“Klicken Sie alle Bildausschnitte an, die Ampelanlagen enthalten” oder “Geben Sie die Buchstaben- und Zahlenkombination in das Eingabefeld ein” - Kommt Ihnen das bekannt vor? Privat ist wohl allen die Google reCAPTCHA schon einmal begegnet. Aber was müssen Sie beachten, wenn Sie reCAPTCHA auf Ihrer Website benutzen? Können Sie Google reCAPTCHA v3 DSGVO-konform nutzen? Wie klären Sie in unserem Beitrag auf.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen1. Was ist Google reCAPTCHA?
Der Begriff CAPTCHA leitet sich aus dem Englischen ab und ist die Abkürzung für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Es handelt sich dabei um Tools, die zwischen echten und automatisierten Nutzern, wie beispielsweise Bots, unterscheiden können.
Erfinder von CAPTCHA ist der Informatikprofessor Luis von Ahn. Er gründete das Unternehmen reCAPTCHA, das 2009 von Google gekauft wurde. Seine Idee war es, Nutzer verzerrte Zahlen und Buchstaben entziffern zu lassen, die ein Computerprogramm nicht lesen kann.
Google reCAPTCHA ist ein kostenloser Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Fake-User, Maschinen oder Computerprogramme automatisiert auf der Webseite interagieren und beispielsweise Kommentare setzen oder Registrierungen durchführen. Durch dieses System können nicht nur Spam-Kommentare sondern auch DDos-Attacken verhindert werden.
Es gibt verschiedene Varianten von Google reCAPTCHA:
Image reCAPTCHA
User sehen 9 Bildausschnitte, von denen einige die gleichen Inhalte aufweisen. Der User muss dann alle Bildausschnitte auswählen, in denen zum Beispiel Straßenschilder oder Treppen vorkommen. Das sieht dann so aus:
Text reCAPTCHA
Nutzer müssen einen eingeblendeten Text in ein Feld eingeben. Oft handelt es sich dabei um fiktive Wörter und wahllose Aneinanderreihungen von Zahlen und Buchstaben. Google fordert den User dazu auf, Groß- und Kleinschreibung zu beachten. So sieht das dann aus:
Invisible reCAPTCHA
Da mittlerweile Dank KI auch Bots dazu in der Lage sind, die Captchas zu lösen, fand hier in den letzten Jahren eine Verbesserung statt. User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers.
Google vergibt anhand dieser erhobenen Daten einen Risikoscore für jeden Nutzer und gibt diesen an den Webseitenbetreiber weiter. Dieser kann dann selbst entscheiden, was er mit dieser Information tun möchte. Erreicht der Nutzer allerdings nicht einen gewissen Schwellenwert, kann die Website gewisse Zugriffe auf der Seite verwehren.
Diese unsichtbare reCAPTCHA v3 Simulation ist mittlerweile Standard auf den meisten Webseiten. Da ein entsprechendes Bilder- oder Buchstabenrätsel fehlt, fehlt oft auch ein Hinweis auf die Auswertung des Internetverhaltens des Users. Hier ergeben sich vor allem für datenschutzrechtliche Probleme.
Zu den invisible reCAPTCHAs gehört auch die sogenannte No CAPTCHA reCAPTCHA. User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist. Das Ganze sieht dann so aus:
2. Welche Daten verarbeitet Google reCAPTCHA?
Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur
- Seite, die reCAPTCHA einbindet,
- Referrer-URL (Seite, von welcher der Nutzer kommt),
- IP-Adresse des Nutzers,
- Einstellungen des Endgeräts (Sprache, Browser, Standort),
- Verweildauer,
- Mausbewegungen und Tastaturanschläge,
- Bildschirm- und Fensterauflösung,
- Zeitzone und
- Installation von Browser Plugins.
Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, setzt Google einen Cookie. Das heißt für die Praxis: Google erstellt für reCPATCHA einen Fingerabdruck der User, der auch auf anderen Seite wiedererkannt wird. Damit ist es Google möglich, Nutzer seitenübergreifend zu tracken.
