Datenschutzprobleme bei Google reCAPTCHA

Inhalt

Websites werden häufig Opfer von massiven Spam-Angriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen, setzt eine Vielzahl Websitebetreiber auf sogenannte Captchas, insbesondere auf reCAPTCHA von Google. Doch dieses Tool bringt datenschutzrechtliche Bedenken mit sich. Zum Glück gibt es aber Alternativen.

Was ist ein Captcha?

Ein Captcha (completely automated public Turing test to tell computers and humans apart) ist ein Tool, das auf Websites eingesetzt wird, um Menschen und maschinelle Programme (Bots) auseinanderzuhalten. Mithilfe dieser Tools bezweckt man, die eigene Website vor Bot-Angriffen zu schützen, indem man ihnen von Anfang an die Zugriffsmöglichkeit auf bestimmte Teile der Website oder aber auf die gesamte Website vorenthält. Vor allem gilt es Missbrauch zu verhindern bei gewissen Interkationen wie z.B. Kommentarfunktion, Registrierungen oder Umfragen durch Fake-User, Click-Fraud und DDos-Attacken.

Die gängigsten Varianten von Captcha sind verschwommene bzw. verzerrte Buchstaben und Zahlen, einfache Matheaufgaben und andere Rätsel oder auch Bilderreihenfolgen. Diese Aufgaben sollen nur von Menschen gelöst werden können – so ist es zumindest in der Theorie vorgesehen.

Captchas und Datenschutz

Grundsätzlich dürfen Captchas, die vor Bots schützen, auf einer Website eingebunden werden. Der Websitebetreiber hat nicht nur ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO), diese Tools einzusetzen, sondern ist sogar verpflichtet, da er die Verfügbarkeit seiner Dienste sicherstellen muss. Ein Schutz der Website mit Hilfe von Captchas ist somit oftmals unerlässlich, um nicht in Spamfluten unterzugehen.

Google reCAPTCHA und der Datenschutz

Das bekannteste dieser Tools wird von Google zur Verfügung gestellt. reCAPTCHA diente ursprünglich der Digitalisierung von Büchern: Von Texterkennungssoftware nicht erkannte Worte wurden als Bild präsentiert und Nutzer klickten auf andere Bilder, die bereits erkannte Worte enthielten (oder tippten die angezeigten Worte ab). Dabei vergleicht ein Algorithmus die zeitnahen Eingaben vieler Nutzer und nimmt die häufigste Eingabe als richtig an. Seitdem Google reCAPTCHA erwarb, nutzt es diese Art des Crowdsourcings insbesondere dazu, nicht erkannte Elemente seiner Kartendienste (Google Maps) zu identifizieren, vor allem Hausnummern und Straßennamen.

Durch Verbesserungen der zugrundeliegenden Technologie bekommen die meisten Nutzer heutzutage jedoch nur eine Checkbox angezeigt, bei der sie bestätigen sollen, dass sie keine Maschine sind. Lediglich die Nutzer (basierend u.a. auf Webbrowser und IP-Adresse), deren Verhalten nicht sehr sicher als menschlich identifiziert werden kann, bekommen Bilder zum Vergleichen bzw. Auswählen angezeigt.

Googles reCAPTCHA wirkt jedoch nicht nur wie eine Schutzvorrichtung, sondern birgt für Nutzer mehrere Datenschutzrisiken:

Fehlende Transparenz

Im Hintergrund von Google reCAPTCHA läuft ein JavaScript-Element, welches in der Lage ist, Benutzerverhalten auszuwerten. Für die Analyse des Verhaltens werden zum Beispiel Daten wie die IP-Adresse, Informationen über das Betriebssystem, Mausbewegungen und Tastaturanschläge und Verweildauer an Google weitergeleitet.

Nur in den seltensten Fällen wird bei Websites, die reCAPTCHA einsetzen, in der Datenschutzerklärung auf eine solche Analyse hingewiesen.

Da dies im Hintergrund abläuft, sind sich Websitenutzer oftmals nicht bewusst, dass sie überwacht werden. Zudem ist unklar, welche Daten Google sammelt und wie sie verwendet werden. Google selbst verweist regelmäßig auf die allgemeine Datenschutzerklärung, die jedoch keine spezifischen Informationen zu reCAPTCHA enthält.

Das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) weist in seinen Fragen und Antworten zum Datenschutz (FAQ) auf die Problematik bezüglich Google reCAPTCHA hin:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Drittlandtransfer

Bei dem Einsatz von Google reCAPTCHA muss zudem beachtet werden, dass sich bei Aktivieren des Tools eine Verbindung zu den Servern von Google herstellt und hierdurch eine Datenübermittlung in die USA stattfinden kann. Somit müssen Websitebetreiber auch die für Drittlandübermittlungen geltenden Anforderungen erfüllen, einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshof (EuGH) in der Sache „Schrems II“. Betreiber müssen demnach prüfen, ob die strengen Anforderungen aus dem Schrems II-Urteil erfüllt werden können, da ansonsten eine Übermittlung unzulässig ist.

