Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google reCAPTCHA: ist eine datenschutzkonforme Nutzung möglich?

Veröffentlicht am 4. Januar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 20. April 2022
4
Roboter, Mech, Maschine, Technologie, Städtischen, Ai

Kategorien: Datenschutz

Update vom 12.04.2022: Die französische Datenschutzaufsicht CNIL hat aufgrund einer Beschwerde bestätigt, was schon lange bekannt hätte sein müssen: Dass nämlich Google reCAPTCHA erst nach Einwilligung genutzt werden darf. Begründung von CNIL, soweit ich es verstanden habe: Das Tool sei nicht nur zur Gefahrenabwehr gedacht, sondern sammle auch (unnötigerweise) fleißig Daten zu anderen Zwecken.

Mit Google reCAPTCHA werden Nutzer und deren Verhalten auf der Webseite, wo reCAPTCHA eingebunden ist, ausgesprochen tiefgehend analysiert. Und zwar (vordergründig), um einen Menschen besser von einem Roboterprogramm unterscheiden zu können. Da der reCAPTCHA Code u. a. von der Domäne google.com geladen wird, erhält das Tool automatisch Zugang zu Cookies, die für angemeldete Google Nutzer gesetzt werden. Eines der Cookies heißt NID und enthält eine eindeutige Nutzerkennung, die auch für Google Signals verwendet wird, um sogar geräteübergreifend Nutzer wiedererkennen zu können. Insofern ist es datenschutzrechtlich fast unerheblich, ob reCAPTCHA (situativ) weitere Cookies setzt oder nicht.

Zusätzlich greift reCAPTCHA auch auf die Domäne gstatic.com zu. Wie auf Google Webseiten nachzulesen, wird diese Domäne auch von anderen Tools verwendet. Somit können über diese Domäne potentiell Cookies ausgetauscht werden.

Am Abruf eines einzigen Scripts von reCAPTCHA zeige ich auszugsweise, wie viele Cookies von reCAPTCHA genutzt werden:

Cookies, auf die beim Abruf von Google reCAPTCHA zugegriffen wird.

Beim Abruf von Google reCAPTCHA werden 15 Cookies übertragen.

Ergebnis meines Tests. Die tatsächliche Anzahl kann höher oder niedriger sein, je nach voriger Reise durch das Internet.

Aufgrund der Anzahl an übertragenen Cookies wird das Datenschutzproblem mit Google reCAPTCHA ganz gut deutlich. Wie Google selbst zugibt, sind nicht alle Cookies technisch notwendig: „In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.“ (Quelle: https://developers.google.com/recaptcha/docs/faq. Update: Der Satz hat sich sprachlich mittlerweile leicht geändert; die Bedeutung ist gleich geblieben). Die Standard-Cookies von Google sind solche wie NID. NID ist dazu geeignet, den Nutzer nachzuverfolgen, und zwar sowohl für Marketing-Zwecke als auch für die Bildung von Nutzerprofilen. Dies gibt Google selbst zu ("Manche Cookies dienen dazu, die Einstellungen eines Nutzers zu speichern. In den Browsern der meisten Nutzer, die Google-Dienste verwenden, gibt es beispielsweise ein Cookie namens „NID“. Dieses Cookie enthält eine eindeutige ID, über die Ihre bevorzugten Einstellungen und andere Informationen gespeichert werden…", Quelle: https://policies.google.com/technologies/cookies?hl=de=).

Hieraus bereits ergibt sich eine Einwilligungspflicht:

  • Gemäß BGH-Urteils zu Planet 49 ist § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen.
  • Art. 5 (3) der ePrivacy-Richtlinie fordert eine Einwilligung, wenn auf Informationen, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Der Zugriff auf Cookies ist bewiesen. Technisch sind diese nicht notwendig, alleine die schiere Anzahl an Cookies kann dies beweisen. Die Cookies werden aufgrund Ihrer Anzahl und Wertausprägungen auch für Marketing-Zwecke verwendet. Das Gegenteil zu beweisen dürfte schwierig werden.
  • Der EuGH hatte im Planet49-Urteil festgestellt, dass es unerheblich ist, ob die durch Cookies erhobenen Daten personenbezogen sind oder nicht.
  • Ab Dezember 2021 gilt § 25 TTDSG in Deutschland für Cookies

Wenn Google reCAPTCHA verwendet wird, um Formulare abzusichern, dann scheidet ein berechtigtes Interesse schon alleine deshalb aus, weil es zahlreiche wirkungsvolle Alternativen gibt, die deutlich datenschutzfreundlicher sind.

