Google reCAPTCHA darf nur mit Einwilligung der betroffenen Personen bzw. Website-Besucher eingesetzt werden. Das entschied die französische Datenschutz-Aufsichtsbehörde.
Ein CAPTCHA dient der Unterscheidung zwischen Menschen und Computern. So kann beispielsweise verhindert werden, dass Kontaktformulare von Bots mit Spam zugemüllt werden.
In Frankreich entschied nun die Datenschutz-Aufsichtsbehörde, dass für den bekannten reCAPTCHA-Dienst von Google die Einwilligung der betroffenen Personen erforderlich ist.
Welcher Bot ist so blöd und willigt in die eigene Erkennung ein?
Bots sind zwar keine Menschen und unterliegen in der Folge nicht der Datenschutz-Grundverordnung (DSGVO) sowie sonstigem Datenschutzrecht.
Wenn allerdings von Anfang an klar wäre, dass es sich um Bots handelt, würde kein CAPTCHA verwendet.
Da nicht klar ist, wer Computer und wer Mensch ist, wird ein CAPTCHA verwendet, in dessen Verwendung aber Bots nicht einwilligen, weil sie nicht mit einem Turing-Test entdeckt werden möchten. Google reCAPTCHA wird mit der Entscheidung ab absurdum geführt.
Der Entscheid stammt von der Commission Nationale de l’Informatique et des Libertés (CNIL) in Frankreich und betrifft ein Kontaktformular des französischen Innenministeriums.
Die CNIL reagierte auf eine Beschwerde von David Libeau aus dem Jahr 2020.
Nun hat Libeau den Entscheid in seinem Blog veröffentlicht:
«[…] After almost two years of waiting the French data protection regulator finally replied to one of my complain. Back in summer 2020, I bumped into a national police form that asked me to complete one of the silly Google’s Turing test. I was shocked that Google could know that I was filling a police report and can profile all French citizen filling police reports online! […]»
Und:
«After 10 minutes of writing and 2 years of waiting, I received a paper letter in my mailbox. […] The CNIL said that Google reCAPTCHA was doing tracking (no way?! Google is tracking their users?). When Google‘s captcha is loaded, its goal is to defined if you are human. To do so, it analyze a lot of data from your Google‘s account, your mouse interactions and your hardware info. That’s why sometime you need to complete a silly Turing test and sometimes you don’t need to do anything. Google is also storing these data in order to keep an history. […]»
Die CNIL bezieht sich auf Artikel 82 des Loi informatique et libertés. Es handelt sich um die französische Umsetzung der europäischen «Cookie-Richtlinie».
Kritik an Google reCAPTCHA auch aus Deutschland
In Deutschland hatte sich unter anderem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kritisch zu Google reCAPTCHA geäussert:
«Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.»
Einmal mehr liegt das Problem insbesondere beim Daten-Export in die USA:
«Da bei Aktivieren des Tools eine Verbindung zu den Servern von Google hergestellt wird und hierdurch eine Datenübermittlung in die USA stattfinden kann, sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen […] einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache ‹Schrems II›. Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.»
Hingegen geht das BayLDA davon aus, dass CAPTCHAs grundsätzlich nicht nur verwendet werden dürfen, sondern allenfalls sogar verwendet werden müssen:
«Der Website-Betreiber hat nicht nur ein berechtigtes Interesse, Captchas einzusetzen, sondern ist sogar dazu verpflichtet, da er die Verfügbarkeit des Dienstes sicherstellen muss.»
Als Rechtfertigungsgrund nennt das BayLDA das berechtigte Interesse. Wenn dieses Interesse gemäss Art. 6 Abs. 1 lit. f DSGVO überwiegt, kann ein CAPTCHA ohne Einwilligung verwendet werden.
Was leisten Alternativen zu Google reCAPTCHA?
Wer auf Nummer sicher gehen möchte, muss auf die Verwendung von Google reCAPTCHA verzichten und eine Alternative verwenden.
Europäische Datenschutz-Aufsichtsbehörden mögen (bekanntlich) keine Dienste von Google und anderen amerikanischen Anbietern. Diese Abneigung betrifft naheliegenderweise auch Google reCAPTCHA.
Als Alternative kommen andere CAPTCHA-Anbieter oder selbst gehostete CAPTCHAs in Frage.
Je nach Bot-Aufkommen wird eine solche Alternative allerdings nicht an die Wirksamkeit von Google reCAPTCHA herankommen. So funktioniert Google reCAPTCHA nicht nur sehr zuverlässig, sondern ist für Website-Besucher meist gar nicht sichtbar, weil die Computer-Mensch-Unterscheidung grundsätzlich ohne direkte Interaktion erfolgen kann.
Bei einem weniger wirksamen CAPTCHA leidet die Verfügbarkeit der Website. Wer ein CAPTCHA selbst hostet, gefährdet häufig die Datensicherheit, denn an die Kompetenz von Google kommt kaum ein Website-Betreiber heran.
Das französische Innenministerium scheint Google reCAPTCHA für das beanstandete Kontaktformular nicht mehr einzusetzen. Ein Blick auf die Webseite zeigt allerdings, dass unter anderem die amerikanischen Dienste AddToAny («Share Buttons»), Font Awesome (Icons) und PrintFriendly (Ausdrucken von Webseiten) verwendet werden. Wenn David Libeau das sieht, dürfte die CNIL gleich nochmals eine Beschwerde erhalten …
Siehe auch: COVID-Zertifikat mit Google Fonts und Google reCAPTCHA.
(Auch via Anwaltskollege Michael Seidlitz.)
Bild: Google.
Zu 2. Mai 2022
Danke für den Artikel.
Wenn so ein Google reCaptca aufploppt, kategorisiere ich die entsprechende Site als unseriös (Trashsite).
Ich möchte bestimmt keinen Google-Layer zwischen der Site und mir haben.
Gerade eben hatte ich auf
conrad.ch (Elektonik u. Verwandtes)
das Vergnügen dieser Begegnung, und zweifle nun an deren Seriosität.
Dass Datenschutz in CH noch kleiner geschrieben wird als in der EU ist bekannt.
Der Datenabfluss in die USA ist nochmals ein weiteres Problem.