Google reCAPTCHA & Datenschutz

Dieser Beitrag widmet sich dem Thema Google reCAPTCHA. Wir erläutern, was reCAPTCHA ist, warum Webseitenbetreiber rund um den Globus darauf zurückgreifen und welchen Einfluss die Verwendung von Google reCAPTCHA auf den Datenschutz einer Website hat. Im Speziellen zeigen wir auf, wie reCAPTCHA vor dem Hintergrund der DSGVO zu bewerten ist.

Wir behandeln außerdem, welche Möglichkeiten Sie haben, um Ihre Website mithilfe von Google reCAPTCHA-Alternativen zu schützen, ohne die Nutzerfreundlichkeit Ihrer Website zu verringern oder gegen geltende Datenschutzgesetze wie die DSGVO zu verstoßen.

Was ist reCAPTCHA?

reCAPTCHA ist ein Test, der ermittelt, ob der Besucher einer Webseite ein Mensch oder Computer ist. Der Begriff CAPTCHA ist die Abkürzung für „completely automated public Turing test to tell computers and human apart”. Verwendet werden Captchas vor allem in Formularen auf Websites. Dadurch soll verhindert werden, dass Bots unerwünschte Anfragen an Websitebetreiber schicken können. Als Bots werden im Allgemeinen Roboterprogramme bzw. Maschinen bezeichnet.

Google reCAPTCHA dient dabei nicht in erster Linie dem Datenschutz, sondern soll verhindern, dass eine Vielzahl automatischer Nachrichten die IT-Infrastruktur des Websitebetreibers lähmt. Zudem kann so das Risiko minimiert werden, dass Viren oder Trojaner von einem Bot versendet werden.

Ziel von Google reCAPTCHA ist es somit, unerwünschte Zugriffe durch automatisierte Programme auszuschließen. Dies kann dabei helfen, Spam zu verringern und automatisierte Anmeldungen zu unterbinden. Aus diesem Grund werden bei Kontaktformularen, Registrierungen, Bestellungen, Umfragen und Kommentarfunktionen in der Regel reCAPTCHA-Tests eingebaut.

Im Zuge eines solchen Tests zur Unterscheidung von Menschen und Maschinen wird den Nutzer von Websites eine Aufgabe gestellt. In der Praxis haben sich einfache Rechenaufgaben wie das Abtippen eines kryptischen Textes oder das Markieren bestimmter Bilder durchgesetzt. Sie werden sicherlich schon vielfach diese nervenaufreibenden Aufgaben erledigt haben, damit Sie eine Nachricht abschicken oder eine Registrierung abschließen konnten.

Wie funktioniert ein reCAPTCHA-Test?

Im Alltag haben sich vier unterschiedliche Formen von reCAPTCHA durchgesetzt. Fast jeder Internetnutzer hat bereits eine Webseite besucht, auf der er durch Setzen eines Hakens bestätigen musste, dass er kein Roboter ist. Dieses Verfahren wird als No CAPTCHA reCAPTCHA bezeichnet. Der Aufwand für den Nutzer ist hierbei ebenso wie beim im Hintergrund ablaufenden Invisible reCAPTCHA-Test gering. Wenn Google allerdings nicht ausreichend Nutzerdaten sammeln kann, wird bei beiden Verfahren auf das sogenannte Image reCAPTCHA umgestellt.

Das Image reCAPTCHA ist deutlich aufwendiger für die Nutzer, da sie hier aus mehreren Bildern solche mit einem bestimmten Motiv auswählen müssen. Ein Beispiel ist die Auswahl aller Bilder mit einem Auto darauf. Dieser Test dauert meist lange und manchmal sind die Motive nicht eindeutig zu erkennen, so dass laufend neue Bilder angezeigt werden müssen.

Beim Text reCAPTCHA ist die Fehlerquote ebenfalls erhöht. Hierbei muss ein verzerrter Text in ein Kontrollfeld eingeben. Auch hier ist nicht immer eindeutig zu erkennen, welcher Buchstabe gesucht wird.

Insbesondere das No CAPTCHA reCAPTCHA und das Invisible reCAPTCHA können allerdings aufgrund der Sammlung personenbezogener Daten im Hinblick auf den Datenschutz problematisch sein.

Google reCAPTCHA & Datenverarbeitung

Um entscheiden zu können, ob der Besucher einer Webseite menschlich ist oder es sich um einen Computer handelt, werden Daten gesammelt und verarbeitet. Um welche Daten es sich handelt, kann sich je nach Anbieter des Captcha Tests unterscheiden.

Im Zuge des Einsatzes von Google reCAPTCHA werden personenbezogene Daten erhoben. Konkret werden unter anderem folgende Daten für den Test herangezogen:

  • IP-Adresse des Webseitenbesuchers
  • Webseite, die besucht wurde
  • Bildschirm- und Fensterauflösung
  • Mausbewegungen und Tastatureingaben
  • Geräteeinstellungen (wie Sprache und Standort)
  • Cookies
  • Installierte Plugins des Browsers

Insbesondere verarbeitet Google reCAPTCHA die IP-Adresse und prüft, welche Cookies gesetzt sind. Vor allem Cookies von Google Diensten wie YouTube oder Gmail werden gesucht. Zudem wird häufig ein eigenes Cookie für die Durchführung des Captcha-Tests gesetzt.

