Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google reCAPTCHA: ist eine datenschutzkonforme Nutzung möglich?

4

Mit Google reCAPTCHA werden Nutzer und deren Verhalten auf der Webseite, wo reCAPTCHA eingebunden ist, ausgesprochen tiefgehend analysiert. Und zwar (vordergründig), um einen Menschen besser von einem Roboterprogramm unterscheiden zu können. Da der reCAPTCHA Code u.a. von der Domäne google.com geladen wird, erhält das Tool automatisch Zugang zu Cookies, die für angemeldete Google Nutzer gesetzt werden. Eines der Cookies heißt NID und enthält eine eindeutige Nutzerkennung, die auch für Google Signals verwendet wird, um sogar geräteübergreifend Nutzer wiedererkennen zu können. Insofern ist es unerheblich, ob reCAPTCHA (situativ) weitere Cookies setzt oder nicht.

Zusätzlich greift reCAPTCHA auch auf die Domäne gstatic.com zu. Wie auf Google Webseiten nachzulesen, wird diese Domäne auch von anderen Tools verwendet. Somit können über diese Domäne potentiell Cookies ausgetauscht werden.

Am Abruf eines einzigen Scripts von reCAPTCHA zeige ich “kurz” auszugsweise, wie viele Cookies von reCAPTCHA genutzt werden:

Cookies, auf die beim Abruf von Google reCAPTCHA zugegriffen wird

Beim Abruf von Google reCAPTCHA werden 15 Cookies übertragen.

Ergebnis meines Tests. Die tatsächliche Anzahl kann höher oder niedriger sein, je nach voriger Reise durch das Internet

Aufgrund der Anzahl an übertragenen Cookies wird das Datenschutzproblem mit Google reCAPTCHA ganz gut deutlich. Wie Google selbst zugibt, sind nicht alle Cookies technisch notwendig: “In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.” (Quelle: https://developers.google.com/recaptcha/docs/faq). Die Standard-Cookies von Google sind solche wie NID. NID ist dazu geeignet, den Nutzer nachzuverfolgen, und zwar sowohl für Marketing-Zwecke als auch für die Bildung von Nutzerprofilen. Dies gibt Google selbst zu (“Manche Cookies dienen dazu, die Einstellungen eines Nutzers zu speichern. In den Browsern der meisten Nutzer, die Google-Dienste verwenden, gibt es beispielsweise ein Cookie namens „NID“. Dieses Cookie enthält eine eindeutige ID, über die Ihre bevorzugten Einstellungen und andere Informationen gespeichert werden…“, Quelle: https://policies.google.com/technologies/cookies?hl=de=).

Hieraus bereits ergibt sich eine Einwilligungspflicht:

  • Gemäß BGH-Urteils zu Planet 49 ist § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen.
  • Art. 5 (3) der ePrivacy-Richtlinie fordert eine Einwilligung, wenn auf Informationen, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Der Zugriff auf Cookies ist bewiesen. Technisch sind diese nicht notwendig, alleine die schiere Anzahl an Cookies kann dies beweisen. Die Cookies werden aufgrund Ihrer Anzahl und Wertausprägungen auch für Marketing-Zwecke verwendet. Das Gegenteil zu beweisen dürfte schwierig werden.
  • Der EuGH hatte im Planet49-Urteil festgestellt, dass es unerheblich ist, ob die durch Cookies erhobenen Daten personenbezogen sind oder nicht.

Wenn Google reCAPTCHA verwendet wird, um Formulare abzusichern, dann scheidet ein berechtigtes Interesse schon alleine deshalb aus, weil es zahlreiche wirkungsvolle Alternativen gibt, die deutlich datenschutzfreundlicher sind.

Varianten

Laut https://developers.google.com/recaptcha/docs/versions gibt es mehrere Varianten von reCAPTCHA:

reCAPTCHA Varianten gemäß Google (Screenshot)

Die bisherige Version 2 steht in einer visuellen und einer unsichtbaren Ausprägung zur verfügung.

reCAPTCHA Version 3 ist immer unsichtbar bzw. erstellt für den aktuellen Nutzer einen Score-Wert. Mit diesem Score kann die aufgerufene Webseite feststellen, ob es sich um einen menschlichen Besucher oder um einen Roboter handeln könnte.

Nutzungsbedingungen

Zur Nutzung von Google reCAPTCHA müssen die Nutzungsbedingungen akzeptiert werden, die u.a. folgendes besagen[1]: „Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden.“ sowie „Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen.“ (Fettdruck hinzugefügt, Link aus der Quelle entfernt).

Ein Einsatz von Google reCAPTCHA ohne Einwilligung erscheint demnach kaum haltbar und ist gemäß Google Nutzungsbedingungen31 sogar untersagt. Die Nutzungsbedingungen sind dort wie folgt in mehreren Teilen angegeben:

Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden. Die bei der Verwendung des Dienstes erhobenen Informationen werden zur Verbesserung von reCAPTCHA und für die allgemeine Sicherheit verwendet. Sie werden von Google nicht für personalisierte Werbung genutzt. Gemäß Abschnitt 3(d) der Nutzungsbedingungen für Google APIs erklären Sie sich damit einverstanden, dass Sie bei Verwendung der APIs dafür verantwortlich sind, die erforderlichen Hinweise oder Einwilligungen zur Erhebung und Weitergabe dieser Daten für Google bereitzustellen bzw. einzuholen. Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen. Ihre Verwendung von reCAPTCHA unterliegt bestimmten Beschränkungen bei Aufrufen. Google behält sich das Recht vor, diese Beschränkungen nach alleinigem Ermessen durch sämtliche unter Beschränkungen bei Aufrufen oder in diesen Nutzungsbedingungen beschriebenen Maßnahmen zu erzwingen.

Quelle: https://www.google.com/recaptcha/admin/create

Viel Spaß beim Lesen, Verstehen und Einhalten dieser komplexen Bedingungen. Lesenswert ist die Richtlinie zur EU-Nutzereinwilligung von Google. Sollte ein Dritter Auskunft begehren, dann ebenfalls viel Spaß beim Rechtfertigen.

Ich kann daher nur vom Einsatz von Google reCAPTCHA abraten, da eine Einwilligung erforderlich ist und rechtssicher kaum eingeholt werden kann.

Alternativen

Für WordPress und das beliebte Contact Form 7 Kontaktformular gibt es mit Contact Form 7 Image Captcha eine nutzerfreundliche und datenschutzfreundliche Variante.

Nahezu jeder Server unterstützt PHP. Mit PHP kann auf recht einfache Weise ein Captcha erstellt werden. Hier ist ein Beispiel zu finden, das einen Text als Bild ausgibt.

Ein anderes PHP Beispiel zeigt, wie man einfache Rechenaufgaben als Abfrage nutzen kann.

Ein weiterer Beitrag beschreibt Alternativen für häufig verwendete Google Tools.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-recaptcha
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

SoundCloud Audio Player: Integration auf Webseiten datenschutzkonform möglich?