Fehlende Rechtsgrundlage

Eine weitere entscheidende Frage ist, auf welcher Rechtsgrundlage der Einsatz von Google reCAPTCHA gestützt werden kann. Es ist durchaus fraglich, ob Google reCAPTCHA zur Sicherung einer Website erforderlich ist und damit auf das berechtigte Interesse des Betreibers gestützt werden kann. Somit müsste das berechtigte Interesse des Websitebetreibers und von Google schutzwürdiger sein als das der betroffenen Websitebesucher. Die Datenerhebung müsste also essentiell bzw. unentbehrlich für den Betrieb der Website sein.

Natürlich kann man argumentieren, dass der Einsatz von Captchas zum Schutz der Website unerlässlich ist, um diese vor Spamfluten zu schützen. Allerdings gibt es alternative Lösungen (siehe unten), die im Vergleich zu Google reCAPTCHA datenschutzfreundlich sind. Somit lässt sich die Verarbeitung nicht auf das berechtigte Interesse stützen. Der Betreiber hat also nur die Möglichkeit das Tool zu nutzen, nachdem er die informierte Einwilligung des Besuchers eingeholt hat.

Ähnlich argumentiert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Orientierungshilfe bzgl. Analyse-Tools. Die vernünftigen Erwartungen der betroffenen Person, die auf  ihrer Beziehung zu dem Verantwortlichen beruhen, müssen berücksichtigt werden:

„Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht […]. Jedenfalls dann, wenn die Dritten die Nutzerdaten zu eigenen Zwecken weiterverarbeiten, sind die Folgen und potentiellen Risiken für die Interessen, Grundfreiheiten und Grundrechte der betroffenen Personen weder einschätz- noch bewertbar. […] Diese Verarbeitungen entsprechen nicht den vernünftigen Erwartungen der Nutzer, weil sie sich im Hinblick auf die Selbstbestimmung nur nachteilig auswirken. Ebenso liegen Techniken, welche das Verhalten von Besuchern bei der Interaktion mit einem Dienst der Informationsgesellschaft exakt nachvollziehen und dokumentieren können, wie z.B. bei der Erfassung der Tastatur-, Maus- und Wischbewegungen auf Touchscreens, außerhalb der Erwartungshaltung des Nutzers.“

Somit muss sich jeder Verantwortliche bewusst machen, dass eine Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Eine pauschale Feststellung, wie hier der Schutz gegen Spambots, kann eine Datenverarbeitung auf Basis des berechtigten Interesses nicht gerechtfertigten und erfüllt nicht die gesetzlichen Anforderungen.

Profiling

Aus den gesammelten Daten durch Google reCAPTCHA und der Zusammenführung des Surfverhaltens wird das Profil eines Nutzers immer genauer, welches der Werbekonzern Google wiederum für eigene Zwecke nutzen kann. Auch wenn Google sich hierzu bedeckt hält, ob und inwiefern die erhobenen Daten durch reCAPTCHA tatsächlich für solche Zwecke erhoben werden, eine Einwilligung ist unumgänglich.

Alternativen zu reCAPTCHA

Eine Alternative zu reCAPTCHA sind sogenannte Honeypots. Mit Hilfe dieser Methode erstellt man in Formularen ein zusätzliches (verstecktes) Eingabefeld. Bei der Programmierung wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche auch entlarvt. Man hat demnach einen einfachen, recht effektiven und barrierefreien Spamschutz.

Sollte die Honeypot-Methode alleine nicht ausreichen, um Spam abzuwehren, kann (vorübergehend) zusätzlich ein einfaches Quiz eingesetzt werden. Viele Content-Management-Systeme für Websites oder Onlineshops können ein solches Quiz mit Hausmitteln anzeigen, so dass hier auf den Einsatz von Dritten, die ggfs. wiederum personenbezogene Daten erheben könnten, meist verzichtet werden kann.

Absoluten Schutz gegen Spam und andere Cyber-Attacken gibt es freilich nicht. Um schwerere Schäden zu vermeiden, sollten Verantwortliche über regelmäßige Pentests und die Schulung ihrer Mitarbeiter in Sachen Informationssicherheit nachdenken.

Fazit: reCAPTCHA ist nicht empfehlenswert

Der Einsatz von Google reCAPTCHA birgt Rechtsrisiken, welche durch eine transparente Beschreibung der Zwecke und Funktionsweise des reCAPTCHA in der Datenschutzerklärung und die Einholung einer Einwilligung der Besucher über Cookie-Consent-Banner höchstens gemindert werden können.

Eine 100%ig rechtskonforme Lösung ist mit dem Einsatz des Tools nicht möglich, vor allem weil Google nicht ausreichend festlegt, welche Verarbeitungen bei reCAPTCHA tatsächlich stattfinden. Verantwortlichen raten wir deshalb zu alternativen Methoden der Spam-Abwehr.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.