von Dominic Ginda
Google reCAPTCHA kennt jeder und man kommt fast täglich damit in Berührung. Der Dienst schützt Websites vor Spam und Missbrauch. Jedoch kann die Integration auf Websites datenschutzrechtlich problematisch sein, da Google personenbezogene Daten der Nutzer erhebt und verarbeitet. Um die DSGVO-Konformität zu gewährleisten, müssen Website-Betreiber, die reCAPTCHA verwenden, verschiedene Maßnahmen ergreifen.
Von der Pflicht zur Kür - wir bieten Ihnen wohlüberlegte Consent-Management-Lösungen für alle Bereiche und Branchen an.
Mehr ErfahrenIm folgenden Artikel beleuchten wir Google reCAPTCHA aus DSGVO-Sicht und geben Tipps zur Einbindung.
Brücken, Motorräder, Ampeln und Autos haben uns in der jüngeren Vergangenheit sehr oft bei Formularen begleitet. Davor waren es Zahlen und Buchstabenkombinationen, die man (ich zumindest) nie beim ersten Versuch lösen konnte.
Die neuen reCAPTCHA v3 und die reCAPTCHA Enterprise automatisieren diesen Prozess und damit sind die Zeiten der Rätsel vorbei.
Doch dürfen diese Tools im Hinblick auf die DSGVO ganz einfach auf der Webseite eingebaut werden?
Google reCAPTCHA ist ein Dienst von Google, der entwickelt wurde, um Websites vor Spam, Missbrauch und böswilligen Aktivitäten zu schützen, indem er die Benutzeridentität überprüft. Google reCAPTCHA verwendet eine Kombination aus menschlicher Verhaltensanalyse und maschinellem Lernen, um sicherzustellen, dass die Interaktionen auf einer Website von echten Menschen stammen und nicht von Bots oder Skripten durchgeführt werden.
Es gibt aktuell zwei Hauptversionen von reCAPTCHA:
In der Vergangenheit gab es die Text- bzw. Zahlen-reCAPTCHA. Hier mussten Nutzer einen eingeblendeten Text oder eine Zahlenkombination in ein Textfeld eingeben. Google fordert den User dazu auf, Groß- und Kleinschreibung zu beachten. Beispiele:
Die Verwendung von Google reCAPTCHA kann für Website-Betreiber und Benutzer viele Vorteile haben. Sie hilft, Spam-Kommentare in Blogs zu verhindern, vor DDoS-Angriffen zu schützen, die Sicherheit von Anmeldeformularen zu erhöhen und die Integrität von Online-Umfragen und Abstimmungen sicherzustellen. Es ermöglicht auch eine bessere Benutzererfahrung, da echte Benutzer nicht durch ständige Sicherheitsprüfungen belästigt werden.
Ein weiterer Vorteil ist, dass Google reCAPTCHA sehr einfach auf Websites integriert werden kann.
Google reCAPTCHA verarbeitet verschiedene Userdaten, um die Identität von Benutzern zu überprüfen. Die verarbeiteten Daten können je nach der Version von reCAPTCHA (v2 oder v3) und der Verwendung variieren. Unter anderem sind das folgende:
Es ist wichtig zu beachten, dass die Daten, die von reCAPTCHA erfasst werden, hauptsächlich zur Überprüfung der Benutzeridentität und zur Verhinderung von Spam und böswilligen Aktivitäten verwendet werden. Google hat Datenschutzmaßnahmen und -richtlinien implementiert, um die Privatsphäre der Benutzer zu schützen.
Dennoch werden die Daten von Google verarbeitet und sind deshalb zustimmungspflichtig. Das bedeutet, dass man für den Einsatz von Google reCAPTCHA die Zustimmung (den Consent) über eine Consent Management Plattform einholen muss. Andernfalls ist die Nutzung nicht DSGVO-konform.
Außerdem ist zu empfehlen, die Datenschutzerklärung zu aktualisieren und den Service inklusive aller Informationen (Verarbeitungszweck, Verarbeitungsort, Aufbewahrungsdauer usw.) anzugeben.
“Contextual Consent” (kontextbezogene Zustimmung) bedeutet, dass die Zustimmung von Nutzern für die Nutzung ihrer persönlichen Informationen in bestimmten Situationen eingeholt werden sollte.
Ein Beispiel im Zusammenhang mit reCAPTCHA: Ein Nutzer besucht eine Website und gibt keine Zustimmung im Cookie-Banner (klickt auf “Alles ablehnen”). Danach navigiert der Nutzer auf das Kontaktformular und möchte eine Anfrage abschicken. Dadurch, dass der Website-Betreiber Google reCAPTCHA nutzt, wird das komplette Formular blockiert und mit einem Pop-Up überdeckt, welches die Zustimmung für Google reCAPTCHA einholen soll. Sollte der Nutzer erneut “ablehnen”, ist das Formular nicht nutzbar.
Sollte eine Einbindung der Google reCAPTCHA nicht möglich oder zu umständlich sein, gibt es noch andere Alternativen, welche auch sehr gut funktionieren.
Vier beliebte Alternativen sind:
Im März 2023 hat die französische Datenschutzbehörde CNIL Cityscoot mit einer Geldstrafe von 125.000 Euro belegt. Das Unternehmen vermietet Scooter in Frankreich und verletzte die Datenschutzbestimmungen, da es Nutzer ohne deren Wissen oder Zustimmung über Google reCAPTCHA bei der Anmeldung und Registrierung getrackt haben soll.
Cityscoot versäumte es, seine Website-Besucher über die Verwendung von Google reCAPTCHA und die damit verbundene Verarbeitung personenbezogener Daten in der Datenschutzerklärung zu informieren. Das Unternehmen argumentierte, dass es reCAPTCHA ausschließlich zur Sicherung eines Authentifizierungsprogramms eingesetzt hat und die Verwendung daher von der Zustimmungspflicht nach Art. 5 Abs. 3 TTDSG ausgenommen sei.
CNIL kam jedoch zu dem Schluss, dass reCAPTCHA nicht nur für die Authentifizierung verwendet wurde, sondern auch für andere Zwecke, was die Ausnahme unwirksam machte. Es liegt in der Verantwortung des Website-Betreibers sicherzustellen, dass Dritte keine Funktionen auf seiner Website nutzen, die gegen die DSGVO oder andere Datenschutzgesetze verstoßen.
Schon im April 2022 hatte CNIL der Kontrollstelle der französischen Nationalpolizei die Verwendung von Google reCAPTCHA ohne Einholung der Zustimmung der Nutzer untersagt.
Die Verwendung von Google reCAPTCHA bietet Vorteile wie Spam-Prävention und erhöhte Sicherheit, erfordert jedoch die Einholung der Zustimmung gemäß DSGVO. Außerdem sollte der Service in der Datenschutzerklärung erwähnt werden.
Mit dem Contextual Consent hat man eine gute Möglichkeit, die Zustimmung nachträglich dafür einzuholen.
Wir freuen uns auf Ihre Anfrage und beraten Sie gerne unverbindlich! Füllen Sie dazu einfach das Kontaktformular aus oder rufen uns direkt an.
Jetzt kontaktierenNewsletter
Holen Sie sich unsere Online Marketing-Insights und Trends direkt in Ihr Postfach!