Was macht hCaptcha?
hCaptcha ist ein Tool, mit dem Unternehmen ihre Webseite vor Spam und Bots schützen können. Dazu lässt hCaptcha Webseitenbesucher Bilder kennzeichnen. Enterprise-Kunden können ein unsichtbares Captcha verwenden. Nur wenn das Tool nicht genügend Nutzerdaten sammeln konnte, müssen User zusätzlich ein Bilderrätsel lösen. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie hCaptcha für ihre Webseite verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist hCaptcha datenschutzrechtlich relevant?
hCaptcha setzt Cookies in den Browser von Usern. Dabei speichern diese eine eindeutige Kennung für jeden User. Diese Kennung ermöglicht es hCaptcha, Benutzer auf allen Webseiten, die hCaptcha verwenden, zu verfolgen. Zudem erhebt hCaptcha über die Cookies unter anderem personenbezogene Daten. Es speichert diese jedoch getrennt von den Captcha-Daten und löscht sie anschließend.
Um hCaptcha datenschutzkonform zu verwenden, müssen Unternehmen verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachten.
hCaptcha datenschutzkonform verwenden
Erfüllen Unternehmen diese Pflichten aus dem Gesetz, setzen sie hCaptcha rechtskonform auf ihrer Webseite ein:
Nutzer-Einwilligung einholen
Um Tracking Cookies wie die von hCaptcha verwenden zu dürfen, benötigen Unternehmen die Erlaubnis der Nutzer. Sie können diese über einen Hinweis im Cookies Banner einholen. Rechtlich sicher aufsetzen können sie den Banner mit einem Cookie Consent Tool.
Datenschutzerklärung aktualisieren
Unternehmen müssen in ihrer Datenschutzerklärung ausführlich informieren, warum und wie sie hCaptcha verwenden. Dabei sollten sie erklären,
- dass hCaptcha einen Cookie in ihren Browser setzt,
- warum sie über hCaptcha Nutzerdaten erheben,
- wie lange sie die Daten speichern,
- warum sie die Daten an hCaptcha weitergeben,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO) und
- dass User der Datenerhebung jederzeit widersprechen können.
Standardvertragsklauseln abschließen
hCaptcha ist ein US-amerikanischer Anbieter. Das heißt: Seitenbetreiber benötigen eine Rechtsgrundlage, um die über hCaptcha erhobenen Daten in ein Drittland außerhalb der EU zu versenden. Das ist derzeit über Standardvertragsklauseln möglich. Unternehmen sollten diese mit hCaptcha abschließen. Zusätzlich müssen sie eine sogenannte Risikoabschätzung durchführen. Diese prüft und dokumentiert den Datentransfer in die USA. Unternehmen sollten dabei festhalten,
- welche Art von Daten sie an hCaptcha weiterreichen,
- welche Datenschutzgesetze in den USA gelten und
- ob sie weitere Maßnahmen ergreifen können, um die Nutzerdaten zusätzlich zu schützen.
Rechtsprechung zu hCaptcha
Für hCaptcha ist diese Rechtsprechung relevant:
Europäischer Gerichtshof zum Privacy Shield
Im Juli 2020 kam der Europäische Gerichtshof zu dem Ergebnis: Der Privacy Shield ist unwirksam. Das bedeutet für die Praxis: Seitenbetreiber können diesen nicht mehr als rechtliche Grundlage nutzen, um personenbezogene Daten in die USA zu versenden. Die Richter führten das vor allem auf die Tatsache zurück, dass in den USA Überwachungsprogramme zum Einsatz kommen, die nicht auf das zwingend erforderliche Maß beschränkt sind. Und: Europäische Nutzer können rechtlich nicht gegen US-amerikanische Anbieter vorgehen, sollten diese ihre Daten missbräuchlich verwenden.
Europäischer Gerichtshof zur Verwendung von Cookies
Seitenbetreiber benötigen eine Einwilligung der Nutzer, wenn sie nicht-essenzielle Cookies verwenden wollen. Nutzer müssen diese Einwilligung aktiv per Opt-In aussprechen können. Das legte der EuGH im Oktober 2019 fest (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Tracking Cookies brauchen eine ausdrückliche Erlaubnis der Nutzer. Das Kästchen für die Einwilligung darf dabei nicht vorangekreuzt sein. Seitenbetreiber können daher nur per Opt-In eine rechtskonforme Einwilligung einholen. Zu diesem Schluss kam der Bundesgerichtshof (BGH) am 28.05.2020 (I ZR 7/16).