Google reCAPTCHA DSGVO konform nutzen
Management Summary
Im folgenden Artikel beleuchten wir Google reCAPTCHA aus DSGVO-Sicht und geben Tipps zur Einbindung.
Google reCAPTCHA DSGVO konform nutzen
So schützen Sie Ihre Website und Ihre Nutzer
Brücken, Motorräder, Ampeln und Autos haben uns in der jüngeren Vergangenheit sehr oft bei Formularen begleitet. Davor waren es Zahlen und Buchstabenkombinationen, die man (ich zumindest) nie beim ersten Versuch lösen konnte.
Die neuen reCAPTCHA v3 und die reCAPTCHA Enterprise automatisieren diesen Prozess und damit sind die Zeiten der Rätsel vorbei.
Doch dürfen diese Tools im Hinblick auf die DSGVO ganz einfach auf der Webseite eingebaut werden?
Was ist reCAPTCHA?
Google reCAPTCHA ist ein Dienst von Google, der entwickelt wurde, um Websites vor Spam, Missbrauch und böswilligen Aktivitäten zu schützen, indem er die Benutzeridentität überprüft. Google reCAPTCHA verwendet eine Kombination aus menschlicher Verhaltensanalyse und maschinellem Lernen, um sicherzustellen, dass die Interaktionen auf einer Website von echten Menschen stammen und nicht von Bots oder Skripten durchgeführt werden.
Es gibt aktuell zwei Hauptversionen von reCAPTCHA:
- reCAPTCHA v2 (Checkbox reCAPTCHA): Diese Version zeigt normalerweise ein Kontrollkästchen mit der Aufschrift “Ich bin kein Roboter” an, das von den Benutzern aktiviert werden muss. In einigen Fällen werden auch Bilder von Objekten oder Straßenschildern angezeigt, die Benutzer zur Identifizierung auswählen müssen. Durch die Interaktion des Benutzers mit diesem Kästchen wird erkannt, ob es sich um einen echten menschlichen Benutzer oder einen Bot handelt.
- reCAPTCHA v3 (invisible reCAPTCHA): Im Gegensatz zu reCAPTCHA v2 ist reCAPTCHA v3 für Benutzer unsichtbar. Es erfordert keine manuelle Aktion des Benutzers wie das Aktivieren eines Kontrollkästchens. Stattdessen analysiert reCAPTCHA v3 im Hintergrund das Verhalten des Benutzers auf der Website und berechnet einen Vertrauensscore (Score). Basierend auf diesem Score kann die Website entscheiden, ob es sich um einen menschlichen Benutzer oder einen Bot handelt. Wenn der Score verdächtig ist, kann die Website entsprechende Maßnahmen ergreifen, z.B. das Anfordern einer zusätzlichen Überprüfung durch reCAPTCHA v2.
In der Vergangenheit gab es die Text- bzw. Zahlen-reCAPTCHA. Hier mussten Nutzer einen eingeblendeten Text oder eine Zahlenkombination in ein Textfeld eingeben. Google fordert den User dazu auf, Groß- und Kleinschreibung zu beachten. Beispiele:
Vorteile der Nutzung von reCAPTCHA
Die Verwendung von Google reCAPTCHA kann für Website-Betreiber und Benutzer viele Vorteile haben. Sie hilft, Spam-Kommentare in Blogs zu verhindern, vor DDoS-Angriffen zu schützen, die Sicherheit von Anmeldeformularen zu erhöhen und die Integrität von Online-Umfragen und Abstimmungen sicherzustellen. Es ermöglicht auch eine bessere Benutzererfahrung, da echte Benutzer nicht durch ständige Sicherheitsprüfungen belästigt werden.
Ein weiterer Vorteil ist, dass Google reCAPTCHA sehr einfach auf Websites integriert werden kann.
Welche Daten werden von Google reCAPTCHA verarbeitet?
Google reCAPTCHA verarbeitet verschiedene Userdaten, um die Identität von Benutzern zu überprüfen. Die verarbeiteten Daten können je nach der Version von reCAPTCHA (v2 oder v3) und der Verwendung variieren. Unter anderem sind das folgende:
- Benutzerverhalten: reCAPTCHA analysiert das Verhalten der Benutzer auf der Website, um festzustellen, ob es sich um menschliche Benutzer oder Bots handelt. Beispiele dafür sind:
- Verweildauer
- Mausbewegungen und Tastaturanschläge
- Zeitzone des Nutzers
- Seite auf der reCAPTCHA eingebunden ist und Referrer-URL
- IP-Adresse des Nutzers
- Browser- und Geräteinformationen: Informationen über den verwendeten Browser und das Gerät des Benutzers werden gesammelt.
- Cookies: reCAPTCHA verwendet Cookies, um das Verhalten und die Interaktion der Benutzer auf verschiedenen Seiten der Website zu verfolgen. Dies ermöglicht es, wiederkehrende Besuche von Benutzern zu identifizieren und deren Vertrauensscore zu erhöhen.
- ReCAPTCHA-Widgets: Die Einbettung des reCAPTCHA-Widgets in den Website-Code ermöglicht die Kommunikation zwischen der Website und den Google-Servern.
