Drücke „Enter”, um zum Inhalt zu springen.

Google reCAPTCHA: DSGVO-konform nutzbar?

4
Roboter, Mech, Maschine, Technologie, Städtischen, Ai
Erkennung von Robotern und SPAM mit Google reCAPTCHA (Bildlizenz: CC0)

Mit Google reCAPTCHA werden Nutzer und deren Verhalten auf der Webseite, wo reCAPTCHA eingebunden ist, ausgesprochen tiefgehend analysiert. Und zwar (vordergründig), um einen Menschen besser von einem Roboterprogramm unterscheiden zu können. Da der reCAPTCHA Code u.a. von der Domäne google.com geladen wird, erhält das Tool automatisch Zugang zu Cookies, die für angemeldete Google Nutzer gesetzt werden. Eines der Cookies heißt NID und enthält eine eindeutige Nutzerkennung, die auch für Google Signals verwendet wird, um sogar geräteübergreifend Nutzer wiedererkennen zu können. Insofern ist es unerheblich, ob reCAPTCHA (situativ) weitere Cookies setzt oder nicht.

Zusätzlich greift reCAPTCHA auch auf die Domäne gstatic.com zu. Wie auf Google Webseiten nachzulesen, wird diese Domäne auch von anderen Tools verwendet. Somit können über diese Domäne potentiell Cookies ausgetauscht werden.

Am Abruf eines einzigen Scripts von reCAPTCHA zeige ich „kurz“ auszugsweise, wie viele Cookies von reCAPTCHA genutzt werden:

Cookies, auf die beim Abruf von Google reCAPTCHA zugegriffen wird

Aufgrund der Anzahl an übertragenen Cookies wird das Datenschutzproblem mit Google reCAPTCHA sicher ganz gut deutlich.

Hieraus bereits ergibt sich eine Einwilligungspflicht:

  • Art. 5 (3) der ePrivacy-Richtlinie fordert eine Einwilligung, wenn auf Informationen, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Der Zugriff auf Cookies ist bewiesen. Technisch sind diese nicht notwendig, alleine die schiere Anzahl an Cookies kann dies beweisen.
  • Die ePrivacy Richtlinie gilt für Deutschland, wie der BGH in seinem Planet49-Urteil im Jahr 2020 festgestellt hat.
  • Der EuGH hatte im Planet49-Urteil festgestellt, dass es unerheblich ist, ob die durch Cookies erhobenen Daten personenbezogen sind oder nicht.

Varianten

Laut https://developers.google.com/recaptcha/docs/versions gibt es mehrere Varianten von reCAPTCHA:

reCAPTCHA Varianten gemäß Google (Screenshot)

Die bisherige Version 2 steht in einer visuellen und einer unsichtbaren Ausprägung zur verfügung.

reCAPTCHA Version 3 ist immer unsichtbar bzw. erstellt für den aktuellen Nutzer einen Score-Wert. Mit diesem Score kann die aufgerufene Webseite feststellen, ob es sich um einen menschlichen Besucher oder um einen Roboter handeln könnte.

Nutzungsbedingungen

Zur Nutzung von Google reCAPTCHA müssen die Nutzungsbedingungen akzeptiert werden, die u.a. folgendes besagen[1]: „Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden.“ sowie „Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen.“ (Fettdruck hinzugefügt, Link aus der Quelle entfernt).

Ein Einsatz von Google reCAPTCHA ohne Einwilligung erscheint demnach kaum haltbar und ist gemäß Google Nutzungsbedingungen31 sogar untersagt. Die Nutzungsbedingungen sind dort wie folgt in mehreren Teilen angegeben:

Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden. Die bei der Verwendung des Dienstes erhobenen Informationen werden zur Verbesserung von reCAPTCHA und für die allgemeine Sicherheit verwendet. Sie werden von Google nicht für personalisierte Werbung genutzt. Gemäß Abschnitt 3(d) der Nutzungsbedingungen für Google APIs erklären Sie sich damit einverstanden, dass Sie bei Verwendung der APIs dafür verantwortlich sind, die erforderlichen Hinweise oder Einwilligungen zur Erhebung und Weitergabe dieser Daten für Google bereitzustellen bzw. einzuholen. Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen. Ihre Verwendung von reCAPTCHA unterliegt bestimmten Beschränkungen bei Aufrufen. Google behält sich das Recht vor, diese Beschränkungen nach alleinigem Ermessen durch sämtliche unter Beschränkungen bei Aufrufen oder in diesen Nutzungsbedingungen beschriebenen Maßnahmen zu erzwingen.

Quelle: https://www.google.com/recaptcha/admin/create

Viel Spaß beim Lesen, Verstehen und Einhalten dieser komplexen Bedingungen. Lesenswert ist die Richtlinie zur EU-Nutzereinwilligung von Google. Sollte ein Dritter Auskunft begehren, dann ebenfalls viel Spaß beim Rechtfertigen.

Ich kann daher nur vom Einsatz von Google reCAPTCHA abraten, da eine Einwilligung erforderlich ist und rechtssicher kaum eingeholt werden kann.

Alternativen

Für WordPress und das beliebte Contact Form 7 Kontaktformular gibt es mit Contact Form 7 Image Captcha eine nutzerfreundliche und datenschutzfreundliche Variante.

Nahezu jeder Server unterstützt PHP. Mit PHP kann auf recht einfache Weise ein Captcha erstellt werden. Hier ist ein Beispiel zu finden, das einen Text als Bild ausgibt.

Ein anderes PHP Beispiel zeigt, wie man einfache Rechenaufgaben als Abfrage nutzen kann.

Ein weiterer Beitrag beschreibt Alternativen für häufig verwendete Google Tools.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-recaptcha
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.