Google reCaptcha und der Datenschutz

Fachbeitrag

In diesem Beitrag geht es um Captchas und den Google reCaptcha insbesondere. Was soll das denn sein? Fragen Sie sich vielleicht. Dass Captchas so wenig Leuten ein Begriff sind, ist komisch, wenn man bedenkt, dass nach einer Hochrechnung von 2006 Internetnutzer weltweit pro Tag 150.000 Stunden mit deren Lösung verbringen. Wenden wir uns also mal diesem Mauerblümchen der Netzwelt zu.

Was ist ein Captcha?

Captcha ist eine Abkürzung für „completely automated public Turing test to tell computers and humans apart“ (vollautomatischer öffentliche Turing-Test zur Unterscheidung von Computern und Menschen). Ein Test, der Menschen von Maschinen/Roboterprogrammen, kurz „Bots“ unterscheiden soll.

Captcha ist an das englische Wortcapture (einfangen, erfassen) angelehnt und soll verhindern, dass Bots gewisse Interkationen wie z.B. Registrierungen, Umfragen, Kommentarfunktion usw. auf Webseiten missbrauchen, z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc..

Prinzip: Einfach für Menschen, schwer für Bots

Bei Captchas hat man sich lange auf die Unfähigkeit von Robotern verlassen, verzerrten Text zu entziffern, weil diese dafür zunächst einen Algorithmus zur Mustererkennung benötigt hätten. Mittels künstlicher Intelligenz können Bots verzerrten Text mittlerweile aber entziffern, deswegen greifen Anbieter von Captchas mittlerweile auf raffiniertere Methoden zurück, um zu testen, ob man es mit einem Menschen oder einem Bot zu tun hat.

Google’s Lösung – reCaptcha

Mit Abstand der größte Anbieter ist – wenn wundert’s – Google. Um Google’s Dienst reCaptcha soll es im Folgenden vorrangig gehen.

Geschichte von reCaptcha

2009 kam der Informatiker Luis von Ahn auf die Idee, dass man den Gehirnschmalz, den die Nutzer beim Lösen von Captchas aufbringen, auch sinnvoll nutzen könnte. Er entwickelte „reCaptcha“. Dieses half beim Digitalisieren von Büchern und Zeitschriften, z.B. dem Archiv der New York Times, indem die Nutzer Buchstaben erkennen mussten, die ein Visualisierungsprogramm nicht erkennen konnte.

Google kaufte das Unternehmen und nutzt es nun auch zur Digitalisierung von Hausnummern und Straßennamen aus Google Street View. Wir wirken durch Lösen der reCaptchas also unwissentlich und kostenlos am Schrifterkennungsprojekt reCaptcha und der Verbesserung von Google Streetview mit.

NoCaptcha und Invisible reCaptcha – unsichtbar im Hintergrund

Da diese Lösung aber Probleme in Bezug auf die Barrierefreiheit von Webseiten für sehbehinderte Menschen hat und viele Nutzer davon genervt waren, hat Google „No Captcha ReCaptcha“ eingeführt. Diese Version von ReCaptcha verwendet verhaltensbasierte Analysen, z.B. die bisherigen Browser-Interaktionen des Benutzers, Mausbewegungen und Verweildauer auf der Webseite, um eine Wahrscheinlichkeit zu errechnen, ob man es mit einem Mensch oder einem Bot zu tun hat – der sogenannte Captcha-Score.

Wenn der Algorithmus überzeugt ist, dass er es mit einem Mensch zu tun hat, reicht ein Mausklick auf das Captcha „I’m not a robot“ aus oder es braucht gar keiner Handlung mehr („Invisible ReCaptcha“). Nur in Zweifelsfällen wird – wie früher – ein Fenster mit einer Frage oder einer anderen Aufgabe eingeblendet, die gelöst werden muss.

reCaptcha und Datenschutzprobleme

Bei reCaptcha wird ein JavaScript-Element in den Quelltext eingebunden und dann läuft das Tool im Hintergrund und analysiert das Nutzerverhalten. Websitebesucher werden nicht darauf hingewiesen, dass eine Analyse stattfindet. Das führt zum ersten Datenschutzproblem:

Fehlende Transparenz

Für die Analyse des Verhaltens werden personenbezogene Daten wie:

  • IP-Adresse (z.B. 192.168.178.11)
  • Referrer URL (die Adresse der Seite von der der Besucher kommt)
  • Infos über das Betriebssystem (die Software, die den Betrieb Ihres Computers ermöglicht.
  • ggf. Cookies
  • Mausbewegungen und Tastaturanschläge
  • Verweildauer
  • Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.)

an Google weitergeleitet.