- Vertrauensscore: Bei reCAPTCHA v3 wird ein Vertrauensscore für jeden Benutzer berechnet, der angibt, wie wahrscheinlich es ist, dass es sich um einen echten menschlichen Benutzer handelt. Dieser Score basiert auf dem Verhalten des Benutzers auf der Website.
Wie nutze ich Google reCAPTCHA DSGVO-konform?
Es ist wichtig zu beachten, dass die Daten, die von reCAPTCHA erfasst werden, hauptsächlich zur Überprüfung der Benutzeridentität und zur Verhinderung von Spam und böswilligen Aktivitäten verwendet werden. Google hat Datenschutzmaßnahmen und -richtlinien implementiert, um die Privatsphäre der Benutzer zu schützen.
Dennoch werden die Daten von Google verarbeitet und sind deshalb zustimmungspflichtig. Das bedeutet, dass man für den Einsatz von Google reCAPTCHA die Zustimmung (den Consent) über eine Consent Management Plattform einholen muss. Andernfalls ist die Nutzung nicht DSGVO-konform.
Außerdem ist zu empfehlen, die Datenschutzerklärung zu aktualisieren und den Service inklusive aller Informationen (Verarbeitungszweck, Verarbeitungsort, Aufbewahrungsdauer usw.) anzugeben.
Contextual Consent
“Contextual Consent” (kontextbezogene Zustimmung) bedeutet, dass die Zustimmung von Nutzern für die Nutzung ihrer persönlichen Informationen in bestimmten Situationen eingeholt werden sollte.
Ein Beispiel im Zusammenhang mit reCAPTCHA: Ein Nutzer besucht eine Website und gibt keine Zustimmung im Cookie-Banner (klickt auf “Alles ablehnen”). Danach navigiert der Nutzer auf das Kontaktformular und möchte eine Anfrage abschicken. Dadurch, dass der Website-Betreiber Google reCAPTCHA nutzt, wird das komplette Formular blockiert und mit einem Pop-Up überdeckt, welches die Zustimmung für Google reCAPTCHA einholen soll. Sollte der Nutzer erneut “ablehnen”, ist das Formular nicht nutzbar.
Alternativen
Sollte eine Einbindung der Google reCAPTCHA nicht möglich oder zu umständlich sein, gibt es noch andere Alternativen, welche auch sehr gut funktionieren.
Vier beliebte Alternativen sind:
- hCaptcha: hCaptcha ist ein Captcha-Dienst, der ähnlich wie reCAPTCHA funktioniert. Es bietet eine Vielzahl von Captcha-Optionen, darunter Text-Captchas, Bilder-Captchas und unsichtbare Captchas. hCaptcha ist bekannt für seine Datenschutzfreundlichkeit.
- Friendly Captcha: Friendly Captcha ist eine datenschutzfreundliche Captcha-Alternative, die sich auf die Einhaltung der DSGVO und anderer Datenschutzbestimmungen konzentriert.
- Mathematische Captchas: Diese Art von Captcha stellt mathematische Aufgaben, die von echten Benutzern leicht gelöst werden können, aber für Bots schwierig sind. Benutzer müssen zum Beispiel die Summe zweier Zahlen berechnen und das Ergebnis eingeben.
- Honeypot: Die “Honeypot Verification”, auch als “Honeypot Trap” bekannt, funktioniert indem es eine für menschliche Benutzer nicht sichtbare Falle für Bots und Spammer erstellt. Meist wird dazu eine Checkbox oder ein Textfeld genutzt.
Urteil der CNIL 2023
Im März 2023 hat die französische Datenschutzbehörde CNIL Cityscoot mit einer Geldstrafe von 125.000 Euro belegt. Das Unternehmen vermietet Scooter in Frankreich und verletzte die Datenschutzbestimmungen, da es Nutzer ohne deren Wissen oder Zustimmung über Google reCAPTCHA bei der Anmeldung und Registrierung getrackt haben soll.
Cityscoot versäumte es, seine Website-Besucher über die Verwendung von Google reCAPTCHA und die damit verbundene Verarbeitung personenbezogener Daten in der Datenschutzerklärung zu informieren. Das Unternehmen argumentierte, dass es reCAPTCHA ausschließlich zur Sicherung eines Authentifizierungsprogramms eingesetzt hat und die Verwendung daher von der Zustimmungspflicht nach Art. 5 Abs. 3 TTDSG ausgenommen sei.
CNIL kam jedoch zu dem Schluss, dass reCAPTCHA nicht nur für die Authentifizierung verwendet wurde, sondern auch für andere Zwecke, was die Ausnahme unwirksam machte. Es liegt in der Verantwortung des Website-Betreibers sicherzustellen, dass Dritte keine Funktionen auf seiner Website nutzen, die gegen die DSGVO oder andere Datenschutzgesetze verstoßen.
Schon im April 2022 hatte CNIL der Kontrollstelle der französischen Nationalpolizei die Verwendung von Google reCAPTCHA ohne Einholung der Zustimmung der Nutzer untersagt.
Fazit
Die Verwendung von Google reCAPTCHA bietet Vorteile wie Spam-Prävention und erhöhte Sicherheit, erfordert jedoch die Einholung der Zustimmung gemäß DSGVO. Außerdem sollte der Service in der Datenschutzerklärung erwähnt werden.
Mit dem Contextual Consent hat man eine gute Möglichkeit, die Zustimmung nachträglich dafür einzuholen.
