Zum Inhalt springen Zur Navigation springen
Google reCaptcha und der Datenschutz

Google reCaptcha und der Datenschutz

In diesem Beitrag geht es um Captchas und den Google reCaptcha insbesondere. Was soll das denn sein? Fragen Sie sich vielleicht. Dass Captchas so wenig Leuten ein Begriff sind, ist komisch, wenn man bedenkt, dass nach einer Hochrechnung von 2006 Internetnutzer weltweit pro Tag 150.000 Stunden mit deren Lösung verbringen. Wenden wir uns also mal diesem Mauerblümchen der Netzwelt zu.

Was ist ein Captcha?

Captcha ist eine Abkürzung für „completely automated public Turing test to tell computers and humans apart“ (vollautomatischer öffentliche Turing-Test zur Unterscheidung von Computern und Menschen). Ein Test, der Menschen von Maschinen/Roboterprogrammen, kurz „Bots“ unterscheiden soll.

Captcha ist an das englische Wortcapture (einfangen, erfassen) angelehnt und soll verhindern, dass Bots gewisse Interkationen wie z.B. Registrierungen, Umfragen, Kommentarfunktion usw. auf Webseiten missbrauchen, z.B. durch Fake-User, Click-Fraud und DDos-Attacken etc..

Prinzip: Einfach für Menschen, schwer für Bots

Bei Captchas hat man sich lange auf die Unfähigkeit von Robotern verlassen, verzerrten Text zu entziffern, weil diese dafür zunächst einen Algorithmus zur Mustererkennung benötigt hätten. Mittels künstlicher Intelligenz können Bots verzerrten Text mittlerweile aber entziffern, deswegen greifen Anbieter von Captchas mittlerweile auf raffiniertere Methoden zurück, um zu testen, ob man es mit einem Menschen oder einem Bot zu tun hat.

Google’s Lösung – reCaptcha

Mit Abstand der größte Anbieter ist – wenn wundert’s – Google. Um Google’s Dienst reCaptcha soll es im Folgenden vorrangig gehen.

Geschichte von reCaptcha

2009 kam der Informatiker Luis von Ahn auf die Idee, dass man den Gehirnschmalz, den die Nutzer beim Lösen von Captchas aufbringen, auch sinnvoll nutzen könnte. Er entwickelte „reCaptcha“. Dieses half beim Digitalisieren von Büchern und Zeitschriften, z.B. dem Archiv der New York Times, indem die Nutzer Buchstaben erkennen mussten, die ein Visualisierungsprogramm nicht erkennen konnte.

Google kaufte das Unternehmen und nutzt es nun auch zur Digitalisierung von Hausnummern und Straßennamen aus Google Street View. Wir wirken durch Lösen der reCaptchas also unwissentlich und kostenlos am Schrifterkennungsprojekt reCaptcha und der Verbesserung von Google Streetview mit.

NoCaptcha und Invisible reCaptcha – unsichtbar im Hintergrund

Da diese Lösung aber Probleme in Bezug auf die Barrierefreiheit von Webseiten für sehbehinderte Menschen hat und viele Nutzer davon genervt waren, hat Google „No Captcha ReCaptcha“ eingeführt. Diese Version von ReCaptcha verwendet verhaltensbasierte Analysen, z.B. die bisherigen Browser-Interaktionen des Benutzers, Mausbewegungen und Verweildauer auf der Webseite, um eine Wahrscheinlichkeit zu errechnen, ob man es mit einem Mensch oder einem Bot zu tun hat – der sogenannte Captcha-Score.

Wenn der Algorithmus überzeugt ist, dass er es mit einem Mensch zu tun hat, reicht ein Mausklick auf das Captcha „I’m not a robot“ aus oder es braucht gar keiner Handlung mehr („Invisible ReCaptcha“). Nur in Zweifelsfällen wird – wie früher – ein Fenster mit einer Frage oder einer anderen Aufgabe eingeblendet, die gelöst werden muss.

reCaptcha und Datenschutzprobleme

Bei reCaptcha wird ein JavaScript-Element in den Quelltext eingebunden und dann läuft das Tool im Hintergrund und analysiert das Nutzerverhalten. Websitebesucher werden nicht darauf hingewiesen, dass eine Analyse stattfindet. Das führt zum ersten Datenschutzproblem:

Fehlende Transparenz

Für die Analyse des Verhaltens werden personenbezogene Daten wie:

  • IP-Adresse (z.B. 192.168.178.11)
  • Referrer URL (die Adresse der Seite von der der Besucher kommt)
  • Infos über das Betriebssystem (die Software, die den Betrieb Ihres Computers ermöglicht.
  • ggf. Cookies
  • Mausbewegungen und Tastaturanschläge
  • Verweildauer
  • Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.)

an Google weitergeleitet.

