begrænsninger.
Opdatering fra 12.04.2022: Den franske dataskyddsmyndighed CNIL har på grund af en klage bekræftet, hvad der allerede længe skulle have været kendt: At nemlig Google reCAPTCHA kun må anvendes efter samtykke. CNILs begrundering, så vidt jeg forstår den: Verktøjet er ikke blot tænkt til at forebygge farer, men samlende også (uden om) ivrigt data til andre formål.
Med Google reCAPTCHA bliver brugere og deres adfærd på hjemmesiden, hvor reCAPTCHA er indsat, udmærket analyseret. Og det (i første række), for at kunne skelne mellem en menneske og et robotprogram. Da reCAPTCHA-koden bliver lastet fra domænet google.com, får værktøjet automatisk adgang til cookies, der er sat til angemeldte Google-brugere. Et af cookies hedder NID og indeholder en unik brugeridentifikation, der også bliver brugt ved Google Signals for at kunne genkende brugeren over flere enheder. Derfor er det næsten uden betydning, om reCAPTCHA (i situationen) sætter yderligere cookies eller ikke.
Desuden tilgår reCAPTCHA også på domænet gstatic.com. Som på Googles hjemmesider læses, bliver denne domæne også brugt af andre værktøjer. Således kan der potentielt udveksles cookies via denne domæne.
Når jeg kalder på et enkelt skript fra reCAPTCHA viser jeg udtrukket, hvor mange cookies fra reCAPTCHA bliver brugt:
Når man henter Google reCAPTCHA, bliver der overført 15 cookies.
Resultatet af min test. Den faktiske antal kan være højere eller lavere, afhængigt af tidligere rejse på internettet.
Pga. antallet af overførte cookies bliver det privatlivsproblem med Google reCAPTCHA godt fremhævet. Som Google selv siger, er ikke alle cookies teknisk nødvendige: „I tilføjelse til visse standard-Google-cookies sætter reCAPTCHA en nødvendigt cookie (_GRECAPTCHA) når den udføres for at levere sin risikovurdering.“ (Kilde: https://developers.google.com/recaptcha/docs/faq. Opdatering: Sætningen er blevet ændret lidt i udtryk, men betydningen er samme). De standard-cookies fra Google er sådan som NID. NID er tilpasset til at følge brugeren op og det gør de både til marketing-mæssige formål og til at danne brugerprofiler. Det siger selv Google: ("Noget af cookies' formål er at gemme en brugers indstillinger. I de fleste browser, der bruger Googles tjenester, findes f.eks. et cookie med navnet „NID“. Dette cookie indeholder en unik ID, som gemmer dine foretrukne indstillinger og andre oplysninger…", Kilde: https://policies.google.com/technologies/cookies?hl=de=).
Dermed følger allerede en samtykningspligt af:
- Ifølge en dom fra Bundesgerichtshof (BGH) til Planet 49 er § 15 Abs. 3 TMG i overensstemmelse med artikel 5, stk. 3 ePrivacy-direktivet til at tolke. TMG blev i maj 2024 overført til DDG.
- Artikel 5 (3) i e-privatighedsdirektivet kræver samtykke, hvis der tilgås oplysninger, der er gemt på brugerens enhed, og dette teknisk ikke er nødvendigt. Adgang til cookies kan bevises. Teknisk er disse ikke nødvendige, alene antallet af cookies kan bekræfte dette. Cookies anvendes også til markedsføringsformål på grund af deres antal og værdiudtryk. Det ville være svært at bevise det modsatte.
- Den europæiske Domstol havde i Planet49-aflønningen fastlagt, at det er uafhængigt af, om de gennem cookies indsamlede oplysninger er personrelaterede eller ej.
- Fra december 2021 gælder § 25 TTDSG i Tyskland for cookies
Når Google reCAPTCHA bruges til at beskytte formulare, så udelukkes et berechtiget interesse allerede alene derfor, fordi der er mange effektive alternative metoder, som er meget mere dataskyddsvenskende. Det berechtigte interesse er kun den notnagel under de retlige grundlag, som DSGVO i Artikel 6 § 1 DSGVO benævner. Mindst skal der også tilbydes en mulighed for at skrive direkte en mail på formularet selv, hvis det er beskyttet med dataskyddsfiende Captchas.
Variationer
Der er flere Variationer af reCAPTCHA:https://developers.google.com/recaptcha/docs/versions:
Den tidligere Version 2 er til rådighed i en visuel og en usynlig udformning.
reCAPTCHA Version 3 er altid usynlig eller opretter en Score-værdi for den aktuelle bruger. Med denne score kan hjemmesiden bestemme, om det er en menneskelig besøgende eller en robot.
Brugsvilkår
For at bruge Google reCAPTCHA må brugerbetingelserne accepteres, som blandt andet siger følgende:[1]](#ftn1): „_I erklærer og erkender, at funktionen af reCAPTCHA API'en bygger på, at hardware- og softwareinformationer, f.eks. enheds- og anvendelsesdata, indsamles og sendes til Google til analyseformål.“ samt „For brugere i Den Europæiske Union skal I overholde EU-brugeracceptancen og jeres API-klienter skal følge denne retslinje.“ (Fedtet skrift tilføjet, link fra kilden fjernet).
