Czy możliwa jest zgodna z prawem ochrony danych osobowych użycie Google reCAPTCHA?

Aktualizacja maj 2024: TTDSG przeszło w TDDDG. Reguluje dostęp do urządzeń końcowych, co jest istotne dla plików cookies.

Aktualizacja z 27.07.2023: Ramowy framework ochrony danych osobowych (DPF) między UE a USA jest w mocy. Umożliwia transfer danych do USA, jeśli wszystkie odbiorcy danych posiadają certyfikat DPF. Wątpliwe jest, czy umowa utrzyma się, ponieważ opiera się na niestabilnej Orderze wykonawczej. Bez względu na to, istnieją inne powody przeciwko użyciu Google reCAPTCHA (zobacz wpis).

Aktualizacja z 16.05.2023: Centrum Konsumentów uzyskało wyrok przeciwko Telekomu. Sąd orzekł, że przesyłanie danych do Google w USA jest dopuszczalne tylko pod bardzo szczególnymi warunkami.

Aktualizacja z 12.04.2022: Francuska inspekcja ochrony danych CNIL potwierdziła, co już dawno powinno być znane: Google reCAPTCHA może być używany tylko po wyrażeniu zgody. Wytłumaczenie CNIL, w miarę jak yes je rozumiem: Narzędzie to nie jest jedynie przeznaczone do zapobiegania zagrodom, ale również gromadzi (niepotrzebne) dane do innych celów.

Z pomocą Google reCAPTCHA użytkownicy i ich zachowania na stronie, gdzie jest włączony reCAPTCHA, są głęboko analizowani. A mianowicie (przede wszystkim), aby lepiej rozróżnić człowieka od programu robota. Ponieważ kod reCAPTCHA jest ładowany z domeny google.com, narzędzie automatycznie uzyskuje dostęp do plików cookie, które są ustawiane dla zalogowanych użytkowników Google. Jednym z plików cookie jest NID i zawiera unikalną identyfikację użytkownika, która również jest używana przez Google Signals, aby nawet w przypadku różnych urządzeń rozpoznać użytkownika. W związku z tym jest prawie nieistotne, czy reCAPTCHA (w konkretnych sytuacjach) ustawia dodatkowe pliki cookie lub nie.

Dodatkowo reCAPTCHA korzysta również z domeny gstatic.com. Jak można przeczytać na stronach Google, ta sama domena jest wykorzystywana przez inne narzędzia. W ten sposób poprzez tę domenę mogą być wymieniane pliki cookie.

Po wezwaniu jednego skryptu od reCAPTCHA pokazuję wyciąg z tego, jak wiele plików cookie są używane przez reCAPTCHA:

Z powodu liczby przesyłanych plików cookies problem ochrony danych osobowych związany jest z Google reCAPTCHA w sposób całkiem dobry. Jak sam Google przyznaje, nie wszystkie pliki cookies są technicznie niezbędne: „ Oprócz pewnych standardowych plików cookies Google, reCAPTCHA ustawia niezbędny plik cookie (_GRECAPTCHA) podczas jego wykonania w celu zapewnienia analizy ryzyka.“ (Źródło: https://developers.google.com/recaptcha/docs/faq. Aktualizacja: Tekst ten został już lekko zmieniony; znaczenie pozostało to samo). Standardowe pliki cookies Google są takie jak NID. NID jest odpowiedni do śledzenia użytkownika, zarówno dla celów marketingowych, jak i tworzenia profili użytkowników. To sam Google przyznaje ("Niektóre pliki cookies służą do przechowywania ustawień użytkownika. W przeglądarkach większości użytkowników korzystających z usług Google znajduje się np. plik cookie o nazwie „NID“. Ten plik cookie zawiera unikalną ID, która przechowuje preferowane ustawienia i inne informacje…", Źródło: https://policies.google.com/technologies/cookies?hl=de=).