3. Ist die Nutzung von reCAPTCHA zulässig?
Verwenden Sie ein Tool oder Programm, das personenbezogene Daten verarbeitet, werden diese Daten an den Dienstanbieter des Tools übermittelt. Je nachdem, in welchem Land der Dienstanbieter sitzt (Sitz des Datenempfängers), kann diese Datenübermittlung problematisch sein.
Denn: Übertragen Sie personenbezogene Daten aus der EU in ein Drittland, ist dies nur unter bestimmten Voraussetzungen zulässig. Und zwar dann, wenn das Schutzniveau für die Datenübermittlung in ein Drittland mit dem der EU der Sache nach gleichwertig ist. Bietet das Drittland ein angemessenes Datenschutzniveau, verabschiedet die EU-Kommission einen Angemessenheitsbeschluss.
Der Diensteanbieter von reCAPTCHA ist Google Ireland Limited. Es können jedoch auch personenbezogene Daten an das Mutterunternehmen Google LLC. übertragen werden. Dieses Unternehmen hat seinen Sitz in den USA. Es gibt einen Angemessenheitsbeschluss für die Datenübermittlung in die USA. Zusätzlich ist die Datenübertragung in die USA rechtlich aber erst dann zulässig, wenn der Datenempfänger außerdem nach dem Datenschutzabkommen EU-USA (Data Privacy Framework) zertifiziert ist.
Google LLC ist DPF-zertifiziert. Die Nutzung des Tools reCAPTCHA ist zulässig.
[Stand: 29.01.2024]
Wichtig:
Nur weil die Datenübertragung mit diesem Tool rechtlich zulässig ist, bedeutet dies nicht, dass das Programm automatisch datenschutzkonform ist. Damit Sie nicht gegen den deutschen Datenschutz verstoßen, müssen Sie zusätzliche Pflichten erfüllen. Welche das sind, lesen Sie hier.
Mehr zum Thema Datenübertragung in die USA finden Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA".
4. Ist Google reCAPTCHA DSGVO-konform?
Damit Google reCAPTCHA auf der Website funktioniert, wird ein JavaScript-Element in den Quellcode eingebunden. Der Captcha-Dienst von Google läuft dann im Hintergrund ab und kann das Nutzerverhalten des Webseitenbesuchers tracken und analysieren. Dabei werden die oben genannten personenbezogenen Daten von Google gesammelt und analysiert. Dem Nutzer ist oft nicht bewusst, dass er im Hintergrund überwacht wird.
Damit Sie Google reCAPTCHA DSGVO-konform nutzen können, müssen Sie das Tool daher unbedingt in Ihre Datenschutzerklärung aufnehmen. Aber das ist nicht alles. Was sie außerdem bei der Nutzung von Google reCAPTCHA beachten sollten, lesen Sie im folgenden Abschnitt.
CNIL verhängt 2023 Strafe wegen fehlender Nutzereinwilligung
Erst im März 2023 verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 125.000 Euro gegen das Unternehmen Cityscoot. Die Firma vermietet Scooter in Frankreich und verstieß laut der Behörde gegen den Datenschutz, weil sie Nutzer permanent durch Google reCAPTCHA bei Login und Registrierung tracke.
Cityscoot informierte seine Webseitenbesucher nicht über den Einsatz von Google reCAPTCHA und die damit verbundene Verarbeitung von personenbezogenen Daten. Zudem wurde keine Nutzereinwilligung eingeholt. Cityscoot begründete den Einsatz von Google reCAPTCHA zur ausschließlichen Sicherung eines Authentifizierungsprogrammes. Es stelle daher eine Ausnahme von der Einwilligungspflicht nach Art. 5 Abs. 3 TDDDG (ehemals TTDSG) dar.
CNIL stellte aber fest, dass reCAPTCHA nicht nur der Authentifizierung dient, sondern auch weitere Zwecke erfüllt, wodurch die Ausnahme nicht gegeben ist. Es stehe in der Verantwortung des Webseitenbetreibers sicherzustellen, dass Dritte keine Funktionen über seine Website verwenden, die gegen die DSGVO oder andere Datenschutzgesetze verstoßen.
