zur Übersicht

Google reCAPTCHA? Besser nicht.

Im vergangenen Jahr wurde wieder einmal über die (Un-)Möglichkeit einer datenschutzkonformen Anwendung von Googles Dienst reCAPTCHA entschieden. Dies erfolgte im September durch das Bundesverwaltungsgericht Österreich (im folgenden „BVerwG Österreich“).

Was ist Google reCAPTCHA?

Captchas sind Tests auf Webseiten, mit deren Hilfe Menschen von Roboterprogrammen unterschieden werden können. Darunter fallen z. B. Aufgaben zur Entzifferung verzerrten Texts (CAPTCHA = Completely Automated Public Turing Test to Tell Computers and Humans Apart). Diese müssen bei verschiedenen Interaktionen im Internet durchgeführt werden, wie z. B. der Registrierung auf einer Webseite oder dem Abschicken eines Kommentars. Dadurch sollen Spam-Angriffe und anderweitige Manipulationsversuche auf Webseiten verhindert werden.

Der größte Anbieter von Captchas ist Google mit seinem Dienst reCAPTCHA. Bei dem Einsatz von reCAPTCHA läuft teilweise im Hintergrund eine Auswertung des Benutzerverhaltens des Webseitenbesuchers. Dabei werden Daten wie z. B. Mausbewegungen, Tastaturanschläge, Informationen über das Betriebssystem und die Verweildauer auf der Webseite an Google weitergeleitet und analysiert, um eine Wahrscheinlichkeit zu errechnen, ob es sich um einen Menschen oder um ein Roboterprogramm handelt. Kommt die verhaltensbasierte Analyse zu dem Ergebnis, dass es sich um einen Menschen handelt, muss entweder eine Bestätigung auf das sich öffnende Fenster „I’m not a robot“ erfolgen oder es wird gar keine Handlung mehr gefordert. In diesen Fällen bleibt es dem Nutzer gänzlich verborgen, dass eine Abwägung im Hintergrund stattgefunden hat. Ist das Ergebnis der Analyse nicht eindeutig, öffnet sich ein klassisches Captcha mit einer Frage oder Aufgabe, die es dann zu lösen gilt.

Worin liegt aus Sicht des Datenschutzes das Problem?

In der Regel werden Webseitenbesucher nicht über diese im Hintergrund stattfindende Analyse ihres Verhaltens aufgeklärt. Es fehlt somit die transparente Information der Nutzer.

Das BayLDA antwortet auf die Frage „Darf Google reCAPTCHA auf der Website eingebunden werden?“ mit dem Hinweis, dass Webseitenbetreiber unbedingt Alternativen prüfen sollten. „Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Da Google nicht offen legt, welche Daten im Einzelnen bei der Analyse gesammelt werden und wie diese verwendet werden, ist eine transparente Information durch den Betreiber der Webseite im Ergebnis nicht möglich.

Des Weiteren bestehen Probleme mit der datenschutzrechtlichen Rechtsgrundlage für den Einsatz von reCAPTCHA. In Betracht käme die Nutzung aufgrund berechtigten Interesses. Hier kam aber die französische Datenschutzbehörde CNIL bereits mehrmals zu dem Schluss, dass dies keine geeignete Rechtsgrundlage sei. Dies sowohl bei der Prüfung der „StopCovid“-App des französischen Gesundheitsministeriums im Jahr 2020, als auch nach einer Beschwerde gegenüber der französischen Nationalpolizei bezüglich der Benutzung eines Online-Formulars im Jahr 2022. Außerdem auch in einem Bußgeldverfahren gegen das Unternehmen Cityscoot im Jahr 2023, welches reCAPTCHA für Login und Registrierung auf seiner Webseite nutzte. Die CNIL argumentiert, dass die Sammlung von Informationen durch reCAPTCHA nicht ausschließlich der Sicherung einer Anwendung oder einer Website diene, was durchaus ein berechtigtes Interesse darstellen würde, sondern auch Analysevorgänge seitens Google ermögliche. Daher sei eine Einwilligung des Webseitennutzers erforderlich. Wird diese nicht eingeholt, erfolgt die Nutzung von reCAPTCHA nach dieser Auffassung ohne Rechtsgrundlage.

Was entschied das BVerwG Österreich?

Das BVerwG Österreich hat in seinem Urteil vom 13. September 2024 (Az.: W298 2274626-1/8E) ebenfalls entschieden, dass Google reCAPTCHA auf Webseiten nur mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden darf. Ein berechtigtes Interesse an der Speicherung der Daten konnte das Gericht nicht feststellen. Zwar erkennt es an, dass das Verhindern von Bot-Eingaben für die Betreiber einer Webseite vorteilhaft ist, stellt aber darauf ab, dass die Implementierung des Tools für den Betrieb einer Webseite technisch nicht notwendig sei, da es keinen Einfluss auf die Funktionalität der Website habe.

Fazit

Der Entscheidung des BVerwG Österreich lässt sich entgegenhalten, dass die Funktionalität einer Webseite durchaus beeinträchtigt werden kann, wenn sie nicht ausreichend vor Manipulationen und Spam-Attacken geschützt wird. Allerdings ist zu beachten, dass reCAPTCHA eben nicht nur der Sicherheit dient, sondern darüber hinaus Google die Verwendung der gesammelten personenbezogenen Daten ermöglicht und dies dem Nutzer nicht transparent angezeigt wird oder werden kann.

Sofern auf einer Webseite diese Technologie zum Einsatz kommt, sollten die anhaltenden Bedenken gegen einen datenschutzkonformen Einsatz des Dienstes für eine Prüfung zum Anlass genommen werden, ob nicht datenschutzfreundlichere Alternativen wie hCaptcha, Honeypots oder Friendly Captcha genutzt werden können. Ansonsten scheint die Einholung einer Einwilligung der Webseitennutzer unbedingt notwendig zu sein. Schließlich muss über die Verwendung von reCAPTCHA in der Datenschutzerklärung zu der fraglichen Webseite informiert werden. Auch wenn dies den Verantwortlichen vor die Herausforderung stellt, dass er nicht darlegen kann, welche Nutzerdaten Google sammelt und wie Google diese Daten verarbeitet.

Bei Fragen zur Nutzung von Google reCAPTCHA und vergleichbaren Tools, der datenschutzkonformen Einholung einer Einwilligung sowie der Bereitstellung der notwendigen Informationen in einer Datenschutzerklärung sind wir Ihnen gerne mit unserer Expertise behilflich.

Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.