Webseitennutzer sind sich in der Regel überhaupt nicht bewusst, dass sie im Hintergrund überwacht werden. Google hält sich zudem bedeckt, welche Daten gesammelt und wie Sie verwendet werden.

Es gibt zwar eine Seite für Entwickler, aber auch dort findet man keine detaillierten Informationen, sondern wird auf die allgemeine Google Datenschutzerklärung verwiesen, die keine reCaptcha spezifischen Informationen bereithält.

Die bayerische Aufsichtsbehörde (BayLDA) erteilt daher in seinen FAQs folgenden eindeutigen Ratschlag, der eigentlich eine Warnung ist:

„Darf Google reCAPTCHA auf der Website eingebunden werden?

Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Fehlende Rechtsgrundlage

Die entscheidende Frage für die Rechtsgrundlage des reCaptcha Einsatzes ist, ob Google reCaptcha zur Sicherung einer Webseite erforderlich ist und damit auf das berechtigte Interesse des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Ob also das berechtigte Interesse von Google und des Websitebetreibers schutzwürdiger ist, als das der betroffenen Nutzer. Entscheidend für die Beantwortung der Frage ist, ob die Datenerhebung essentiell/unentbehrlich für den Betrieb einer Webseite ist.

Dafür spricht, dass ein Schutz der Webseite über Captchas häufig unerlässlich ist, wenn man nicht in „Spamfluten“ untergehen will. Dagegen spricht, dass es auch andere datenschutzfreundlichere Lösungen gibt. Dazu mehr unten. Man kann die Verarbeitung also wohl eher nicht auf das berechtigte Interesse stützen. Der Betreiber der Webseite müsste also eigentlich eine Einwilligung einholen.

Die Berliner Aufsichtsbehörde hat sich eindeutig geäußert und bei Analyse-Tools, bei denen der Anbieter die erhobenen Daten auch zu eigenen Zwecken erhebt, eine Einwilligung der Nutzer:

„Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.“

Das passiert aber in der Regel nicht, da Google Daten verwendet und analysiert noch bevor der Nutzer auf das Häkchen „Ich bin kein Roboter“ klickt. Bei der Invisible reCaptcha-Version fällt sogar das Ankreuzen weg. Nutzer sind also in der Regel völlig ahnungslos und können so schon keine Einwilligung erteilen. Erachtet man also eine Einwilligung für erforderlich, wird diese nach dem aktuellen Set-up nicht erhoben. Eine mögliche Lösung wäre es, wenn man reCaptcha in einem Cookie Banner mit aufführt, und dem Nutzer so die Möglichkeit der Einwilligung gibt. Der Nachteil ist aber, dass man dann reCaptcha nicht einsetzen kann, wenn der Nutzer die Einwilligung verweigert. Für diesen Fall bedürfte es dann möglicherweise ein „Back-up“-Captcha.

Unrechtmäßiges Profiling

Aus dem Surfverhalten eines Nutzers lässt sich recht einfach ein psychologisches Profil erstellen, das der Werbekonzern Google wiederum nutzen kann für personalisierte Werbe-Anzeigen. Da Google sich dazu bedeckt hält, bleibt unklar, inwiefern die erhobenen Daten auch für solche Zwecke erhoben werden. Eins ist jedoch klar, es braucht dafür eine Einwilligung.

Drittlandübermittlung in die USA

Zudem findet möglicherweise eine Übermittlung personenbezogener Nutzerdaten in Drittländer statt, weil zur Einbindung der Google Services zumindest die IP-Adresse der Nutzer an Google übermittelt wird. Anbieter des Dienstes ist die irische Google Tochter „Google Ireland Limited“ und IP-Adressen der Besucher werden innerhalb der Mitgliedstaaten der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum nach Angaben Google’s gekürzt, bevor die Daten in den USA übermittelt werden. Dennoch bleiben die Angaben von Google auch hier vage. Die Datenübermittlung in die USA ist seit dem Schrems-II-Urteil ein grundsätzliches Problem.

