Update Mei 2024: Het TTDSG ging over in het TDDDG. Het regelt de toegang tot eindapparaten, wat voor cookies belangrijk is.
Update van 27.07.2023: Het Data Privacy Framework (DPF) tussen de EU en de VS is in werking getreden. Het stelt dat gegevensoverdrachten naar de VS toegestaan zijn, als alle gegevensontvangers over het DPF zijn gecertificeerd. Het is twijfelachtig of het akkoord stand zal houden, aangezien het gebaseerd is op een wankel Executive Order. Onafhankelijk daarvan, spreken er andere redenen tegen de inzet van Google reCAPTCHA (zie artikel).
Update van 16.05.2023: De Consumentenbond heeft een vonnis tegen de Tele2 behaald. Het gerecht zegt dat de gegevensoverdracht aan Google in de VS alleen onder zeer strikte grenzen is toegestaan.
Update van 12.04.2022: De Franse gegevensbeschermingsautoriteit CNIL heeft op grond van een klacht bevestigd, wat al lang bekend had moeten zijn: Dat Google reCAPTCHA alleen na toestemming mag worden gebruikt. Reden van CNIL, zover ik het begrijp: Het hulpmiddel is niet alleen bedoeld om dreigingen te voorkomen, maar verzamelt ook (onzin) vlijtig gegevens voor andere doeleinden.
Met Google reCAPTCHA worden gebruikers en hun gedrag op de website waar reCAPTCHA is geïntegreerd, uitvoerig onderzocht. En dat (in het vooruitzicht), om een mens beter van een robotprogramma te onderscheiden. Aangezien de reCAPTCHA code onder andere wordt geladen vanaf de domein google.com, krijgt het hulpmiddel automatisch toegang tot cookies, die voor aangemelde Google-gebruikers zijn ingesteld. Eén van de cookies heet NID en bevat een unieke gebruikerkenning, die ook wordt gebruikt door Google Signals, om zelfs over apparaten heen gebruikers weer te herkennen. In zoverre is het dan ook onbelangrijk voor de gegevensbescherming of reCAPTCHA (in bepaalde situaties) nog meer cookies instelt of niet.
Bovendien heeft reCAPTCHA ook toegang tot de domein gstatic.com. Zoals op Google-websites te lezen is, wordt deze domein ook door andere tools gebruikt. Hierdoor kunnen via deze domein potentiële cookies worden uitgewisseld.
Bij het oproepen van een enkel script van reCAPTCHA laat ik zien hoeveel cookies door reCAPTCHA worden gebruikt:
Bij het laden van Google reCAPTCHA worden 15 cookies overgedragen.
Resultaat van mijn test. De werkelijke hoeveelheid kan hoger of lager zijn, afhankelijk van de voorgaande reis via het internet.
Vanwege het aantal overgedragen cookies wordt het privacyprobleem met Google reCAPTCHA goed duidelijk. Zo erkent Google zelf dat niet alle cookies technisch noodzakelijk zijn: „Naast bepaalde standaardcookies van Google zet reCAPTCHA een noodzakelijk cookie (_GRECAPTCHA) in wanneer het wordt uitgevoerd, met als doel de risicoanalyse te bieden.“ (Bron: https://developers.google.com/recaptcha/docs/faq. Bijwerking: De zin is sindsdien lichtjes veranderd; de betekenis is gelijk gebleven). De standaardcookies van Google zijn bijvoorbeeld NID. NID is geschikt om de gebruiker te volgen, en dat voor marketingdoeleinden alsmede voor het opbouwen van profielen van gebruikers. Dit geeft Google zelf aan ("Sommige cookies dienen ertoe, de instellingen van een gebruiker op te slaan. In de browsers van de meeste gebruikers die Google-diensten gebruiken, is er bijvoorbeeld een cookie met de naam „NID“. Dit cookie bevat een unieke ID, waarin uw voorkeursinstellingen en andere informatie worden opgeslagen…", Bron: https://policies.google.com/technologies/cookies?hl=de=).
Uit dit volgt al een verplichting tot toestemming:
- Volgens een uitspraak van het Bundesgerichtshof over Planet 49 is § 15 lid 3 TMG conform te interpreteren met artikel 5 lid 3 ePrivacy Richtlijn. Het TMG ging in mei 2024 over naar DDG.
- Artikel 5 (3) van de richtlijn inzake elektronische communicatie vereist een toestemming als er wordt ingeslagen op informatie die op het eindapparaat van de gebruiker is opgeslagen en dit technisch niet noodzakelijk is. De toegang tot cookies kan worden bewezen. Technisch zijn deze niet noodzakelijk, alleen de schiere hoeveelheid aan cookies kan dit bewijzen. De cookies worden op grond van hun aantal en waarde ook voor marketingdoeleinden gebruikt. Het tegendeel zou moeilijk te bewijzen moeten zijn.
- De EGJ had in het Planet49-arrest vastgesteld dat het onbelangrijk is of de door cookies verzamelde gegevens persoonsgerelateerd zijn of niet.
- Vanaf december 2021 geldt § 25 TTDSG in Duitsland voor cookies
Als Google reCAPTCHA wordt gebruikt om vormen te beveiligen, dan valt een gerechtvaardigd belang al uit zichzelf weg omdat er talrijke effectieve alternatieven zijn die duidelijk vriendelijker voor de gegevensbescherming zijn. Het gerechtvaardigde belang is slechts het nagel onder de rechtsgronden, die de DSGVO in Artikel 6 lid 1 DSGVO benoemt. In ieder geval zou er bij formulieren met beveiliging door middel van Captchas ook rechtstreeks op het formulier een mogelijkheid moeten zijn om rechtstreeks een e-mail te schrijven.
Varianten
Er zijn meerdere varianten van reCAPTCHA https://developers.google.com/recaptcha/docs/versions:
De tot nu toe beschikbare Versie 2 is beschikbaar in een visuele en onzichtbare vorm.
ReCAPTCHA Versie 3
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
