Uppdatering Maj 2024: TTDSG gick över till TDDDG. Den reglerar åtkomsten till slutanordningar, vilket är viktigt för cookies.
Uppdatering från 27.07.2023: Dataskyddsförordningen mellan EU och USA är i kraft. Den tillåter datatransfer till USA, om alla datamottagare har certifierats enligt förordningen. Det är tveksamt om avtalet kommer att hålla, eftersom det bygger på en svag executiv order. Oavsett detta finns det ytterligare skäl mot att använda Google reCAPTCHA (se artikel).
Uppdatering från 16.05.2023: Konsumentverket har vunnit ett dom mot Telekom. Domstolen säger att överföringen av data till Google i USA bara är tillåten inom mycket strikta gränser.
Uppdatering från 12.04.2022: Den franska dataskyddsförvaltningen CNIL har på grund av en klagan bekräftat vad som redan borde ha varit känt: att Google reCAPTCHA bara får användas efter samtycke. CNIL:s motivering, såvitt jag förstått den: Verktyget är inte bara tänkt för att förebygga faror, utan samlar också (oavsiktligt) data till andra ändamål.
Med hjälp av Google reCAPTCHA analyseras användare och deras beteende på webbplatsen där reCAPTCHA är inlagd, djupgående. Och det (i första hand), för att kunna skilja mellan en människa och ett robotprogram bättre. Eftersom reCAPTCHA-koden bland annat hämtas från domänen google.com, får verktyget automatiskt tillgång till cookies, som satts av angivna Google-användare. Ett av cookies heter NID och innehåller en unik användarkänsla, som också används för att igenkänna användare över enheter med hjälp av Google Signals. I detta sammanhang är det nästan ointressant från ett dataskyddsperspektiv om reCAPTCHA (situationellt) sätter ytterligare cookies eller inte.
Utöver det, så använder reCAPTCHA också domänen gstatic.com. Enligt Google-webbsidor används denna domän även av andra verktyg. Således kan via denna domän potentiellt cookies bytas ut.
När jag kallar upp ett enda skript från reCAPTCHA visas utdrag av hur många kakor som används av reCAPTCHA:
När man hämtar Google reCAPTCHA överförs 15 kakor.
Resultatet från mina tester. Den faktiska antalet kan vara högre eller lägre beroende på tidigare resor via internet.
På grund av antalet överförda kakor blir problemet med integriteten hos Google reCAPTCHA ganska tydligt. Som Google själva erkänner är inte alla kakor tekniskt nödvändiga: „Utöver vissa standardkakor från Google sätter reCAPTCHA en nödvändig kaka (_GRECAPTCHA) när den har genomförts för att tillhandahålla sin riskanalys.“ (Källa: https://developers.google.com/recaptcha/docs/faq. Uppdatering: Men meningen har språkligt sett ändrats lite; betydelsen är fortfarande densamma). De standardkakorna från Google är kakor som till exempel NID. NID är lämplig för att spåra användaren, och det gäller både marknadsföringsändamål och skapandet av användarprofiler. Detta erkänner Google själva ("Vissa kakor tjänar till att spara inläggningar från en användare. I webbläsarna hos de flesta användare som använder Googles tjänster finns det till exempel ett kaka namngivet „NID“. Detta kaka innehåller en unik ID, med vilken dina föredragna inställningar och andra uppgifter sparas…", Källa: https://policies.google.com/technologies/cookies?hl=de=).
Redan här följer en förpliktelse att samtycka till:
- Enligt domstolens avgörande i Planet 49 är § 15 punkt 3 TMG enligt artikel 5 punkt 3 ePrivacy-förordningen att tolka på ett visst sätt. TMG gick över till DDG i maj 2024.
- Artikel 5 (3) i ePrivacy-förordningen kräver samtycke, om man påträffar informationer som lagras i användarens enhet och detta är tekniskt inte nödvändigt. Tillgången till cookies har bevisats. Tekniskt sett är dessa inte nödvändiga, och enbart antalet cookies kan bevisa detta. Cookies används också för marknadsföringsändamål på grund av deras antal och värdeuttryck. Det skulle vara svårt att bevisa motsatsen.
- EU-domstolen hade i domen Planet49 fastställt att det är ointressant om de genom cookies inhämtade uppgifterna är personuppgifter eller inte.
- Från december 2021 gäller § 25 TTDSG i Tyskland för cookies
Om Google reCAPTCHA används för att Formulär ska säkerställas, så utgår ett berechtigat intresse redan därmed eftersom det finns många effektiva alternativ som är betydligt mer dataskyddsvänliga. Detta berechtigade intresse är bara den Notnagel under de rättsliga grunderna som DSGVO anger i Artikel 6 §1 DSGVO. Åtminstone borde det vid formulär som säkerställs med dataskyddsskämda Captchas också finnas en möjlighet att direkt skriva ett e-postmeddelande direkt på formuläret.
Varianter
Enligt https://developers.google.com/recaptcha/docs/versions finns det flera varianter av reCAPTCHA:
Den tidigare Version 2 finns tillgänglig i en synlig och en osynlig utformning.
reCAPTCHA Version 3 är alltid osynlig eller skapar för den aktuella användaren en Score-värde. Med detta score kan den uppkallade webbplatsen bestämma om det är en mänsklig besökare eller en robot som kunde vara på plats.
