News

Google reCAPTCHA DSGVO – konform?

Google reCAPTCHA DSGVO – konform? Google reCAPTCHA DSGVO – konform?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung DSGVO müssen Webseiten auch den Anforderungen der DSGVO entsprechen.
Ist Google reCAPTCHA DSGVO–konform?

Mit dieser Frage beschäftigen wir uns in diesem Artikel. 

 

Was ist Google reCAPTCHA überhaupt?

Sie haben von Google reCAPTCHA bisher noch nichts gehört? Das kann sein, ziemlich sicher ist mit Google reCAPTCHA jeder von uns schon in Berührung gekommen. 

Mit Google reCAPTCHA ist man spätestens dann in Berührung gekommen, wenn man zur Identifizierung eine bestimmte Schrift entziffern musste oder beispielsweise alle Straßenlaternen auf verschiedenen kleinen Bildern auswählen musste. Dies dient vor allem dazu, Sie als Menschen zu identifizieren und somit etwaige “Bots” auszuschließen. Diese Funktion geht auch schon aus dem Namen hervor:

Google reCAPTCHA steht für „completely automated public Turing test to tell computers and humans apart“. Die Entschlüsselung von verzerrten Schriften oder Verschlüsselungen sollen somit nur von Menschen lösbar sein, Computerprogramme sind nicht in der Lage, diese zu entziffern. Selbst Menschen fällt es das ein oder andere Mal auch schwer, die Verzifferungen zu entschlüsseln. 

 

Entspricht Google reCAPTCHA den Anforderungen an die DSGVO?

Nach einer Auffassung der bayerischen Datenschutzbehörde ist dies zu verneinen. Datenschutzverstöße können in der Hinsicht vorliegen, da unzureichende Angaben bezüglich der von Google erhobenen Daten vorliegen. Bislang ist der allgemeinen Datenschutzerklärung von Google lediglich zu entnehmen, dass allgemeine Nutzungsdaten wie der Typ und die Einstellungen des Browsers, der Typ und die Einstellungen des Geräts, das Betriebssystem, Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und die Telefonnummer sowie die Versionsnummer der App und die IP–Adresse des Nutzers erhoben werden. 

Dahingehend fehlen in ihrer Datenschutzerklärung jedoch etwaige Angaben zu der Funktionsweise von Google reCAPTCHA, sodass nicht hervorgeht, inwiefern Daten gerade speziell durch Google reCAPTCHA erhoben und verarbeitet werden. Gem. Art. 14 Abs. 1 lit. d DSGVO ist es jedoch notwendig, die Kategorien personenbezogener Daten, die verarbeitet werden, in der Datenschutzerklärung anzugeben.

 

Sind Sie Websitebetreiber und möchten Google reCAPTCHA verwenden?

Sollten Sie selbst Betreiber einer Website sein, ist es dahingehend nicht ratsam, Google reCAPTCHA für die eigene Website zu nutzen. Nach Ansicht der bayerischen Datenschutzbehörde entspricht Google reCAPTCHA nicht den Anforderungen an die DSGVO, da Sie als Betreiber einer Webseite bei Verwendung von Google reCAPTCHA nicht angeben können, welche Daten erhoben und verarbeitet werden, was gegen Art. 14 Abs. 1 lit. d DSGVO verstoßen würde. Dabei äußert sich die bayerische Datenschutzbehörde in einem “Frequently asked questions” (FAQ) wie folgt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

 

Zwar wurde Google noch nicht abgemahnt, es ist jedoch nicht zu empfehlen, “Google reCAPTCHA” zu verwenden. Greifen Sie lieber auf andere Alternativen zurück (z.B. sogenannte Honeypot-Felder). 

 

Bildquelle: Bild von canva