Honigtöpfe & Co. als Alternativen

Sogenannte Honeypot/Honigtöpfe sind eine Alternative, um Spambots reinzulegen. Dafür werden Kontaktformulare um ein für menschliche Nutzer unsichtbares Feld erweitert. Bots sehen aber nur den Quellcode und füllen beflissen wie sie programmiert wurden auch diese Felder und werden – zack – als Bots entlarvt und können herausgefiltert werden.

Es gibt auch Anbieter von Captchas, die damit werben, datenschutzfreundlicher zu arbeiten, z.B. hcaptcha und friendly captcha.

reCaptcha – Einsatz datenschutzrechtlich problematisch

Wie Sie wahrscheinlich schon vermutet haben, ist der Einsatz von Google Produkten und Datenschutz ein schwieriges Thema. Google ist nun mal vorrangig ein Werbeunternehmen. Es ist daher nicht verwunderlich, dass auch die „kostenlosen“ Sicherheitslösungen von Google genutzt werden, um Nutzerdaten zu erheben.

Wie oben zitiert, hat sich die bayerische Aufsichtsbehörde schon eindeutig geäußert und rät aufgrund fehlender Transparenz von dem Einsatz von reCaptcha ab. Zudem wird bei Analyse-Tools wie reCaptcha, bei denen der Anbieter die erhobenen Daten auch zu eigenen Zwecken erhebt, eine Einwilligung gefordert.

Was bedeutet das für Betreiber einer Webseite?

Sie sollten wissen, dass der Einsatz von reCaptcha Rechtsrisiken birgt. Das gilt aber auch für andere Hintergrunddienste von Google wie Google Maps, Google Analytics etc.. Zu einer Abmahnwelle oder Bußgeldwelle ist es bisher aber noch nicht gekommen. Eine Lösung für Milderung der Rechtsunsicherheit sind eine möglichst transparente Beschreibung der Zwecke und Funktionsweise des reCaptcha in der Datenschutzerklärung und die Einholung einer Einwilligung der Besucher z.B. über den Cookie Banner bei Aufruf der Webseite. 100 % rechtskonform wird der Einsatz aber auch dadurch nicht, weil Google nicht ausreichend transparent darlegt, welche Verarbeitungen bei reCaptcha stattfinden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Mir fehlen folgende Punkte:
    1. Recaptcha von Google ist der einzige Anbieter der eine Lösung für Sehbehinderte bietet. Nach meiner Einschätzung heißt das dann, dass behördliche Website dieses Recaptcha nutzen dürfen, da Behörden die barriere Freiheit unterstützen müssen. Ist das tatsächlich so?
    2. Es gibt mittlerweile auch BOTS die mit Honeypots umzugehen wissen. Meine eigenen Untersuchungen haben auch gezeigt, dass die Abwehrrate von SPAM von Google Recaptcha am besten ist. D.h. wiederum, bin ich als Unternehmen (z.b. im Zuge einer Serviceerbringung) dazu verpflichtet ein Kontaktformular zur Verfügung zustellen. Dann bin ich in der Situation, dass die zwei Punkte unter DS-GVO unvereinbar scheinen. Denn verwende ich nicht Google recaptcha, leidet die Verfügbarkeit meines Services (ich „ersticke“ in der SPAM-Flut) oder ich nicht Datenschutz-konformes Tool wie Recaptcha und handele damit falsch.
    3. Aus meiner Sicht muss ein Unternehmen ein Kontaktformular für das Thema Datenschutz zur Verfügung zu stellen. Dies ergibt sich aus Art. 12 (2) und Erwägungsgrund 63. Den jemand der die Website besucht muss nicht zwangsläufig ein Telefon oder eine E-Mail-Adresse. Ein PC zum Ausfüllen des Kontaktformulars ist jedoch vorhanden. Dies ist somit der „einfachste Weg“ der betroffenen Person die Möglichkeit zur Ausübung seiner betroffenen Rechte zu geben.

  2. 256.123.123.1 ist keine gültige IPv4 Adresse. Diese gehen nur bis 255.255.255.255. de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen

  3. Danke für den aufschlussreichen Artikel, der uns zu denken gegeben hat! Danke auch für Ihren Tipp mit hCaptcha und Friendly Captcha, zwei gute Alternativen. Wir sind am Ende bei Friendly Captcha als Ersatz für Google reCaptcha hängen geblieben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.