Användarvillkor
För att använda Google reCAPTCHA måste användarvillkoren accepteras, som bl.a. säger följande: „Ni bekräftar och godkänner att funktionen hos reCAPTCHA API beror på att information om hårdvara och mjukvara, t.ex. enhets- och programdata, samlas in och skickas till Google för analytiska ändamål.“ samt „För användare i Europeiska unionen måste ni följa EU-användarådagivning och era API-klienter måste följa denna direktiv..
En användning av Google reCAPTCHA utan medgivande synes knappt hållbart och är enligt Googles villkor 31 till och med förbjuden. Villkoren anges där i flera delar så här:
- Användarvillkor för Googles API:er
- Användarvillkor för Google
- Användarvillkor för reCAPTCHA:
De bekräftar och godkänner att funktionssättningen av reCAPTCHA API beror på att information om hårdvara och mjukvara, t.ex. enhets- och programdata, samlas in och skickas till Google för analytiska ändamål. Informationen som samlas in vid användning av tjänsten används för att förbättra reCAPTCHA och allmänt säkerhet. Informationen kommer inte från Google att användas för personanpassad annonsering. Enligt artikel 3(d) i villkoren för Googles API:s uttrycker du dig tillfredsställelse med att du vid användning av API:erna är ansvarig för att se till att de nödvändiga anvisningarna eller samtyckena för insamling och överföring av dessa data till Google finns tillgängliga respektive inhämtas. För användare i Europeiska unionen måste du uppfylla direktivet om EU-användar samtycke. Din API-klienter måste följa denna direktiv. Dina användning av reCAPTCHA underkastas vissa begränsningar vid anrop. Google förbehåller sig rätten att med ensamrätt tvinga dessa begränsningar genom alla de åtgärder som beskrivs i begränsningar vid anrop eller i dessa villkor.
Källa: https://www.google.com/recaptcha/admin/create
Mycket lyckades med att läsa, förstå och följa dessa komplexa villkor. Läsbar är direktiven till EU-användaracceptansen av Google. Skulle en tredje part begära information, då kunde detta utlösa ett komplext förfarande.
Jag kan därför bara rekommendera att inte använda Google reCAPTCHA, eftersom en samtycke är nödvändig och det är svårt att få ett rättsligt giltigt svar.
Alternativ
För WordPress och det populära Contact Form 7 kontaktformuläret finns med Contact Form 7 Image Captcha en användarvänlig och dataskyddsvänlig variant.
Nästan varje server stöder Källkoden. Med PHP kan en Captcha skapas på relativt enkel väg. Här är ett exempel i PHP som utskriver en text som bild.
<?php $img = imagecreatetruecolor(300, 80); $text\_color = imagecolorallocate($img, 233, 200, 200); imagestring($img, 2, 1, 1, 'Datenschutz hilft', $text\_color); $x=imagejpeg($img,"test1.jpg"); imagedestroy($img);
Ett annat PHP-exempel visar hur man kan använda enkla beräkningar som fråga .
Det går helt enkelt till, om en matteuppgift är utformad som ett vanligt inmatningsfält. Till exempel kunde frågan lyda: "Hur mycket är sjuende mindre tre". Som svar skulle vara tillåtet: "fyrtioett" eller "14". Svaret kunde kontrolleras med en enkel JavaScript-funktion. reCAPTCHA kräver å andra sidan också viss Entwicklerkenntnisse och även rechtliche Kenntnisse.
En ytterligare artikel beskriver alternativ till vanligt använda Google-verktyg.
Om en byrå kräver användning av reCAPTCHA, begär ni då att de tar Haftningsöverföring och se vad som händer. Om byrån tror att det inte är möjligt att hitta någon annan lösning, föreslå ni då att någon känner till någon som kan hjälpa dem med detta omöjliga problem på en kostnadsfri basis. När någon föreslår reCAPTCHA bör den personen vara bekant med de grundläggande rättsliga villkoren.
Som så ofta på webbplatser finns det för de uppenbart kända möjligheterna oftast bättre alternativ som kan mäta sig med platskillningarna i funktionellt hänseende. I motsats till Googles tjänster eller andra kända misstänkta erbjuder dataskyddsvänliga alternativ en hög rättsäkerhet och ofta maximal självständighet. Vem vill vara beroende av enskilda koncerner? Jag inte. Därför rekommenderar jag också att man använder Google-användningar så lite som möjligt. Det börjar med det mobila enheten, för vilket även "ent-Google-te" enheter som Fairphone på Android-bas finns tillgängliga. Det fortsätter vid sökmotorer som inte kommer från Microsoft eller Google. Ecosia, DuckDuckGo och Startpage kan nämnas som exempel. Resultaten är mycket bra och datadriften är inte eller betydligt mindre närvarande än hos amerikanska internetkoncerner. Om du dock hellre vill överlämna dina data till amerikanska underrättelsetjänster, så använd sedan Google & Co (vilket de själva medger att de utsätts för utredning av amerikanska myndigheter, som FBI).
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
