Google reCAPTCHA: ist eine datenschutzkonforme Nutzung möglich?

Kategorien: Datenschutz

Update Mai 2024: Das TTDSG ging in das TDDDG über. Es regelt den Zugriff auf Endeinrichtungen, was für Cookies wichtig ist.

Update vom 27.07.2023: Das Data Privacy Framework (DPF) zwischen der EU und den USA ist in Kraft. Es erlaubt Datentransfers in die USA, wenn alle Datenempfänger über das DPF zertifiziert sind. Es ist fragwürdig, ob das Abkommen Bestand haben wird, da es auf einer wackligen Executive Order basiert. Unabhängig davon, sprechen weitere Gründe gegen den Einsatz von Google reCAPTCHA (siehe Beitrag).

Update vom 16.05.2023: Die Verbraucherzentrale hat ein Urteil gegen die Telekom erstritten. Das Gericht sagt, dass die Datenübermittlung an Google in die USA nur unter sehr engen Grenzen erlaubt ist.

Update vom 12.04.2022: Die französische Datenschutzaufsicht CNIL hat aufgrund einer Beschwerde bestätigt, was schon lange bekannt hätte sein müssen: Dass nämlich Google reCAPTCHA erst nach Einwilligung genutzt werden darf. Begründung von CNIL, soweit ich es verstanden habe: Das Tool sei nicht nur zur Gefahrenabwehr gedacht, sondern sammle auch (unnötigerweise) fleißig Daten zu anderen Zwecken.

Mit Google reCAPTCHA werden Nutzer und deren Verhalten auf der Webseite, wo reCAPTCHA eingebunden ist, ausgesprochen tiefgehend analysiert. Und zwar (vordergründig), um einen Menschen besser von einem Roboterprogramm unterscheiden zu können. Da der reCAPTCHA Code u. a. von der Domäne google.com geladen wird, erhält das Tool automatisch Zugang zu Cookies, die für angemeldete Google Nutzer gesetzt werden. Eines der Cookies heißt NID und enthält eine eindeutige Nutzerkennung, die auch für Google Signals verwendet wird, um sogar geräteübergreifend Nutzer wiedererkennen zu können. Insofern ist es datenschutzrechtlich fast unerheblich, ob reCAPTCHA (situativ) weitere Cookies setzt oder nicht.

Zusätzlich greift reCAPTCHA auch auf die Domäne gstatic.com zu. Wie auf Google Webseiten nachzulesen, wird diese Domäne auch von anderen Tools verwendet. Somit können über diese Domäne potentiell Cookies ausgetauscht werden.

Am Abruf eines einzigen Scripts von reCAPTCHA zeige ich auszugsweise, wie viele Cookies von reCAPTCHA genutzt werden:

Aufgrund der Anzahl an übertragenen Cookies wird das Datenschutzproblem mit Google reCAPTCHA ganz gut deutlich. Wie Google selbst zugibt, sind nicht alle Cookies technisch notwendig: „In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.“ (Quelle: https://developers.google.com/recaptcha/docs/faq. Update: Der Satz hat sich sprachlich mittlerweile leicht geändert; die Bedeutung ist gleich geblieben). Die Standard-Cookies von Google sind solche wie NID. NID ist dazu geeignet, den Nutzer nachzuverfolgen, und zwar sowohl für Marketing-Zwecke als auch für die Bildung von Nutzerprofilen. Dies gibt Google selbst zu ("Manche Cookies dienen dazu, die Einstellungen eines Nutzers zu speichern. In den Browsern der meisten Nutzer, die Google-Dienste verwenden, gibt es beispielsweise ein Cookie namens „NID“. Dieses Cookie enthält eine eindeutige ID, über die Ihre bevorzugten Einstellungen und andere Informationen gespeichert werden…", Quelle: https://policies.google.com/technologies/cookies?hl=de=).

Hieraus bereits ergibt sich eine Einwilligungspflicht:

• Gemäß BGH-Urteils zu Planet 49 ist § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen. Das TMG ging im Mai 2024 in das DDG über.
• Art. 5 (3) der ePrivacy-Richtlinie fordert eine Einwilligung, wenn auf Informationen, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Der Zugriff auf Cookies ist bewiesen. Technisch sind diese nicht notwendig, alleine die schiere Anzahl an Cookies kann dies beweisen. Die Cookies werden aufgrund Ihrer Anzahl und Wertausprägungen auch für Marketing-Zwecke verwendet. Das Gegenteil zu beweisen dürfte schwierig werden.
• Der EuGH hatte im Planet49-Urteil festgestellt, dass es unerheblich ist, ob die durch Cookies erhobenen Daten personenbezogen sind oder nicht.
• Ab Dezember 2021 gilt § 25 TTDSG in Deutschland für Cookies

Wenn Google reCAPTCHA verwendet wird, um Formulare abzusichern, dann scheidet ein berechtigtes Interesse schon alleine deshalb aus, weil es zahlreiche wirkungsvolle Alternativen gibt, die deutlich datenschutzfreundlicher sind. Das berechtigte Interesse ist nur der Notnagel unter den Rechtsgrundlagen, die die DSGVO in Art. 6 Abs. 1 DSGVO benennt. Zumindest sollte bei mit datenschutzfeindlichen Captchas abgesicherten Formularen auch direkt am Formular eine Möglichkeit geboten werden, direkt eine Mail zu schreiben.