Webseitennutzer sind sich in der Regel überhaupt nicht bewusst, dass sie im Hintergrund überwacht werden. Google hält sich zudem bedeckt, welche Daten gesammelt und wie Sie verwendet werden.

Es gibt zwar eine Seite für Entwickler, aber auch dort findet man keine detaillierten Informationen, sondern wird auf die allgemeine Google Datenschutzerklärung verwiesen, die keine reCaptcha spezifischen Informationen bereithält.

Die bayerische Aufsichtsbehörde (BayLDA) erteilt daher in seinen FAQs folgenden eindeutigen Ratschlag, der eigentlich eine Warnung ist:

„Darf Google reCAPTCHA auf der Website eingebunden werden?

Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Fehlende Rechtsgrundlage

Die entscheidende Frage für die Rechtsgrundlage des reCaptcha Einsatzes ist, ob Google reCaptcha zur Sicherung einer Webseite erforderlich ist und damit auf das berechtigte Interesse des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Ob also das berechtigte Interesse von Google und des Websitebetreibers schutzwürdiger ist, als das der betroffenen Nutzer. Entscheidend für die Beantwortung der Frage ist, ob die Datenerhebung essentiell/unentbehrlich für den Betrieb einer Webseite ist.

Dafür spricht, dass ein Schutz der Webseite über Captchas häufig unerlässlich ist, wenn man nicht in „Spamfluten“ untergehen will. Dagegen spricht, dass es auch andere datenschutzfreundlichere Lösungen gibt. Dazu mehr unten. Man kann die Verarbeitung also wohl eher nicht auf das berechtigte Interesse stützen. Der Betreiber der Webseite müsste also eigentlich eine Einwilligung einholen.

Die Berliner Aufsichtsbehörde hat sich eindeutig geäußert und bei Analyse-Tools, bei denen der Anbieter die erhobenen Daten auch zu eigenen Zwecken erhebt, eine Einwilligung der Nutzer:

„Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.“

Das passiert aber in der Regel nicht, da Google Daten verwendet und analysiert noch bevor der Nutzer auf das Häkchen „Ich bin kein Roboter“ klickt. Bei der Invisible reCaptcha-Version fällt sogar das Ankreuzen weg. Nutzer sind also in der Regel völlig ahnungslos und können so schon keine Einwilligung erteilen. Erachtet man also eine Einwilligung für erforderlich, wird diese nach dem aktuellen Set-up nicht erhoben. Eine mögliche Lösung wäre es, wenn man reCaptcha in einem Cookie Banner mit aufführt, und dem Nutzer so die Möglichkeit der Einwilligung gibt. Der Nachteil ist aber, dass man dann reCaptcha nicht einsetzen kann, wenn der Nutzer die Einwilligung verweigert. Für diesen Fall bedürfte es dann möglicherweise ein „Back-up“-Captcha.

Unrechtmäßiges Profiling

Aus dem Surfverhalten eines Nutzers lässt sich recht einfach ein psychologisches Profil erstellen, das der Werbekonzern Google wiederum nutzen kann für personalisierte Werbe-Anzeigen. Da Google sich dazu bedeckt hält, bleibt unklar, inwiefern die erhobenen Daten auch für solche Zwecke erhoben werden. Eins ist jedoch klar, es braucht dafür eine Einwilligung.

Drittlandübermittlung in die USA

Zudem findet möglicherweise eine Übermittlung personenbezogener Nutzerdaten in Drittländer statt, weil zur Einbindung der Google Services zumindest die IP-Adresse der Nutzer an Google übermittelt wird. Anbieter des Dienstes ist die irische Google Tochter „Google Ireland Limited“ und IP-Adressen der Besucher werden innerhalb der Mitgliedstaaten der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum nach Angaben Google’s gekürzt, bevor die Daten in den USA übermittelt werden. Dennoch bleiben die Angaben von Google auch hier vage. Die Datenübermittlung in die USA ist seit dem Schrems-II-Urteil ein grundsätzliches Problem.

Honigtöpfe & Co. als Alternativen

Sogenannte Honeypot/Honigtöpfe sind eine Alternative, um Spambots reinzulegen. Dafür werden Kontaktformulare um ein für menschliche Nutzer unsichtbares Feld erweitert. Bots sehen aber nur den Quellcode und füllen beflissen wie sie programmiert wurden auch diese Felder und werden – zack – als Bots entlarvt und können herausgefiltert werden.

Es gibt auch Anbieter von Captchas, die damit werben, datenschutzfreundlicher zu arbeiten, z.B. hcaptcha, friendly captcha und captcha.eu.

reCaptcha – Einsatz datenschutzrechtlich problematisch

Wie Sie wahrscheinlich schon vermutet haben, ist der Einsatz von Google Produkten und Datenschutz ein schwieriges Thema. Google ist nun mal vorrangig ein Werbeunternehmen. Es ist daher nicht verwunderlich, dass auch die „kostenlosen“ Sicherheitslösungen von Google genutzt werden, um Nutzerdaten zu erheben.