Varianten

Laut https://developers.google.com/recaptcha/docs/versions gibt es mehrere Varianten von reCAPTCHA:

reCAPTCHA Varianten gemäß Google (Screenshot)

Die bisherige Version 2 steht in einer visuellen und einer unsichtbaren Ausprägung zur Verfügung.

reCAPTCHA Version 3 ist immer unsichtbar bzw. erstellt für den aktuellen Nutzer einen Score-Wert. Mit diesem Score kann die aufgerufene Webseite feststellen, ob es sich um einen menschlichen Besucher oder um einen Roboter handeln könnte.

Nutzungsbedingungen

Zur Nutzung von Google reCAPTCHA müssen die Nutzungsbedingungen akzeptiert werden, die u. a. folgendes besagen[1]: „Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden.“ sowie „Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen.“ (Fettdruck hinzugefügt, Link aus der Quelle entfernt).

Ein Einsatz von Google reCAPTCHA ohne Einwilligung erscheint demnach kaum haltbar und ist gemäß Google Nutzungsbedingungen31 sogar untersagt. Die Nutzungsbedingungen sind dort wie folgt in mehreren Teilen angegeben:

Sie bestätigen und nehmen zur Kenntnis, dass die Funktionsweise der reCAPTCHA API darauf beruht, dass Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erhoben und zu Analysezwecken an Google gesendet werden. Die bei der Verwendung des Dienstes erhobenen Informationen werden zur Verbesserung von reCAPTCHA und für die allgemeine Sicherheit verwendet. Sie werden von Google nicht für personalisierte Werbung genutzt. Gemäß Abschnitt 3(d) der Nutzungsbedingungen für Google APIs erklären Sie sich damit einverstanden, dass Sie bei Verwendung der APIs dafür verantwortlich sind, die erforderlichen Hinweise oder Einwilligungen zur Erhebung und Weitergabe dieser Daten für Google bereitzustellen bzw. einzuholen. Für Nutzer in der Europäischen Union müssen Sie die Richtlinie zur EU-Nutzereinwilligung einhalten und Ihre API-Clients müssen dieser Richtlinie entsprechen. Ihre Verwendung von reCAPTCHA unterliegt bestimmten Beschränkungen bei Aufrufen. Google behält sich das Recht vor, diese Beschränkungen nach alleinigem Ermessen durch sämtliche unter Beschränkungen bei Aufrufen oder in diesen Nutzungsbedingungen beschriebenen Maßnahmen zu erzwingen.

Quelle: https://www.google.com/recaptcha/admin/create

Viel Erfolg beim Lesen, Verstehen und Einhalten dieser komplexen Bedingungen. Lesenswert ist die Richtlinie zur EU-Nutzereinwilligung von Google. Sollte ein Dritter Auskunft begehren, dann könnte dies einen komplexen Vorgang auslösen.

Ich kann daher nur vom Einsatz von Google reCAPTCHA abraten, da eine Einwilligung erforderlich ist und rechtssicher kaum eingeholt werden kann.

Alternativen

Für WordPress und das beliebte Contact Form 7 Kontaktformular gibt es mit Contact Form 7 Image Captcha eine nutzerfreundliche und datenschutzfreundliche Variante.

Nahezu jeder Server unterstützt PHP. Mit PHP kann auf recht einfache Weise ein Captcha erstellt werden. Hier ist ein Beispiel in PHP, das einen Text als Bild ausgibt.

 <?php
$img = imagecreatetruecolor(300, 80);
$text_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text_color);

$x=imagejpeg($img,"test1.jpg");

imagedestroy($img);

Ein anderes PHP Beispiel zeigt, wie man einfache Rechenaufgaben als Abfrage nutzen kann (Update: der Link ist aktuell nicht erreichbar: https://sebastianviereck.de/php-rechen-captcha-addieren-und-subtrahieren/).

Ganz einfach geht es, wenn eine Rechenaufgabe als gewöhnliches Eingabefeld ausgeprägt ist. Beispielsweise könnte die Frage lauten: „Wie viel ist siebzehn weniger drei“. Als Antwort wäre zugelassen: „vierzehn“ oder „14“. Die Antwort könnte mit einer einfachen JavaScript Funktion geprüft werden. reCAPTCHA erfordert immerhin auch einiges an Entwicklerkenntnissen und auch an rechtlichen Kenntnissen.

Ein weiterer Beitrag beschreibt Alternativen für häufig verwendete Google Tools.

Sollte eine Agentur auf dem Einsatz von reCAPTCHA bestehen, bitte Sie die Agentur doch um eine Haftungsübernahme und sehen Sie, was passiert. Sollte die Agentur meinen, eine andere Lösung wäre nicht möglich, schlagen Sie doch vor, jemanden zu kennen, der kostenpflichtig die Agentur bei dieser unlösbaren Aufgabe unterstützen kann. Wenn jemand reCAPTCHA vorschlägt, sollte derjenige die grundlegenden rechtlichen Bedingungen kennen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-recaptcha
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

SoundCloud Audio Player: Verwendung auf Webseiten datenschutzkonform möglich?