Z tego wynika już obowiązek zgody:

• Zgodnie z orzeczeniem BGH dotyczącym Planet 49 jest § 15 ust. 3 TMG zgodne z art. 5 ust. 3 dyrektywy ePrivacy, należy je interpretować. TMG zostało w maju 2024 roku przejęte przez DDG.
• Art. 5 (3) dyrektywy ePrivacy wymaga zgody, jeśli dostęp jest uzyskiwany do informacji przechowywanych w urządzeniu użytkownika i nie jest to technicznie konieczne. Dostęp do plików cookies został udowodniony. Technicznie są one niezbędne, jedynie ogromna ich liczba może to potwierdzać. Pliki cookies są wykorzystywane również z powodu ich wartości i ilości dla celów marketingowych. Przeciwnego dowodzenia być powinno trudne.
• Sąd Najwyższy Unii Europejskiej w wyroku Planet49 stwierdził, że nie ma znaczenia, czy dane zebrane za pomocą plików cookies są osobiste czy nie.
• Od grudnia 2021 roku obowiązuje w Niemczech § 25 TTDSG dla plików cookie

Jeśli Google reCAPTCHA jest używany do zabezpieczania formularzy, to już samo to wyklucza prawo do ochrony własnych interesów z powodu istnienia wielu skutecznych alternatyw, które są znacznie bardziej przyjazne dla ochrony danych. Prawo do ochrony własnych interesów jest jedynie ostrożnością wśród podstawowych przepisów prawa, które DSGVO określa w Art. 6 ust. 1 DSGVO. Co najmniej powinno być możliwe, aby przy formularzach zabezpieczonych przez Captchy nieprzyjazne do danych, również bezpośrednio na formularzu dostępna była opcja wysłania maili.

Warianty

Jasne, istnieją różne warianty reCAPTCHI:

Poprzednia wersja 2 jest dostępna w dwóch postaciach: wizualnej i niewidzialnej.

Wersja reCAPTCHA nr 3 jest zawsze niewidoczny lub tworzy dla aktualnego użytkownika wartość Score. Z tym score można ustalić, czy na stronie działa człowiek czy robot.

Warunki korzystania

Do korzystania z Google reCAPTCHA należy zaakceptować warunki użytkowania, które m.in. mówią o następującym: „Potwierdzacie i akceptujecie, że działanie API reCAPTCHA opiera się na pobieraniu i wysyłaniu do Google informacji związanych z sprzętem i oprogramowaniem, np. danych urządzenia i aplikacji.“ oraz „Dla użytkowników w Unii Europejskiej musisz spełnić directive dotyczącą zgody użytkownika i Twoje API-Clients powinny odpowiadać tej Richtlinii.“ (nadrukowanie kursywy dodane, link z źródła usunięty).

Użycie Google reCAPTCHA bez zgody wydaje się trudne do obrony i jest zgodnie z warunkami korzystania z Google31 nawet zabronione. Warunki korzystania są tam następująco podane:

• Warunki korzystania z API Google
• Warunki korzystania z Google
• Warunki korzystania z reCAPTCHA:

Potwierdzają i przyjmują do wiadomości, że działanie API reCAPTCHA opiera się na pobieraniu i wysyłaniu informacji o sprzęcie i oprogramowaniu, np. danych urządzenia i aplikacji, w celu analizy do Google. Informacje pozyskane podczas korzystania z usług są wykorzystywane do poprawy reCAPTCHA oraz ogólnej bezpieczeństwa. Nie będą one wykorzystywane przez Google do personalizowanej reklamy. Zgodnie z punktem 3(d) warunków korzystania z API Google, potwierdzają Państwo, że przy użyciu API są odpowiedzialni za dostarczenie wymaganych informacji lub zgody na pobieranie i przesyłanie tych danych do Google. W przypadku użytkowników w Unii Europejskiej muszą Państwo spełniać Dyrektywę dotyczącą zgody użytkownika. Ich klienci API muszą być zgodni z tymi dyrektywami. Korzystanie przez Pana z reCAPTCHA podlega pewnym ograniczeniom w odniesieniu do wywołań. Google zastrzega sobie prawo do nakładania tychże ograniczeń poprzez wszystkie ograniczenia w odniesieniu do wywołań lub działania opisane w warunkach korzystania.

