- Was ist Captcha und reCAPTCHA
- Warum reCAPTCHA DSGVO-konform sein kann
- Geladen auf ALLEN Seiten für ALLE Benutzer – das Hauptproblem
- Wie du es unserer Meinung nach richtig und DSGVO-konform nutzen kannst
- WordPress DSGVO reCAPTCHA Plugin für Contact 7
- Google’s eigene Beschreibung
- Es zeichnet Bewegungen auf der Webseite auf
- Was sagt ein Anwalt zur DSGVO?
- Kalkuliertes Risiko
Was ist Captcha und reCAPTCHA
Captcha ist ein Tool, das Bilder verwendet, um Bots auszusortieren. Es gibt sie in vielen Formen und viele sind kostenlos. Das Problem ist, dass sie für Bots leicht zu überwinden sind, während sie für echte Nutzer eine Qual sind.
reCAPTCHA ist ein ebenfalls kostenloser Captcha-Dienst, der dazu dient, Webseiten vor Spam und Missbrauch zu schützen. Er wurde von Google entwickelt und wird von Millionen von Webseiten genutzt.
Es ist die beste Lösung, um Spam und Bots zu blockieren. Ob reCAPTCHA DSGVO-konform ist, ist umstritten.
In diesem Artikel möchte ich einen Überblick geben und einige Tipps geben, wie man es VIEL DSGVO-konformer machen kann.
Warum reCAPTCHA DSGVO-konform sein kann
(Ich bin kein Jurist und dies ist nur meine Meinung)
Wie du in diesem Beitrag lesen wirst, gibt es mehrere Probleme mit reCAPTCHA.
- Erstens sendet das Tool Daten an Google und
- es speichert Cookies auf dem Computer
- Google sagt nicht offen, wofür es die Daten verwendet.
Aber es hilft ungemein, Spam und Bots zu blockieren. Es gibt also ein berechtigtes Interesse an der Verwendung solcher Tools. Aber was macht es in meinen Augen noch problematischer?
Geladen auf ALLEN Seiten für ALLE Benutzer – das Hauptproblem
Persönlich ist mein Hauptproblem, dass das Tool auf ALLEN Seiten verwendet wird, was bedeutet, dass Google die Daten von Anfang an für JEDEN Nutzer auswertet.
Das ist in meinen Augen das GRÖSSTE Problem. Warum sollte Google über ALLE unsere Nutzer Bescheid wissen? Wie kann das notwendig sein?
Wenn wir die Nutzung auf NUR Leute beschränken, die tatsächlich ENGAGIEREN und z.B. ein Formular benutzen, ist das viel mehr im Interesse der Nutzer.
Wie du es unserer Meinung nach richtig und DSGVO-konform nutzen kannst
Es liegt im Interesse der Nutzer, die mit uns in Kontakt treten, dass ihre Anfragen nicht in Hunderten von Spam-Nachrichten untergehen, die in Outlook oder ähnlichen Tools blockiert oder übersehen werden.
Es gibt also auch ein berechtigtes Interesse für die Nutzer, die sich bei uns engagieren, dass es einen Spam-Schutz gibt.
Alternativen wie Honeypots oder ähnliches sind einfach nicht gut genug oder nicht billig.
Deshalb verwenden wir eine Funktion, um reCAPTCHA zu verzögern. Das heißt, wir verhindern, dass es auf einer Webseite geladen wird, bis jemand signalisiert, dass er mit uns in Kontakt treten will – eine wichtige Aktivität ist das Ausfüllen eines Formulars. Das bedeutet, dass die Nutzung eingeschränkt ist.
Personen, die kein Interesse zeigen, mit uns oder einem Unternehmen in Kontakt zu treten, sind vollständig vor reCAPTCHA oder Googles möglichem Tracken geschützt.
WordPress DSGVO reCAPTCHA Plugin für Contact 7
Für das sehr beliebte WordPress Plugin Contact 7 haben wir ein kostenloses Plugin erstellt.
Das Plugin prüft, ob du Contact 7 auf deiner Webseite installiert hast und wenn ja, hält es das Laden von reCAPTCHA zurück, bis NACHDEM eine Person auf die Felder des Formulars geklickt hat.
Wenn du zusätzliche Funktionen brauchst, um deine reCAPTCHA-Installation DSGVO-konformer zu machen, können wir diese für dich erstellen, damit die WordPress Webseite reCAPTCHA nur lädt, wenn die Leute sich beteiligen.
Werfen wir aber einen genaueren Blick auf die Hintergrunddaten und warum wir denken, dass du sie NICHT auf allen Seiten laden solltest. Und warum du sie nur mit deiner Zustimmung einbinden solltest oder indem du ihre Verwendung auf engagierte Nutzer/innen beschränkst.
Google’s eigene Beschreibung
Google beschreibt sein reCAPTCHA wie folgt:
reCAPTCHA nutzt eine fortschrittliche Risikoanalyse-Engine und lernfähige CAPTCHAs, um automatisierte Software von missbräuchlichen Aktivitäten auf deiner Website abzuhalten. Gleichzeitig lässt es deine gültigen Nutzer problemlos passieren.
reCAPTCHA bietet mehr als nur Schutz vor Spam. Jedes Mal, wenn unsere CAPTCHAs gelöst werden, hilft diese menschliche Anstrengung dabei, Texte zu digitalisieren, Bilder zu kommentieren und Datensätze für maschinelles Lernen zu erstellen. Dies wiederum hilft, Bücher zu bewahren, Karten zu verbessern und schwierige KI-Probleme zu lösen.
