Google ReCaptcha und die DSGVO

Captchas werden häufig auf Websites eingesetzt. Aus unserer Beratungspraxis kommt insbesondere ein Captcha am meisten zum Zug: Das Google ReCaptcha. Aus aktuellem Anlass, einer Entscheidung der französischen Datenschutzaufsichtsbehörde der CNIL, beantworten wir euch heute Fragen zum Captcha und geben euch Tipps, um euer Unternehmen DSGVO-fit zu machen.

Was bedeutet Captcha?

Captcha bedeutet „completely automated public Turing test to tell computers and humans apart”. Übersetzt bedeutet das „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“.

Welchen Zweck haben Captcha?

Captchas werden dazu eingesetzt, um festzustellen, ob ein Mensch oder eine Maschine (z. B. ein Roboterprogramm oder Bot) einbezogen ist. Es wird zur Überprüfung eingesetzt, von wem Eingaben in Internetformulare erfolgen. Hintergrund ist, dass Roboter hier oft missbräuchlich eingesetzt werden. Captchas dienen also grundsätzlich dem Schutz der Betreiber-Ressourcen, nicht dem Schutz des Benutzers oder dessen Daten.

Webseitennutzer sind verpflichtet, die betroffenen Websitenbesucher:innen über die Einbindung des Google reCaptcha zu informieren. Bisher erfolgte dies auf Basis des berechtigten Interesses. Aus unserer Sicht ist dies jedoch nicht „zu Ende“ gedacht, da auch Daten in die USA übermittelt werden. Hier bedarf es seit dem Wegfall des Privacy Shields der Einwilligung (nach Art. 49 Abs. 1 lit. a) DSGVO), da die Standardvertragsklauseln regelmäßig nicht ausreichend sind bzw. am Transfer Impact Assessment scheitern.

Erfolgt keine Information sind die Websitebesucher:innen in der Regel nicht bewusst, dass eine „Überwachung“ im Hintergrund erfolgt.

Spannend hierzu ist eine aktuelle Entscheidung der CNIL, der französischen Datenschutzaufsichtsbehörde: https://twitter.com/DavidLibeau/status/1516123959288291348

𝑻𝒉𝒆 𝑭𝒓𝒆𝒏𝒄𝒉 𝒅𝒂𝒕𝒂 𝒑𝒓𝒊𝒗𝒂𝒄𝒚 𝒓𝒆𝒈𝒖𝒍𝒂𝒕𝒐𝒓 𝒂𝒔𝒌𝒆𝒅 𝒂 𝒑𝒖𝒃𝒍𝒊𝒄 𝒃𝒐𝒅𝒚 𝒕𝒐 𝒏𝒐𝒕 𝒖𝒔𝒆 #𝑮𝒐𝒐𝒈𝒍𝒆𝑪𝒂𝒑𝒕𝒄𝒉𝒂 𝒘𝒊𝒕𝒉𝒐𝒖𝒕 𝒂𝒔𝒌𝒊𝒏𝒈 𝒄𝒐𝒏𝒔𝒆𝒏𝒕 𝒃𝒆𝒄𝒂𝒖𝒔𝒆 𝒕𝒉𝒊𝒔 𝒕𝒐𝒐𝒍 𝒊𝒔 𝒏𝒐𝒕 𝒐𝒏𝒍𝒚 𝒂 𝒔𝒆𝒄𝒖𝒓𝒊𝒕𝒚 𝒕𝒐𝒐𝒍, 𝒃𝒖𝒕 𝒊𝒕 𝒊𝒔 𝒂𝒍𝒔𝒐 𝒄𝒐𝒍𝒍𝒆𝒄𝒕𝒊𝒏𝒈 𝒅𝒂𝒕𝒂.

Die CNIL kommt also zu dem Ergebnis, dass das Captcha von Google nur nach Einwilligung von Website-Verantwortlichen verwendet werden darf.

Welche Daten werden über das Google ReCaptcha gesammelt?

Für die Analyse des Verhaltens werden personenbezogene Daten gesammelt.

Konkret handelt es sich um

  • IP-Adresse (deine Adresse im Internet)
  • Referrer URL (die Adresse der Seite von welche der Besucher kommt)
  • Infos über das Betriebssystem (die Software, die den Betrieb Ihres Computers ermöglicht.
  • unter Umständen Cookies
  • Mausbewegungen und Tastaturanschläge
  • Verweildauer
  • Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.)

Welche Informationen stellt Google bereit?

Es wird eine Seite für Entwickler:innen zur Verfügung gestellt: https://developers.google.com/recaptcha Auf dieser Seite finden sich nach meinen Recherchen keine weiteren Informationen. Auch in den Google Datenschutzhinweisen konnte ich keine spezifischen reCaptcha Informationen finden.

Unsere Tipps für Dich

➡ Kontaktaufnahme mit deinem Webdesigner/deiner Webdesignerin des Vertrauens
➡ Alternativen zu Google prüfen
➡ Alternativen einbinden
➡ Alternative in den Datenschutzhinweisen ergänzen

❓❓❓
_________
Du willst Deine Datenschutzhinweise noch auf ihre Aktualität hin geprüft haben?

Dann melde dich bei uns – wir unterziehen Deiner Seite einen Check, sprechen Empfehlungen aus und passen Deine Datenschutzhinweise an.

Kontakt

 

Weitere Blog Artikel

Sport ist …

Sport ist für viele Mord. Sie plagen sich ins Fitnessstudio und strampeln sich ab. Der Gedanke dabei, von einer Videokamera

Weiterlesen »
Scroll to Top