Źródło: https://www.google.com/recaptcha/admin/create

Wiele sukcesów przy czytaniu, zrozumieniu i przestrzeganiu tych kompleksowych warunków. Warte przeczytania jest wytyczne dotyczące zgody użytkowników UE od strony Google. Jeśli ktoś trzeci będzie żądał informacji, to może to spowodować skomplikowany proces.

Możę zatem tylko zalecać unikanie użycia Google reCAPTCHA, ponieważ wymaga się zgody i prawidłowe uzyskanie jej jest praktycznie niemożliwe.

Alternatywy

Dla WordPressa i popularnego formularza kontaktowego Contact Form 7 istnieje z Contact Form 7 Image Captcha przyjazna dla użytkownika oraz chroniąca prywatność wersja.

Niemal każdy serwer wspiera php <?php class Solution { public $ans; function getSum($a, $b) { if ($a == 0) return $b; return $this->getSum($a >> 1, $b << 1) + (($a & 1) ^ ($b & 1) ? 1: 0); $solution = new Solution(); print($solution->getSum(12345, 67890)). Z pomocą PHP można łatwo utworzyć Captchę. Oto przykład w PHP, który wydaje tekst jako obraz.

<?php
$img = imagecreatetruecolor(300, 80);
$text\_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text\_color);
$x=imagejpeg($img,"test1.jpg");
imagedestroy($img);

Innym przykładzie PHP pokazano jak można proste obliczenia wykorzystać jako zapytanie.

Ganz einfach geht es, wenn eine Rechenaufgabe als gewöhnliches Eingabefeld ausgeprägt is. Beispielsweise könnte die Frage are: „Jak dużo to jest, jeśli z 17 odejmujemy 3“. Jako odpowiedź byłaby dopuszczalna: „14“ lub „czternaście“. Odpowiedź mogłaby być sprawdzona za pomocą prostego skryptu JavaScript. reCAPTCHA wymaga jednak pewnych umiejętności programistycznych i także prawnych umiejętności.

Innym artykule opisano alternatywy dla często używanych narzędzi Google.

Jeśli agencja domaga się użycia reCAPTCHA, proszę o Odpowiedzialność za szkodę i zobaczcie, co się stanie. Jeśli agencja uważa, że nie ma innej możliwości rozwiązania, proście o wskazanie kogoś, kto może pomóc tej agencji za pieniądz. Jeśli ktoś sugeruje reCAPTCHA, powinien znać podstawowe warunki prawne.

Jak często na stronach internetowych istnieją lepsze alternatywy dla oczywistych możliwości, które mogą funkcjonować tak samo jak popularne rozwiązania. W przeciwieństwie do usług Google lub innych znanych podejrzeń, oferujące opcje bezpieczne odnośnie danych zapewniają wysoką pewność prawną i często maksymalną samowystarczalność. Kto chciałby być zależny od jednego koncernu? Ja nie. Dlatego też polecam również, aby używać aplikacji Google jak najmniej. To zaczyna się od urządzeń mobilnych, dla których dostępne są także urządzenia bez-Google, takie jak Fairphone, oparte na Androidzie. Następuje to wraz ze szukaniem maszyn, które nie pochodzą ani od Microsoftu, ani od Google. Przykładami mogą być Ecosia, DuckDuckGo i Startpage. Wyniki są bardzo dobre i głód danych jest znacznie mniejszy niż u amerykańskich koncernów internetowych. Jeśli jednak chcielibyście oddać swoje dane amerykańskim służbom specjalnym, to nadal używajcie Google & Co. (które zgadza się ze sobą samymi, że są wykorzystywane przez amerykańskie władze, takie jak FBI).