Bereits im April 2022 untersagte CNIL der Kontrollstelle der französischen Nationalpolizei die Verwendung von Google reCAPTCHA ohne das Einholen der Nutzereinwilligung.
Achtung:
Die Strafe des CNIL zeigt nochmal deutlich auf, dass Sie sich von Ihrem Nutzer eine Einwilligung per Opt-In einholen müssen. Andernfalls gehen die DSGVO und Google reCAPTCHA nicht konform.
5. So nutzen Sie Google reCAPTCHA datenschutzkonform
Um Google reCAPTCHA datenschutzkonform zu verwenden, müssen Seitenbetreiber diesen Pflichten nachkommen:
Nutzer-Einwilligung einholen
Damit Seitenbetreiber über Google reCAPTCHA datenschutzkonform personenbezogene Daten erheben und an Google weitergeben dürfen, sollten sie eine Einwilligung der Nutzer einholen. Das können Sie über einen Hinweis im Cookie-Banner vornehmen, den User aktiv bestätigen müssen.
Rechtlich sicher können Sie den Cookie-Banner über ein Cookie Consent Tool implementieren.
LESE-TIPP
Sie wollen den Cookie-Banner über ein Cookie Consent Tool auf Ihrer Website einbinden? Wie das funktioniert erklären wir in unserem Artikel zum Thema “Die 6 (wahrscheinlich) besten Cookie Consent Tools im Vergleich”.
Datenschutzerklärung aktualisieren
Sie müssen als Seitenbetreiber müssen über die Verwendung von Google reCAPTCHA in Ihrer Datenschutzerklärung informieren.
- dass Google einen Cookie in denihren Browser setzt,
- warum Sie über Google reCAPTCHA personenbezogene Daten erheben,
- wie lange Sie die Daten speichern,
- warum Sie die Daten an Google weitergeben,
- welche Rechtsgrundlage Ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
- dass User der Datenerhebung jederzeit widersprechen können.
Standardvertragsklauseln abschließen
Auch wenn eine Datenübertragung an das Mutterunternehmen durch DPF-Zertifizierung zulässig ist, empfehlen wir Ihnen nach Möglichkeit den Abschluss von Standardvertragsklauseln sowie eine Datentransfer-Folgenabschätzung vorzunehmen.
6. Welche Bußgelder drohen bei Verstößen?
Die Datenschutzgrundverordnung (DSGVO) sieht bei Verstößen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor. Sie sollten also in jedem Fall darauf achten, dass Sie die oben genannten Pflichten ordnungsgemäß umsetzen, um keine Strafe zu kassieren.
7. Gibt es eine Alternative zu Google reCAPTCHA?
Trotz Transparenz in der Datenschutzerklärung zu Google reCAPTCHA und die Einholung der Nutzereinwilligung über Ihren Cookie Banner, ist die Verwendung von Google reCAPTCHA datenschutzrechtlich nicht ganz unproblematisch. Das liegt daran, dass Google nicht deutlich macht, welche Verarbeitungen und Zugriffe beim Verwenden von reCAPTCHA erfolgen.
Sie wollen auf Nummer Sicher gehen und suchen eine datenschutzkonforme Alternative zu Google reCAPTCHA? Neben HCaptcha oder Honeypot bildet Friendly Captcha eine Alternative zu Google. Bei Friendly Captcha wird ein einzigartiges Krypto-Rätsel für den Nutzer erzeugt. Während der Nutzer ein Formular ausfüllt, löst sich das Rätsel automatisch. Dies dauert nur wenige Sekunden. Hierbei werden kein Tracking und keine Cookies verwendet. Friendly Captcha kostet allerdings und ist mit Programmieraufwand verbunden.
Eine rechtssichere Datenschutzerklärung können Sie jetzt schnell und kostenfrei mit unserem Datenschutz-Generator erstellen.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten