Über die Autoren

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Dennis Morgenstern LL.M.
Geschäftsführer
Frame for Business GmbH

Dr. Frederik Bäumer
Wirtschaftsinformatiker
Dr. Bäumer IT Consulting

Dennis Morgenstern LL.M. Geschäftsführer Frame for Business GmbH Wirtschaftsjurist
Dr. Frederik Bäumer Wirtschaftsinformatiker Dr. Frederik Bäumer IT Consulting
 

Was ist ein reCAPTCHA?

Wer kennt Sie nicht, die Aufforderungen, Zebrastreifen, Taxen oder Ampeln zu markieren, bevor beispielsweise ein Formular abgesendet oder ein Log-In durchgeführt werden kann. Hierbei handelt sich oftmals um ein Google reCAPTCHA. CAPTCHA ist ein Akronym für „Completely automated public Turing test to tell computers and humans apart“ und eine Methode, mit der überprüft werden kann, ob es sich in bestimmten Situationen um einen Menschen oder eine Softwareapplikation (Bot) handelt.

Verschiede Versionen des reCAPTCHAs

In der ersten Version des Google reCAPTCHA wurden Benutzer aufgefordert, Wörter oder Zahlen in ein Feld einzugeben und zu bestätigen – oftmals handelte es sich dabei um Hausnummern oder Wörter aus digitalisierten Buchbeständen. Für Google eine sehr interessante Möglichkeit, die internen Datensätze für eigene Dienste wie Google Maps und Google Books zu verbessern.

Da dieses Vorgehen zunehmend von Bots überlistet wurde und sich auch die Ansprüche an die Datensätze veränderten, entwickelte Google das reCAPTCHA V2, welches im Jahr 2012 veröffentlicht wurde. Hierbei wurden bereits Techniken eingesetzt, die das Nutzerverhalten analysieren (z. B. anhand der Browser-Interaktionen), um einschätzen zu können, wie wahrscheinlich es ist, dass es sich bei einem Benutzer um einen Menschen handelt. Schätzt der Algorithmus den Nutzer als Mensch ein, ist ein Klick auf das reCAPTCHA ausreichend. Wird ein Bot hinter einer Interaktion vermutet, erscheint ein Fenster mit einer Aufgabe, die gelöst werden muss, z. B. durch Auswählen von Bildern, die das gleiche Motiv darstellen (Taxen, Ampeln etc.).

Die nachfolgende Version des reCAPTCHA (V3) konnte im Quellcode auf eine Art eingebaut werden, dass diese, genau wie die Prüfung (Wegfall des notwendigen Mausklicks) unsichtbar für die Benutzer ist. Das Verhalten wird hierbei mit einem Punkte-System ausgewertet. Jede Tätigkeit der Nutzenden auf einer Webseite wird mit einem Score gemessen, der zwischen 0 und 1 liegt. Je niedriger der Wert, umso höher ist die Wahrscheinlichkeit, dass die Nutzer als Bot eingestuft werden. Webseitenbetreiber können den Grenzwert, ab dem weitere Zugriffe auf die Seite geblockt werden, selbst bestimmen (standardmäßig liegt der Wert bei 0,5).

Die neuste Version reCAPTCHA Enterprise bietet noch weitergehende Funktion im Vergleich zu reCAPTCHA V3 an. Die Weiterentwicklungen beziehen sich insbesondere auf Sicherheitsaspekte innerhalb von Unternehmen, wodurch betrügerische Aktivitäten (z. B. das automatisierte Erstellen von Konten) verhindert werden soll.

Laut einer Statistik des australischen Unternehmens BuiltWith nutzen den Dienst knapp 6,3 Millionen Websites weltweit und circa 43.000 Websites deutschlandweit (Stand 31.01.2021).

Welche datenschutzrechtlichen Probleme gibt es beim Google reCAPTCHA?

Grundsätzlich handelt es sich hierbei um ein sinnvolles und effektives Tool, um Bots sowie betrügerische Aktivitäten zu unterbinden oder zu erschweren. Gäbe es da nicht das Thema Datenschutz, dass derzeit wie ein Damoklesschwert über allen Diensten von US-amerikanischen Unternehmen schwebt.

Um das Tool zu nutzen, muss eine informierte Einwilligung der Website-Nutzer eingeholt werden (am sinnvollsten in Form eines Consent-Tools). Dabei muss der Nutzer über die Datenübermittlung in ein unsicheres Drittland, in dem weder ein Angemessenheitsbeschlusses der EU noch sonst geeignete Garantien bestehen, informiert und zur Einwilligung aufgefordert werden, nachdem er über die bestehenden Risiken derartiger Datenverarbeitungen und -übermittlungen unterrichtet wurde (Art. 6 Abs. 1 lit. a und Art. 49, Abs. 1 S. 1 lit. a DSGVO). Wobei jedoch auch hier auf Grund der Rechtsprechung https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf momentan noch unklar ist, ob die Einwilligung in der Form für einen legalen Datentransfer in die USA ausreicht. Aus juristischer Sicht kann man daher von dem Einsatz des Google reCAPTCHA nur abraten.

Wie können die rechtlichen Folgen aussehen?

Der Einsatz des Google reCAPTCHA ist aus datenschutzrechtlicher Sicht – insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ – problematisch, da eine Verbindung zu Servern des US-amerikanischen Unternehmens Google LLC besteht, wodurch eine Übermittlung von Daten in die USA nicht ausgeschlossen werden kann. Dies kann weitreichende Konsequenzen haben, wie z. B. Ordnungswidrigkeitenverfahren durch eine Datenschutz-Behörde oder wettbewerbsrechtliche Abmahnung durch Konkurrenten und ein damit verbundener Schadensersatzanspruch.

Welche DSGVO-konformen Alternativen zum Google reCAPTCHA gibt es?

Werden bisher bei Formularen reCAPTCHA verwendet, bietet sich alternativ z. B. ein „Honeypot“ an. Hierbei werden Kontaktformulare, um ein für menschliche Nutzer unsichtbares Feld erweitert. Bots sehen nur den Quellcode, füllen (da sie so programmiert wurden) auch diese Felder aus und werden somit als Bots entlarvt und können herausgefiltert werden.

Des Weiteren besteht die Möglichkeit, eine datenschutzfreundlichere Alternative, wie z. B. Friendly Captcha zu nutzen. Eine weitere Lösung stellt das WordPress PlugIn Antispam Bee dar. Bei diesem PlugIn findet kein Datenaustausch statt, zudem geben die Entwickler an, dass das PlugIn „100% konform mit der Datenschutzgrundverordnung (DSGVO)“ arbeitet.

Benötigen Sie Unterstützung?

Bei Fragen zur rechtlichen Absicherungen Ihres Internetauftrittes helfen Ihnen die Experten von Frame for Business kompetent weiter. Kontaktieren Sie uns gerne direkt per E-Mail: info@frame-for-business.de