Оновлення травня 2024: TTDSG перейшло в TDDDG. Регулює доступ до кінцевих пристроїв, що важливо для файлів cookie.
Оновлення від 27.07.2023: Датаприватфреймворк (DPF) між ЄС та США набув чинності. Він дозволяє передавати дані до США, якщо всі одержувачі даних мають сертифікат DPF. Важко передбачити, чи цей договір буде мати майбутнє, адже він ґрунтується на нестійкій виконавчій постановці. Залежно від цього, існують ще інші причини проти використання Google reCAPTCHA (див. статтю).
Оновлення від 16.05.2023: Виробничий центр отримав рішення проти Telekom. Суд каже, що передача даних до Google в США дозволена лише під дуже строгими умовами.
Оновлення від 12.04.2022: Французька комісія з захисту даних CNIL підтвердила, що вже давно відомо: Google reCAPTCHA можна використовувати лише після згоди користувача. Причина рішення CNIL, наскільки я її розумію: цей інструмент призначений не тільки для попередження небезпек, а ще й активно збирає дані за іншими цілями.
З допомогою Google reCAPTCHA користувачі та їх поведінка на вебсайті, де reCAPTCHA інтегрований, дуже глибоко аналізуються. І саме (першочергово), щоб краще відрізнити людину від програмного робота. Поки що код reCAPTCHA завантажується з домену google.com, інструмент отримує автоматичний доступ до Cookies, які встановлені для зареєстрованих користувачів Google. Одне із цих cookie називається NID і містить унікальну ідентифікацію користувача, яка також використовується для Google Signals, щоб навіть розпізнавати користувачів між пристроями. Тому майже не має значення, чи встановлює reCAPTCHA (у певному випадку) додаткові cookie чи ні.
Також reCAPTCHA звертається до домену gstatic.com. Як повідомляється на вебсторінках Google, ця домена також використовується іншими інструментами. Отже, через цю домен можуть бути обміняні потенційно файли cookie.
При виклику одного скрипта від reCAPTCHA я показую зрізані дані про кількість файлів cookie, які використовує reCAPTCHA:
При завантаженні Google reCAPTCHA передаються 15 файлів cookie.
Результати моїх випробувань. Правильна кількість може бути вищою або нижчою залежно від попередньої подорожі Інтернетом.
Враховуючи кількість переданих cookie, проблема захисту даних з Google reCAPTCHA добре помітна. Як сам Google визнаває, не всі cookies необхідні технічними засобами: „Крім певних стандартних cookie Google, reCAPTCHA встановлює необхідне cookie (GRECAPTCHA), коли виконує свій аналіз ризику.“ (Джерело: https://developers.google.com/recaptcha/docs/faq. Оновлення: Відповідний рядок трохи змінився мовно; зміст залишається такий же). Стандартні cookies Google такі, як NID. NID підходить для спостереження за користувачем і здійснює це як для цілей маркетингу, так і для створення профілів користувачів. Це сам Google підтверджує ("Деякі cookie призначені для зберігання налаштувань користувача. У браузерах більшості користувачів, які використовують послуги Google, наприклад є cookie з назвою „NID“. Цей cookie містить унікальну ідентифікаційну інформацію, за допомогою якої зберігаються ваші бажані налаштування та інші дані…", Джерело: https://policies.google.com/technologies/cookies?hl=de=).
Звідси вже випливає обов'язок отримання згоди:
- За рішенням Верховного суду Німеччини щодо Planet 49 є § 15 Abs. 3 TMG відповідним до статті 5 Abs. 3 ePrivacy Richtlinie. TMG перейшов у травні 2024 року під управління DDG.
- Стаття 5 (3) директиви про конфіденційність вимагає згоди, якщо здійснюється доступ до інформації, яка зберігається на приставці користувача, і це технічною можливістю не є необхідним. Доступ до файлів cookie підтверджений. Технічними засобами вони не потрібні, лише кількість цих файлів може свідчити про це. Файли cookie використовуються також для рекламних цілей. Виявити протилежне буде складно.
- Європейський суд у справі Planet49 встановив, що не має значення, чи є дані, зібрані за допомогою файлів cookie, особистими чи ні.
- З грудня 2021 року діє в Німеччині § 25 TTDSG щодо файлів cookie
Якщо Google reCAPTCHA використовується для захисту форм, то вже тільки через це видаляється правильне інтерес», оскільки існує багато ефективних альтернатив, які значно більш відповідальні щодо захисту даних. Правильне інтерес є лише хрестом під правові підстави, які вказані в ст. 6 абз. 1 DSGVO. Відповідно до цього, хоча б на формі, яку захищає captcha з порушенням законодавства про захист даних, повинна бути можливість написати листа прямо на цій сторінці.
