Was ist Google reCAPTCHA?
Google reCAPTCHA ist ein Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Bots automatisiert auf der Webseite interagieren. Es gibt verschiedene Varianten von Google reCAPTCHA:
- No CAPTCHA reCAPTCHA
User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist.
- Image reCAPTCHA
User sehen 9 Bildausschnitte, von denen einige die gleichen Inhalte aufweisen (beispielsweise Straßenschilder). Diese sollen sie markieren.
- Text reCAPTCHA
Nutzer müssen einen einblendeten Text in ein Feld eingeben.
- Invisible reCAPTCHA
User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers. Dieses reCAPTCHA ist mittlerweile Standard auf den meisten Webseiten.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum ist Google reCAPTCHA datenschutzrechtlich bedenklich
Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur
- Seite, die reCAPTCHA einbindet,
- IP-Adresse des Nutzers,
- eingestellten Sprache im Browser,
- Bildschirm- und Fensterauflösung,
- Zeitzone und
- Installation von Browser Plugins.
Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, setzt Google einen Cookie. Das heißt für die Praxis: Google erstellt für reCPATCHA einen Fingerabdruck der User, der auch auf anderen Seite wiedererkannt wird. Damit ist es Google möglich, Nutzer seitenübergreifend zu tracken.
Google reCAPTCHA datenschutzkonform verwenden
Um Google reCAPTCHA datenschutzkonform zu verwenden, müssen Seitenbetreiber diesen Pflichten nachkommen:
Nutzer-Einwilligung einholen
Damit Seitenbetreiber über Google reCAPTCHA datenschutzkonform personenbezogene Daten erheben und an Google weitergeben dürfen, müssen sie eine Einwilligung der Nutzer einholen. Das können sie über einen Hinweis im Cookie-Banner vornehmen, den User aktiv bestätigen müssen. Rechtlich sicher können Seitenbetreiber den Cookie-Banner über ein Cookie Consent Tool implementieren.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen über die Verwendung von Google reCAPTCHA in ihrer Datenschutzerklärung informieren. Dabei sollten sie erklären,
- dass Google einen Cookie in ihren Browser setzt,
- warum sie über Google reCAPTCHA personenbezogene Daten erheben,
- wie lange sie die Daten speichern,
- warum sie die Daten an Google weitergeben,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
- dass User der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zu Google reCAPTCHA
Für Google reCAPTCHA ist die Rechtsprechung zur Erhebung von IP-Adressen und zur Verwendung von Cookies relevant:
Bundesgerichtshof zur Erhebung von IP-Adressen
Dynamische IP-Adressen sind personenbezogene Daten, wenn Seitenbetreiber theoretisch die Person hinter der IP-Adresse ermitteln können. Zu diesem Ergebnis kam der Bundesgerichtshof im Mai 2017 (Az. VI ZR 135/13).
Europäischer Gerichtshof zur Erhebung von IP-Adressen
IP-Adressen sind personenbezogene Daten, wenn Strafverfolger die Person hinter einer IP-Adresse ermitteln können. Es reicht nicht aus, wenn Seitenbetreiber selbst die IP theoretisch zuordnen können. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) im Oktober 2016 (Az. C-582/14).
Landgericht Berlin zur Erhebung von IP-Adressen
Bereits zuvor zeigte das Landgericht Berlin, wie wichtig die Einwilligung von Nutzern für die Erhebung von personenbezogenen Daten ist. So entschied es im September 2007: Seitenbetreiber dürfen IP-Adressen nicht ohne Nutzer-Erlaubnis speichern (Az. 23 S 3/07).
Europäischer Gerichtshof zur Verwendung von Cookies
Nutzer müssen aktiv der Verwendung von Cookies zustimmen. Seitenbetreiber benötigen eine eindeutige Erlaubnis. Dabei darf in der Praxis das Kästchen im Cookie-Banner nicht vorangekreuzt sein. Das stellte der EuGH im Oktober 2019 fest (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Der BGH kam zum gleichen Ergebnis wie der EuGH: Tracking Cookies benötigen eine ausdrückliche Einwilligung der User. Und: Das Kästchen für die Einwilligung müssen Nutzer selbst ankreuzen (Urteil vom 28.05.2020, I ZR 7/16).