Warum ist reCAPTCHA Datenschutz-bedenklich?

Die Frage, ob die Verwendung eines reCAPTCHA erforderlich ist und damit ein berechtigtes Interesse des Webseitenbetreibers vorliegt, ist nicht eindeutig geklärt. Während einerseits argumentiert werden kann, dass es für den Schutz der Webseite vor Spam unerlässlich ist, einen reCAPTCHA-Test einzubauen, kann andererseits dagegenhalten werden, dass es reCAPTCHA-Alternativen gibt, die DSGVO-konform sind.

Die Google reCAPTCHA Datenschutzproblematik resultiert aus mehreren Aspekten.

Ein Kritikpunkt ist, dass durch die Analyse des Surfverhaltens eines Nutzers Rückschlüsse auf sein Konsumverhalten möglich sind. Dies kann Google dafür nutzen, zielgerichtete Werbung einzublenden. Mit dem eigentlichen Grund des reCAPTCHA hat das nichts zu tun.

Wann immer personenbezogene Daten verarbeitet werden, müssen die Nutzer einer Webseite darüber informiert werden und im Falle der Nutzung für Marketing-Zwecke muss zudem eine vorherige Einwilligung der Nutzer zur Datenverarbeitung erteilt werden. Bei der Verwendung von reCAPTCHA stellt die Sammlung personenbezogener Daten diesbezüglich ein Problem dar. Sie erfordert eine umfassende Aufklärung der Nutzer über die Datenschutzerklärung und den Einsatz von Consent-Verwaltungstools.

Kritischster Punkt ist allerdings, dass Google ein US-Anbieter ist, was zur Folge hat, dass Nutzerdaten über reCAPTCHA in die Vereinigten Staaten übermittelt werden. In Bezug auf die DSGVO und die Schrems-Gerichtsurteile ist eine solche Datenübermittlung höchst bedenklich.

Beim Einsatz von Google reCAPTCHA ist es ratsam, sich frühzeitig professionelle Hilfe zu nehmen, weil Fehler in der Umsetzung der damit verbundenen Datenschutzpflichten kostspielig werden können.

Google reCAPTCHA-Alternative

Die genannten Datenschutzprobleme von Google reCAPTCHA haben uns dazu bewegt, eine datenschutzkonforme reCAPTCHA-Alternative zu entwickeln. So können sich Betreiber einer Webseite weiterhin wirksam gegen Spam und Bots schützen und zugleich sicherstellen, dass Sie den Datenschutz ihrer Nutzer gewährleisten. Die Lösung heißt Friendly Captcha und ist sowohl DSGVO-konform als auch im Einklang mit Schrems II.

Friendly Captcha bietet folgende Vorteile:

  • Es sind keine Cookies erforderlich.
  • Es werden keinen persönlichen Daten gespeichert.
  • Die Datenverarbeitung erfolgt dezentral.
  • Die Lösung ist barrierefrei und nutzerfreundlich, da keine Aufgaben durch die Nutzer gelöst werden müssen.

Friendly Captcha vereinbart Benutzerfreundlichkeit mit den höchsten Sicherheitsstandards. Bei der Entwicklung sind unsere obersten Prioritäten, dass wir einen wirksamen Schutz bieten können, alle Anforderungen an den Datenschutz erfüllt werden und auch eingeschränkte Nutzer vollen Zugang zu Ihrer Webseite erhalten. Mit Friendly Captcha gehören mühselige Aufgaben wie das Markieren bestimmter Motive oder das Abtippen eines Texts der Vergangenheit an. Der Captcha-Test, ob es sich um einen Menschen oder einen Bot handelt, erfolgt im Hintergrund. Dabei werden keine personenbezogenen Daten gespeichert und alle Daten in der EU verarbeitet, was zu den bekannten Datenschutzproblemen von Google reCAPTCHA führen würde.

Verschiedene Lösungen im Angebot

Mit Friendly Captcha, unserer Alternative zu Google reCAPTCHA, leisten wir für Start-ups, mittelständische Unternehmen und Konzerne einen wichtigen Beitrag zum Schutz vor Spam und Bots. Wir bieten unterschiedliche Leistungspakete an, die sich am Bedarf der jeweiligen Unternehmensgröße orientieren.

Gerne stehen wir Ihnen für eine Beratung zur Verfügung und erläutern Ihnen die Vorteile unserer Technologie, insbesondere im Hinblick auf das kritische Thema reCAPTCHA und Datenschutz.

Wenn Sie Friendly Captcha selbst ausprobieren möchten, können Sie sich die Live-Demo ansehen. Weitere Informationen über Friendly Captcha finden Sie hier.

Startklar?

Schließen Sie sich Tausenden von Organisationen an und wechseln Sie zu einer datenschutzfreundlichen Anti-Bot-Lösung. Wir schützen Ihre Webseiten und Online-Services nach höchsten deutschen Qualitäts- und Datenschutzstandards.

Datenschutz zählt

Erfahren Sie mehr über unseren Einsatz und unsere Maßnahmen zum Schutz der Privatsphäre Ihrer Nutzer.

Schnelle Integration

Die Einbindung von Friendly Captcha dauert nur wenige Minuten und ist mit minimalstem Aufwand erledigt.