Варіанти
За джерелом https://developers.google.com/recaptcha/docs/versions існує декілька Варіантів від reCAPTCHA:
Вища версія 2 доступна в візуальній та невідчутній формі.
reCAPTCHA Version 3 завжди невидимий або створює для поточного користувача оціночний бал. З цим рейтингом запрошена вебсторінка може встановити, чи є це людина чи робот.
Умови використання
Для використання Google reCAPTCHA необхідно прийняти умови використання, які зокрема містять такі положення1: „Ви підтверджуєте та погоджуєтесь, що функціонування API reCAPTCHA ґрунтується на збірі та відправці до Google технічної інформації про обладнання та програми, наприклад даних щодо пристрою та програми.“ а також „Для користувачів Європейського Союзу ви повинні дотримуватися Директиви щодо згоди користувача в ЄС і ваші клієнти API повинні відповідати цій директиві..
Використання Google reCAPTCHA без згоди майже не підтримується і згідно з умовами використання Google заборонено навіть за умови 31. Умови використання вказані там у декілька частин:
- Умови використання для Google API
- Умови використання Google
- Умови використання для reCAPTCHA:
Ви підтверджуєте та приймаєте до відома, що функціонування API reCAPTCHA ґрунтується на збір та аналізі інформації про обладнання та програми, наприклад даних щодо пристрою та програми, яку ви використовуєте. Зібрані дані використовуються для покращення роботи reCAPTCHA та загальної безпеки. Вони не будуть використовуватися Google для цілей персоналізованої реклами. За умовами пункту 3(d) Умов про використання API Google ви підтверджуєте, що ви відповідаєте за надання необхідних повідомлень або згоди щодо збірки та передачі даних Google. Для користувачів Європейського Союзу ви повинні дотримуватися Директиви щодо згода ЄС користувача і ваші клієнти API повинні відповідати цій директиві. Ваша робота з reCAPTCHA підлягає певним Ограниченням щодо викликів. Google має право змінити ці обмеження за власною волею шляхом застосування всіх заходів, описаних у Ограниченням щодо викликів або в цих умовах використання.
Джерело: https://www.google.com/recaptcha/admin/create
Вища успішу при читанні, розумінні та дотриманні цих комплексних умов. Читати варто вказівку щодо згоди користувача ЄС від Google. Якщо третій особі буде потрібно отримати інформацію, тоді це може викликати досить складний процес.
Я можу лише рекоменувати відмовитися від використання Google reCAPTCHA, оскільки потрібна згода і майже неможливо отримати її у правовому сенсі.
Альтернативи
Для WordPress та популярного Contact Form 7 контактної форми існує з Contact Form 7 Image Captcha користувацька і захищена від порушення конфіденційності варіант.
Найбільшість серверів підтримує PHP. З допомогою PHP можна досить легко створити Captcha. Тут є приклад у PHP, який виводить текст як зображення.
<?php $img = imagecreatetruecolor(300, 80); $text\_color = imagecolorallocate($img, 233, 200, 200); imagestring($img, 2, 1, 1, 'Datenschutz hilft', $text\_color); $x=imagejpeg($img,"test1.jpg"); imagedestroy($img);
Інше приклад із PHP показує, як можна використовувати прості математичні завдання як запитання .
Ганно просто, якщо завдання з математики представлене як звичайне поле для введення. Наприклад, питання може виглядати так: «Як багато це сто сімнадцять менше трьох». Як відповідь дозволено написати: «чотирнадцять» або «14». Відповідь можна перевірити за допомогою простої функції JavaScript. reCAPTCHA вимагає чимало розробничих знань і також правових знань.
Інший внесок описує альтернативи для часто використовуваних інструментів Google.
Якщо агенція вимагає використання reCAPTCHA, просіть її про Відповідальність і побачите, що відбувається. Якщо агенція вважає, що інша відповідь неможлива, запропонуйте їй знайти людину, яка за гроші допоможе агенції з цієї непідвладної задачі. Коли хто-небудь пропонує reCAPTCHA, той повинен знати основні правові умови.
Як часто на вебсайтах, існують для очевидних можливостей краще альтернативи, які функціонально можуть зрівнятися із лідерами ринку. У відмінності від послуг Google або інших відомих підозрюваних даних захистні можливості забезпечують високий правовий захист і часто повну автаркію. Ким хочеш бути залежним від окремих концернів? Я особисто ні. Тому я також рекомендую використовувати Google-аплікації якомога менше. Це починається з мобільного пристрою, для якого також існують "анти-Google" пристрої, такі як Fairphone, що працюють на основі Android. Далі йде мова про пошуковики, які не належать ні Microsoft, ні Google. Як приклади можна назвати Ecosia, DuckDuckGo та Startpage. Результати дуже добре і голод до даних майже відсутній або значно менше ніж у американських інтернет-концернів. Якщо ж ви бажаєте передавати свої дані американським спецслужбам, то продовжуйте використовувати Google тощо (які навіть самі зізнаються , що вони підлягають вивченню американськими органами влади, такими як ФБР).
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