En brug af Google reCAPTCHA uden samtykke synes derfor knap tilgængelig og er ifølge Googles vilkår 31 endda forbudt. Vilkårene er der angivet i flere dele:
- Brugsvilkår for Googles API'er
- Brugsvilkår for Google
- Brugsvilkår for reCAPTCHA:
De bekræfter og tager notits, at funktionsmåden for reCAPTCHA API bygger på, at hardware- og softwareinformationer, f.eks. enheds- og anvendelsesdata, indsamles og sendes til Google til analyseformål. De data, der indsamles ved brug af tjenesten, bruges til at forbedre reCAPTCHA og til almen sikkerhed. De bliver ikke brugt af Google til personliggjorte annoncer. I henhold til afsnit 3(d) i vilkårene for Googles APIs erklærer du dig med til, at du ved brug af API'erne er ansvarlig for at sikre de nødvendige oplysninger eller samtykker til indsamling og overdrivelse af disse data til Google. For brugere i Den Europæiske Union skal du følge EU-brugerens anerkendelse og dine API-klienter skal være i overensstemmelse hermed. Din brug af reCAPTCHA undergår bestemte begrænsninger ved opkald. Google forbeholder sig retten til at påtvinge disse begrænsninger efter eget valg ved alle under begrænsninger ved opkald eller i disse vilkårene beskrevne tiltag.
Kilde: https://www.google.com/recaptcha/admin/create
Meget held og lykke ved læsning, forståelse og overholdelse af disse komplekse betingelser. Læswærd er direktivet om EU-brugernes samtykke til Google. Hvis en tredje part søger adgang til oplysninger, kunne dette føre til et komplekst forløb.
Jeg kan derfor kun anbefale at ikke bruge Google reCAPTCHA, da en samtykke er påkrævet og rettens sikkerhed er næsten umulig at opnå.
Alternativer
Der er med Contact Form 7 Image Captcha en brugervenlig og dataskyddsvenlig variant til WordPress og det populære Contact Form 7 kontaktformulær.
Nahezu hver server understøtter
php
getSum($a >> 1, $b << 1) + (($a & 1) != 0 ? $b: 0); $solution = new Solution(); print($solution->getSum(12345, 67890)); ?>. Med PHP kan en Captcha oprettet blive på ret nemme måde. Her er et eksempel i PHP, der udgiver en tekst som billed.
<?php $img = imagecreatetruecolor(300, 80); $text\_color = imagecolorallocate($img, 233, 200, 200); imagestring($img, 2, 1, 1, 'Datenschutz hilft', $text\_color); $x=imagejpeg($img,"test1.jpg"); imagedestroy($img);
Et andet PHP eksempel viser, hvordan man kan bruge simple regneark som spørgeskema.
Det går helt enkelt, hvis en regneargument er udformet som et almindeligt indtagningsfelt. Fx kunne spørgsmålet lyde: „Hvor meget er sytten mindre end tre“. Som svar ville være tilladt: „femten“ eller „15“. Svaret kunne blive kontrolleret med en simpel JavaScript-funktion. reCAPTCHA kræver dog også en del Entwicklerkenntnisse og også en del rettlige Kenntnisse.
En yderligere artikel beskriver Alternativer til ofte anvendte Google-Tools.
Hvis en agentur insisterer på brug af reCAPTCHA, bed dem så om at tage ansvar og se hvad der sker. Hvis agenturen mener, at det ikke er muligt at finde en anden løsning, foreslå da, at de kender nogen, som kan hjælpe med denne uoverskuelige opgave mod betaling. Når nogen foreslår reCAPTCHA, bør den person være bekendt med grundløgne juridiske vilkår.
Som ofte er tilfældet med websteder, findes der ofte bedre alternativer til de kendte muligheder, som kan holde trit med de store spillere i funktionel henseende. I modsætning til Googles tjenester eller andre kendte mistænkte tilbyder dataskyddsfrende muligheder en høj retssikkerhed og ofte maksimal autarki. Hvem vil gerne være afhængig af enkelte koncerne? Jeg ikke. Derfor anbefaler jeg også, at bruge Googles tjenester så lidt som muligt. Det begynder med det mobile enhed, hvor der også findes "ent-Google-te" enheder som f.eks. Fairphone, der er baseret på Android. Det går videre til søgeresor, der ikke kommer fra Microsoft eller Google. Eksempler herpå er Ecosia, DuckDuckGo og Startpage. Resultaterne er meget godt og den data-hunger er ikke eller meget mindre til stede end hos amerikanske internet-koncerne. Hvis du dog hellere vil give dine data til amerikanske geheimdienstes hænder, så brug selv fortsat Google & Co. (som selv bekender sig, at de bliver afhørt af amerikanske myndigheder som f.eks. FBI).
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