Wie oben zitiert, hat sich die bayerische Aufsichtsbehörde schon eindeutig geäußert und rät aufgrund fehlender Transparenz von dem Einsatz von reCaptcha ab. Zudem wird bei Analyse-Tools wie reCaptcha, bei denen der Anbieter die erhobenen Daten auch zu eigenen Zwecken erhebt, eine Einwilligung gefordert.

Was bedeutet das für Betreiber einer Webseite?

Sie sollten wissen, dass der Einsatz von reCaptcha Rechtsrisiken birgt. Das gilt aber auch für andere Hintergrunddienste von Google wie Google Maps, Google Analytics etc.. Zu einer Abmahnwelle oder Bußgeldwelle ist es bisher aber noch nicht gekommen. Eine Lösung für Milderung der Rechtsunsicherheit sind eine möglichst transparente Beschreibung der Zwecke und Funktionsweise des reCaptcha in der Datenschutzerklärung und die Einholung einer Einwilligung der Besucher z.B. über den Cookie Banner bei Aufruf der Webseite. 100 % rechtskonform wird der Einsatz aber auch dadurch nicht, weil Google nicht ausreichend transparent darlegt, welche Verarbeitungen bei reCaptcha stattfinden.

Update 19.04.2022: Erste Aufsichtsbehörde untersagt Einsatz von Google reCaptcha

Nach einer Betroffenenbeschwerde über den Einsatz von reCaptcha vor dem Meldeformular der Kontrollstelle der französischen Nationalpolizei, untersagte die CNIL dem Innenministerium den Dienst, ohne das Einholen einer Einwilligung, weiter zu verwenden. Denn die Sammlung von Informationen durch reCaptcha diene nicht ausschließlich der Sicherung der Website, sondern ermögliche auch Analysevorgänge seitens Google.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Super Beitrag! Vielen Dank.

  • Mir fehlen folgende Punkte:
    1. Recaptcha von Google ist der einzige Anbieter der eine Lösung für Sehbehinderte bietet. Nach meiner Einschätzung heißt das dann, dass behördliche Website dieses Recaptcha nutzen dürfen, da Behörden die barriere Freiheit unterstützen müssen. Ist das tatsächlich so?
    2. Es gibt mittlerweile auch BOTS die mit Honeypots umzugehen wissen. Meine eigenen Untersuchungen haben auch gezeigt, dass die Abwehrrate von SPAM von Google Recaptcha am besten ist. D.h. wiederum, bin ich als Unternehmen (z.b. im Zuge einer Serviceerbringung) dazu verpflichtet ein Kontaktformular zur Verfügung zustellen. Dann bin ich in der Situation, dass die zwei Punkte unter DS-GVO unvereinbar scheinen. Denn verwende ich nicht Google recaptcha, leidet die Verfügbarkeit meines Services (ich „ersticke“ in der SPAM-Flut) oder ich nicht Datenschutz-konformes Tool wie Recaptcha und handele damit falsch.
    3. Aus meiner Sicht muss ein Unternehmen ein Kontaktformular für das Thema Datenschutz zur Verfügung zu stellen. Dies ergibt sich aus Art. 12 (2) und Erwägungsgrund 63. Den jemand der die Website besucht muss nicht zwangsläufig ein Telefon oder eine E-Mail-Adresse. Ein PC zum Ausfüllen des Kontaktformulars ist jedoch vorhanden. Dies ist somit der „einfachste Weg“ der betroffenen Person die Möglichkeit zur Ausübung seiner betroffenen Rechte zu geben.

    • 1. In der Tat kann es einen Zielkonflikt zwischen Barrierefreiheit und Datenschutz geben. In dem Artikel auf netz-barrierefrei.de werden unter der Überschrift „schön und gut – aber der ganze Spam?“ Alternativen zu Captchas vorgeschlagen.
      Die Barrierefreiheit von invisible Captcha ist ein angenehmes Feature, aber auch dort muss teilweise das Feld „ich bin kein Roboter“ angeklickt werden.

      2. Google Produkte bieten häufig eine sehr gute Usability, z.B. laut Kundenmeinung auch bei Google Analytics. Es ändert aber nicht die grundsätzlichen datenschutzrechtlichen Bedenken. Hinsichtlich des Erstickens in Spam können die im oben verlinkten Artikel genannten Tipps helfen.

