Google reCAPTCHA & DSGVO

1. Was ist Google reCAPTCHA?

Der Begriff CAPTCHA leitet sich aus dem Englischen ab und ist die Abkürzung für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Es handelt sich dabei um Tools, die zwischen echten und automatisierten Nutzern, wie beispielsweise Bots, unterscheiden können.

Erfinder von CAPTCHA ist der Informatikprofessor Luis von Ahn. Er gründete das Unternehmen reCAPTCHA, das 2009 von Google gekauft wurde. Seine Idee war es, Nutzer verzerrte Zahlen und Buchstaben entziffern zu lassen, die ein Computerprogramm nicht lesen kann.

Google reCAPTCHA ist ein kostenloser Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Fake-User, Maschinen oder Computerprogramme automatisiert auf der Webseite interagieren und beispielsweise Kommentare setzen oder Registrierungen durchführen. Durch dieses System können nicht nur Spam-Kommentare sondern auch DDos-Attacken verhindert werden.

Es gibt verschiedene Varianten von Google reCAPTCHA:

Image reCAPTCHA

User sehen 9 Bildausschnitte, von denen einige die gleichen Inhalte aufweisen. Der User muss dann alle Bildausschnitte auswählen, in denen zum Beispiel Straßenschilder oder Treppen vorkommen. Das sieht dann so aus:

Text reCAPTCHA

Nutzer müssen einen eingeblendeten Text in ein Feld eingeben. Oft handelt es sich dabei um fiktive Wörter und wahllose Aneinanderreihungen von Zahlen und Buchstaben. Google fordert den User dazu auf, Groß- und Kleinschreibung zu beachten. So sieht das dann aus:

Invisible reCAPTCHA

Da mittlerweile Dank KI auch Bots dazu in der Lage sind, die Captchas zu lösen, fand hier in den letzten Jahren eine Verbesserung statt. User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers.

Google vergibt anhand dieser erhobenen Daten einen Risikoscore für jeden Nutzer und gibt diesen an den Webseitenbetreiber weiter. Dieser kann dann selbst entscheiden, was er mit dieser Information tun möchte. Erreicht der Nutzer allerdings nicht einen gewissen Schwellenwert, kann die Website gewisse Zugriffe auf der Seite verwehren.

Diese unsichtbare reCAPTCHA v3 Simulation ist mittlerweile Standard auf den meisten Webseiten. Da ein entsprechendes Bilder- oder Buchstabenrätsel fehlt, fehlt oft auch ein Hinweis auf die Auswertung des Internetverhaltens des Users. Hier ergeben sich vor allem für datenschutzrechtliche Probleme.

Zu den invisible reCAPTCHAs gehört auch die sogenannte No CAPTCHA reCAPTCHA. User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist. Das Ganze sieht dann so aus:

2. Welche Daten verarbeitet Google reCAPTCHA?

Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur

• Seite, die reCAPTCHA einbindet,
• Referrer-URL (Seite, von welcher der Nutzer kommt),
• IP-Adresse des Nutzers,
• Einstellungen des Endgeräts (Sprache, Browser, Standort),
• Verweildauer,
• Mausbewegungen und Tastaturanschläge,
• Bildschirm- und Fensterauflösung,
• Zeitzone und
• Installation von Browser Plugins.

Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, setzt Google einen Cookie. Das heißt für die Praxis: Google erstellt für reCPATCHA einen Fingerabdruck der User, der auch auf anderen Seite wiedererkannt wird. Damit ist es Google möglich, Nutzer seitenübergreifend zu tracken.

3. Ist Google reCAPTCHA DSGVO-konform?

Damit Google reCAPTCHA auf der Website funktioniert, wird ein JavaScript-Element in den Quellcode eingebunden. Der Captcha-Dienst von Google läuft dann im Hintergrund ab und kann das Nutzerverhalten des Webseitenbesuchers tracken und analysieren. Dabei werden die oben genannten personenbezogenen Daten von Google gesammelt und analysiert. Dem Nutzer ist oft nicht bewusst, dass er im Hintergrund überwacht wird.

Damit Sie Google reCAPTCHA DSGVO-konform nutzen können, müssen Sie die Nutzer daher unbedingt in Ihrer Datenschutzerklärung aufnehmen. Aber das ist nicht alles. Was sie außerdem bei der Nutzung von Google reCAPTCHA beachten sollten, lesen Sie im folgenden Abschnitt.

CNIL verhängt 2023 Strafe wegen fehlender Nutzereinwilligung

Erst im März 2023 verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 125.000 Euro gegen das Unternehmen Cityscoot. Die Firma vermietet Scooter in Frankreich und verstieß laut der Behörde gegen den Datenschutz, weil sie Nutzer permanent durch Google reCAPTCHA bei Login und Registrierung tracke.

Cityscoot informierte seine Webseitenbesucher nicht über den Einsatz von Google reCAPTCHA und die damit verbundene Verarbeitung von personenbezogenen Daten. Zudem wurde keine Nutzereinwilligung eingeholt. Cityscoot begründete den Einsatz von Google reCAPTCHA zur ausschließlichen Sicherung eines Authentifizierungsprogrammes. Es stelle daher eine Ausnahme von der Einwilligungspflicht nach Art. 5 Abs. 3 TTDSG dar.