Das scheint logisch zu sein, aber der letzte Teil deutet darauf hin, dass sie die Software aus anderen Gründen als dem reinen Spam- und Bot-Schutz einsetzt.
Es zeichnet Bewegungen auf der Webseite auf
Eine weitere gute Ressource von hostinger, die erklärt, wie reCAPTCHA funktioniert, schreibt dies:
Benutzer müssen nichts lösen oder erkennen, um den reCAPTCHA-Test zu bestehen. Kreuze einfach ein Kästchen neben der Aussage an: „Ich bin kein Roboter“.
Dieser Test unterscheidet Menschen von Bots, indem er die Bewegung des Cursors verfolgt, während er sich dem Ankreuzfeld nähert. Selbst ein Mensch mit der stabilsten Hand wird eine gewisse Zufälligkeit in der Bewegung des Cursors zeigen, selbst auf mikroskopischer Ebene. Ein Bot ist in der Regel nicht in der Lage, diese Art von Bewegung zu imitieren, er zieht es vor, in einer geraden Linie zu agieren.
Wenn die Bewegung des Cursors darauf hindeutet, dass der Nutzer ein Mensch ist, wird beim Anklicken des Kästchens ein grünes Häkchen angezeigt.
Dieser Test verfolgt nicht nur die Bewegung des Cursors, sondern prüft auch die HTTP-Cookies und den Verlauf im Webbrowser.
Aus den obigen Angaben wird deutlich, dass die Daten von Google ausgewertet und verwendet werden. Wir wissen nicht, ob Google diese Daten nutzt, um seine Produkte zu personalisieren.
Was sagt ein Anwalt zur DSGVO?
Wie ein DSGVO-Anwalt in Deutschland feststellte, scheint der Dienst oberflächlich betrachtet legitim und DSGVO-konform zu sein, aber die Tatsache, dass wir zustimmen müssen, dass Google die Daten für etwas anderes verwenden kann, macht es möglicherweise zu einem Problem.
Er argumentiert, dass es darum geht, das berechtigte Interesse mit den Grundrechten des Nutzers zu vergleichen – ich zitiere:
V. Ist die Nutzung von Google reCAPTCHA durch ein berechtigtes Interesse gerechtfertigt?
Eine mögliche Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse nach Art. 6 (1) lit. f DSGVO. Werfen wir einen Blick auf den Wortlaut dieser Bestimmung:
„Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (…).“
Ein berechtigtes Interesse des Betreibers der Webseite könnte hier sicherlich der Schutz vor Spambots sein. Allerdings ist nach Art. 6(1)(f) DSGVO muss dieses Interesse mit den Interessen oder Grundrechten des Nutzers abgewogen werden.
In jedem Fall lässt sich hier sagen: Je mehr Daten Google über das Nutzerverhalten sammelt und je intensiver es diese Daten auswertet, desto mehr werden die Grundrechte des Nutzers, nämlich das allgemeine Recht auf Privatsphäre, durch die Datenerhebung von Google reCAPTCHA beeinträchtigt. Je mehr Google z.B. sogar eine Art Persönlichkeitsprofil des Nutzers aus dem Nutzerverhalten erstellt, desto mehr überwiegen die Grundrechte des Nutzers gegenüber der Nutzung von Google reCAPTCHA durch den Webseitenbetreiber ohne Einwilligung.
Wo auf diesem Spektrum Google reCAPTCHA nun zu verorten ist, bleibt aber letztlich Spekulation. Daher kann ich nur etwas vorsichtig sagen, dass die Verwendung von Google reCAPTCHA ohne Zustimmung risikobehaftet ist. Du solltest es daher besser nicht verwenden.
Wenn du Google reCAPTCHA mit Zustimmung verwendest, zum Beispiel indem du es in den Cookie – Banner einbaust, entsteht das Problem, dass Bots das Tool sehr leicht umgehen können. Alles, was sie tun müssen, ist, die Cookies abzulehnen. Vielleicht gibt es eine Lösung für dieses Problem, aber ich kenne sie nicht.
Das Problem liegt in den Nutzungsbedingungen von Google.
Kalkuliertes Risiko
Aus den obigen Daten geht hervor, dass die Verwendung von reCAPTCHA möglich ist, aber ein kalkuliertes Risiko birgt.
Wenn du jedoch die beschriebene Methode oder unser Plugin verwendest, ist die Verwendung von reCAPTCHA in meinen Augen ziemlich sicher, was eine Abmahnung durch einen Anwalt angeht. Denn der Anwalt wird nicht sehen, dass der Code geladen wird.
Aber auch mit dem von uns empfohlenen Aufbau kannst du beweisen, dass du dein Bestes getan hast, um den Missbrauch von Daten zu verhindern. Du hast die Reichweite von reCAPTCHA begrenzt.
Wenn du zusätzliche Funktionen brauchst, um deine reCAPTCHA-Installation DSGVO-konformer zu machen, können wir diese für dich erstellen, damit deine Webseite reCAPTCHA nur dann lädt, wenn die Leute sich engagieren.