      3. Meinen Sie wirklich Art. 12 Abs. 2 DSGVO? Diese auch Erleichterungsgebot genannte Vorschrift regelt die Ausübung von Betroffenenrechten nach Art. 15 – 22 DSGVO. Die Verbindung zu diesem Beitrag ist uns unklar, aber so viel dazu:
      Sie überlässt den Verantwortlichen einen erheblichen Gestaltungsspielraum. Erst wenn den betroffenen Personen die Wahrnehmung ihrer Rechte ohne erkennbaren Grund erheblich erschwert wird, liegt ein Verstoß vor, z.B. wenn Betroffene gegenüber einem Webseitenbetreiber nur schriftliche Anträge stellen können. Zudem muss die Kontaktmöglichkeit für den durchschnittlichen Nutzer leicht auffindbar sein. Die Bereitstellung einer Anfrage per E-Mail wird nach diesen Kriterien aber regelmäßig ausreichen, weil es heutzutage üblich ist, eine E-Mail-Adresse zu haben und es auch keine schikanöse Erschwerung der Wahrnehmung der Rechte ist.

  • 256.123.123.1 ist keine gültige IPv4 Adresse. Diese gehen nur bis 255.255.255.255. de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen

  • Danke für den aufschlussreichen Artikel, der uns zu denken gegeben hat! Danke auch für Ihren Tipp mit hCaptcha und Friendly Captcha, zwei gute Alternativen. Wir sind am Ende bei Friendly Captcha als Ersatz für Google reCaptcha hängen geblieben.

  • Vielen Dank für diese Informationen. Mir stellt sich vor allem noch die Frage, welche Unterscheide es beim Datenschutz zwischen reCaptcha v2 und reCaptcha v3 gibt? Bindet auch v2 die JavaScript ein?
    reCaptcha v2 setzt ja teilweise aber nicht immer Cookies. Kann ich das beeinflussen? Wäre v2 ohne Cookies dann aus datenschutzrechlicher Sicht unproblematisch?

  • Erst mal vielen Dank an alle hier, dies ist wirklich eine sehr fruchtbare Diskussion. Das freut mich. Danke auch noch an Dr. Datenschutz für die Antworten.
    Mir ist noch ein Aspekt aufgefallen. Ich sehe hcaptcha NICHT als echten Ersatz an. hCaptcha ist ebenfalls ein Unternehmen aus der USA und scheint sich auf Privacy Shield zu stützen. Insofern bekommt man letztendlich die gleiche Problematik wie mit Google. Oder hat jemand einen anderen Eindruck von hCaptcha gewonnen?

  • Oft wir eine IP-Adresse dynamisch vom Provider vergeben, und hat daher keinen direkten Personenbezug?
    Warum wäre das in diesem „Normalfall datenschutzrechtlich ein Problem ?

    • Auch eine dynamische IP-Adresse kann einen Personenbezug haben laut EuGH-Entscheidung in der Sache Breyer gegen Deutschland, Randnummer 47-49:

      „[…] doch gibt es offenbar […] für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternimmt, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

      Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“

      Hier ist auch ein Beitrag zu der Entscheidung.

      Datenschutzrechtliche Regelungen finden daher auch auf dynamische IP-Adressen Anwendung.

  • Ist für die Nutzung von reCaptcha ein AV-Vertrag mit Google notwendig (analog google analytics)?

  • Hallo, meine Frage ist; ich arbeite mit Shopify da ich mir bald einen online store erstellen möchte, und Ich habe beim support gefragt ob sie mir nicht das google reCAPTCHA weg machen können, sie meinten nein es geht nicht da es ein security feature ist und sie das nicht wegmachen können. Es ist aber auch nicht in den cookies und ich kann es auch nicht einstellen. Wenn Kunden bspw. nur die esenziellen Cookies aktivieren, wird das google reCAPTCHA ihnen immernoch angezeigt und ich finde nirgends dazu etwas, wie man das einstellen kann etc. Meine Frage ist daher wie kann ich am besten vorgehen/was muss ich letzendlich machen, dass es DSGVO-konform ist. Ich würde mich echt riesieg über eine Antwort freuen.

    • Bitte haben Sie dafür Verständnis, dass wir im Rahmen unseres Blogs keine Rechtsberatung zu einem Einzelfall erbringen dürfen. Sie haben aber schon das größte Problem identifiziert. Shopify bindet nicht nur google reCAPTCHA, sondern eine ganze Reihe von Drittanbieterdiensten über ihr US-basiertes Content-Delivery-Network in die Shops ein, ohne dass dies unterbunden werden kann. Dafür steht ein deutscher Shop nach einer Betroffenenbeschwerde aktuell im Fokus einer deutschen Datenschutzbehörde, mehr dazu finden Sie z.B. hier.

  • Für uns waren die oben genannten Alternativen leider nicht passend. Daher haben wir uns für Captchafox entschieden, da wir zum einen von der Usability sehr angetan waren, aber vor allem selbst im günstigsten Plan (welchen wir nutzen) die Daten nur an europäische Server geschickt werden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.