CNIL stellte aber fest, dass reCAPTCHA nicht nur der Authentifizierung dient, sondern auch weitere Zwecke erfüllt, wodurch die Ausnahme nicht gegeben ist. Es stehe in der Verantwortung des Webseitenbetreibers sicherzustellen, dass Dritte keine Funktionen über seine Website verwenden, die gegen die DSGVO oder andere Datenschutzgesetze verstoßen.

Bereits im April 2022 untersagte CNIL der Kontrollstelle der französischen Nationalpolizei die Verwendung von Google reCAPTCHA ohne das Einholen der Nutzereinwilligung.

4. Google reCAPTCHA datenschutzkonform verwenden

Um Google reCAPTCHA datenschutzkonform zu verwenden, müssen Seitenbetreiber diesen Pflichten nachkommen:

Nutzer-Einwilligung einholen

Damit Seitenbetreiber über Google reCAPTCHA datenschutzkonform personenbezogene Daten erheben und an Google weitergeben dürfen, müssen sie eine Einwilligung der Nutzer einholen. Das können Sie über einen Hinweis im Cookie-Banner vornehmen, den User aktiv bestätigen müssen. 

Rechtlich sicher können Sie den Cookie-Banner über ein Cookie Consent Tool implementieren. Wie das funktioniert erklären wir in unserem Artikel zum Thema “Die 6 (wahrscheinlich) besten Cookie Consent Tools im Vergleich”.

Datenschutzerklärung aktualisieren

Sie müssen als Seitenbetreiber müssen über die Verwendung von Google reCAPTCHA in Ihrer Datenschutzerklärung informieren. Dabei sollten Sie erklären,

• dass Google einen Cookie in denihren Browser setzt,
• warum Sie über Google reCAPTCHA personenbezogene Daten erheben,
• wie lange Sie die Daten speichern,
• warum Sie die Daten an Google weitergeben,
• welche Rechtsgrundlage Ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
• dass User der Datenerhebung jederzeit widersprechen können.

5. Welche Bußgelder drohen bei Verstößen?

Die Datenschutzgrundverordnung (DSGVO) sieht bei Verstößen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor. Sie sollten also in jedem Fall darauf achten, dass Sie die oben genannten Pflichten ordnungsgemäß umsetzen, um keine Strafe zu kassieren.

6. Gibt es eine Alternative zu Google reCAPTCHA?

Trotz Transparenz in der Datenschutzerklärung zu Google reCAPTCHA und die Einholung der Nutzereinwilligung über Ihren Cookie Banner, ist die Verwendung von Google reCAPTCHA datenschutzrechtlich nicht ganz unproblematisch. Das liegt daran, dass Google nicht deutlich macht, welche Verarbeitungen und Zugriffe beim Verwenden von reCAPTCHA erfolgen.

Sie wollen auf Nummer Sicher gehen und suchen eine datenschutzkonforme Alternative zu Google reCAPTCHA? Neben HCaptcha oder Honeypot bildet Friendly Captcha eine Alternative zu Google. Bei Friendly Captcha wird ein einzigartiges Krypto-Rätsel für den Nutzer erzeugt. Während der Nutzer ein Formular ausfüllt, löst sich das Rätsel automatisch. Dies dauert nur wenige Sekunden. Hierbei werden kein Tracking und keine Cookies verwendet. Friendly Captcha kostet allerdings und ist mit Programmieraufwand verbunden.

7. Rechtsprechung zu Google reCAPTCHA

Für Google reCAPTCHA ist die Rechtsprechung zur Erhebung von IP-Adressen und zur Verwendung von Cookies relevant:

BGH im Mai 2020 zur Verwendung von Cookies

Der Bundesgerichtshof kam zum gleichen Ergebnis wie der EuGH: Tracking Cookies benötigen eine ausdrückliche Einwilligung der User. Und: Das Kästchen für die Einwilligung müssen Nutzer selbst ankreuzen (Urteil vom 28.05.2020, I ZR 7/16).

EuGH im Oktober 2019 zur Verwendung von Cookies

Nutzer müssen aktiv der Verwendung von Cookies zustimmen. Seitenbetreiber benötigen eine eindeutige Erlaubnis. Dabei darf in der Praxis das Kästchen im Cookie-Banner nicht vorangekreuzt sein. Das stellte der EuGH im Oktober 2019 fest (Az. C-673/17).

BGH im Mai 2017 zur Erhebung von IP-Adressen

Dynamische IP-Adressen sind personenbezogene Daten, wenn Seitenbetreiber theoretisch die Person hinter der IP-Adresse ermitteln können. Zu diesem Ergebnis kam der Bundesgerichtshof im Mai 2017 (Az. VI ZR 135/13).

EuGH im Oktober 2016 zur Erhebung von IP-Adressen

IP-Adressen sind personenbezogene Daten, wenn Strafverfolger die Person hinter einer IP-Adresse ermitteln können. Es reicht nicht aus, wenn Seitenbetreiber selbst die IP theoretisch zuordnen können. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) im Oktober 2016 (Az. C-582/14).

LG Berlin im September 2007 zur Erhebung von IP-Adressen

Bereits zuvor zeigte das Landgericht Berlin, wie wichtig die Einwilligung von Nutzern für die Erhebung von personenbezogenen Daten ist. So entschied es im September 2007: Seitenbetreiber dürfen IP-Adressen nicht ohne Nutzereinwilligung speichern (Az. 23 S 3/07).