Varianten

Laut https://developers.google.com/recaptcha/docs/versions gibt es mehrere Varianten von reCAPTCHA:

Die bisherige Version 2 steht in einer visuellen und einer unsichtbaren Ausprägung zur Verfügung.

reCAPTCHA Version 3 ist immer unsichtbar bzw. erstellt für den aktuellen Nutzer einen Score-Wert. Mit diesem Score kann die aufgerufene Webseite feststellen, ob es sich um einen menschlichen Besucher oder um einen Roboter handeln könnte.

Nutzungsbedingungen

Zur Nutzung von Google reCAPTCHA müssen die Nutzungsbedingungen akzeptiert werden, die u. a. folgendes besagen1: „Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden.“ sowie „Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen.“ (Fettdruck hinzugefügt, Link aus der Quelle entfernt).

Ein Einsatz von Google reCAPTCHA ohne Einwilligung erscheint demnach kaum haltbar und ist gemäß Google Nutzungsbedingungen³¹ sogar untersagt. Die Nutzungsbedingungen sind dort wie folgt in mehreren Teilen angegeben:

• Nutzungsbedingungen für Google APIs
• Nutzungsbedingungen von Google
• Nutzungsbedingungen für reCAPTCHA:

Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden. Die bei der Verwendung des Dienstes erhobenen Informationen werden zur Verbesserung von reCAPTCHA und für die allgemeine Sicherheit verwendet. Sie werden von Google nicht für personalisierte Werbung genutzt. Gemäß Abschnitt 3(d) der Nutzungsbedingungen für Google APIs erklären Sie sich damit einverstanden, dass Sie bei Verwendung der APIs dafür verantwortlich sind, die erforderlichen Hinweise oder Einwilligungen zur Erhebung und Weitergabe dieser Daten für Google bereitzustellen bzw. einzuholen. Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen. Ihre Verwendung von reCAPTCHA unterliegt bestimmten Beschränkungen bei Aufrufen. Google behält sich das Recht vor, diese Beschränkungen nach alleinigem Ermessen durch sämtliche unter Beschränkungen bei Aufrufen oder in diesen Nutzungsbedingungen beschriebenen Maßnahmen zu erzwingen.

Quelle: https://www.google.com/recaptcha/admin/create

Viel Erfolg beim Lesen, Verstehen und Einhalten dieser komplexen Bedingungen. Lesenswert ist die Richtlinie zur EU-Nutzereinwilligung von Google. Sollte ein Dritter Auskunft begehren, dann könnte dies einen komplexen Vorgang auslösen.

Ich kann daher nur vom Einsatz von Google reCAPTCHA abraten, da eine Einwilligung erforderlich ist und rechtssicher kaum eingeholt werden kann.

Alternativen

Für WordPress und das beliebte Contact Form 7 Kontaktformular gibt es mit Contact Form 7 Image Captcha eine nutzerfreundliche und datenschutzfreundliche Variante.

Nahezu jeder Server unterstützt PHP. Mit PHP kann auf recht einfache Weise ein Captcha erstellt werden. Hier ist ein Beispiel in PHP, das einen Text als Bild ausgibt.

 <?php
$img = imagecreatetruecolor(300, 80);
$text_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text_color);

$x=imagejpeg($img,"test1.jpg");

imagedestroy($img);

Ein anderes PHP Beispiel zeigt, wie man einfache Rechenaufgaben als Abfrage nutzen kann.

Ganz einfach geht es, wenn eine Rechenaufgabe als gewöhnliches Eingabefeld ausgeprägt ist. Beispielsweise könnte die Frage lauten: „Wie viel ist siebzehn weniger drei“. Als Antwort wäre zugelassen: „vierzehn“ oder „14“. Die Antwort könnte mit einer einfachen JavaScript Funktion geprüft werden. reCAPTCHA erfordert immerhin auch einiges an Entwicklerkenntnissen und auch an rechtlichen Kenntnissen.

Ein weiterer Beitrag beschreibt Alternativen für häufig verwendete Google Tools.

Sollte eine Agentur auf dem Einsatz von reCAPTCHA bestehen, bitte Sie die Agentur doch um eine Haftungsübernahme und sehen Sie, was passiert. Sollte die Agentur meinen, eine andere Lösung wäre nicht möglich, schlagen Sie doch vor, jemanden zu kennen, der kostenpflichtig die Agentur bei dieser unlösbaren Aufgabe unterstützen kann. Wenn jemand reCAPTCHA vorschlägt, sollte derjenige die grundlegenden rechtlichen Bedingungen kennen.

Wie so oft bei Webseiten gibt es für die offensichtlich bekannten Möglichkeiten oft bessere Alternativen, die funktionell mit den Platzhirschen mithalten können. Im Unterschied zu Google-Diensten oder anderen bekannten Verdächtigen bieten datenschutzfreundliche Möglichkeiten aber eine hohe Rechtssicherheit und oft eine maximale Autarkie. Wer will schon abhängig von einzelnen Konzernen sein? Ich jedenfalls nicht. Deshalb empfehle ich auch, Google-Anwendungen so wenig wie möglich zu verwenden. Das beginnt beim mobilen Endgerät, für das auch ent-Google-te Geräte wie das Fairphone auf Android-Basis zur Verfügung stehen. Es geht weiter bei Suchmaschinen, die weder von Microsoft noch von Google stammen. Als Beispiele seien Ecosia, DuckDuckGo und Startpage genannt. Die Ergebnisse sind sehr gut und der Datenhunger gar nicht oder deutlich weniger vorhanden als bei amerikanischen Internetkonzernen. Wenn Sie allerdings lieber amerikanischen Geheimdiensten Ihre Daten anvertrauen möchten, dann nutzen Sie weiter Google & Co. (welche es selber zugeben, dass sie von amerikanischen Behörden, wie dem FBI, ausgehorcht werden).