Datenschutz und Google reCaptcha: Ein kritischer Blick
In diesem Artikel beleuchten wir das Thema Captchas, insbesondere Googles reCaptcha. Vielleicht fragen Sie sich, was genau das ist. Es ist überraschend, dass Captchas vielen Internetnutzern kaum bekannt sind, obwohl Schätzungen aus dem Jahr 2006 zufolge täglich weltweit etwa 150.000 Stunden für deren Lösung aufgewendet werden. Schauen wir uns also näher an, was sich hinter diesem eher unbekannten Phänomen verbirgt.
Was sind Captchas?
Das Wort „Captcha“ ist ein Akronym für „completely automated public Turing test to tell computers and humans apart“, was so viel bedeutet wie „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Dieser Test soll dazu dienen, menschliche Nutzer von automatisierten Programmen, sogenannten „Bots“, zu unterscheiden.
Der Begriff leitet sich vom englischen Wort „capture“ ab, was „einfangen“ oder „erfassen“ bedeutet. Captchas sind dazu konzipiert, zu verhindern, dass Bots Interaktionen wie Registrierungen, Umfragen oder Kommentare auf Webseiten missbrauchen – sei es durch das Erstellen von Fake-Nutzern, Click-Fraud oder DDoS-Angriffe.
Einfach für Menschen, herausfordernd für Bots
Traditionell basierten Captchas auf der Annahme, dass Bots Schwierigkeiten haben, verzerrten Text zu entziffern. Früher benötigten sie dazu komplexe Algorithmen zur Mustererkennung. Heutzutage können Bots jedoch dank künstlicher Intelligenz verzerrte Texte problemlos lesen. Aus diesem Grund setzen Anbieter zunehmend auf ausgeklügelte Methoden, um die Identität des Nutzers zu überprüfen.
Googles reCaptcha im Fokus
Google ist der größte Anbieter von Captchas und spielt mit seinem reCaptcha eine zentrale Rolle in diesem Bereich.
Entwicklung von reCaptcha
Im Jahr 2009 kam der Informatiker Luis von Ahn auf die Idee, die kognitive Leistung der Nutzer beim Lösen von Captchas sinnvoll zu nutzen. So entstand reCaptcha, ein System, das unter anderem bei der Digitalisierung von Büchern und Zeitschriften, wie dem Archiv der New York Times, hilft. Nutzer identifizieren Buchstaben, die von Visualisierungsprogrammen nicht erkannt werden können.
Google übernahm das Unternehmen und nutzt reCaptcha nun auch zur Digitalisierung von Hausnummern und Straßennamen aus Google Street View. Indem wir reCaptchas lösen, tragen wir unwissentlich und kostenlos zu einem bedeutenden Schrifterkennungsprojekt bei.
NoCaptcha und Invisible reCaptcha
Um die Barrierefreiheit für sehbehinderte Menschen zu verbessern und die Nutzererfahrung zu optimieren, hat Google das „No Captcha ReCaptcha“ eingeführt. Dieses verwendet verhaltensbasierte Analysen, etwa frühere Browser-Interaktionen, Mausbewegungen und Verweildauer auf der Seite, um die Wahrscheinlichkeit zu bestimmen, ob ein Nutzer ein Mensch oder ein Bot ist – der sogenannte Captcha-Score.
Überzeugt der Algorithmus von der menschlichen Identität, genügt in der Regel ein einfacher Klick auf „Ich bin kein Roboter“ oder es ist sogar keine Aktion mehr notwendig (Invisible ReCaptcha). Nur in Zweifelsfällen wird eine zusätzliche Aufgabe angezeigt, die gelöst werden muss.
Datenschutzproblematik bei reCaptcha
Die Integration von reCaptcha erfolgt durch ein JavaScript-Element im Quellcode einer Webseite. Dabei analysiert das Tool im Hintergrund das Nutzerverhalten, ohne dass die Besucher darüber informiert werden. Dies führt zu einem wesentlichen Datenschutzproblem:
Mangelnde Transparenz
Für die Analyse werden personenbezogene Daten wie die IP-Adresse, die Referrer-URL, Informationen über das Betriebssystem, eventuell Cookies sowie Mausbewegungen und Tastatureingaben an Google übertragen. Nutzer sind sich oft nicht bewusst, dass sie im Hintergrund überwacht werden. Google gibt zudem wenig Auskunft darüber, welche Daten gesammelt werden und zu welchem Zweck.
Obwohl es eine Entwicklerrichtlinie gibt, verweist diese lediglich auf die allgemeine Datenschutzerklärung von Google, die keine spezifischen Informationen zu reCaptcha enthält.
Die bayerische Datenschutzbehörde hat in ihren FAQs deutlich gewarnt:
„Darf Google reCAPTCHA auf der Website eingebunden werden? Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gemäß Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“
Fehlende Rechtsgrundlage
Eine zentrale Frage zur Rechtsgrundlage des Einsatzes von reCaptcha ist, ob dessen Verwendung für die Sicherheit einer Webseite notwendig ist. Es stellt sich die Frage, ob das berechtigte Interesse des Betreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gegenüber den Rechten der betroffenen Nutzer überwiegt.
Während ein gewisser Schutz vor Spam über Captchas oft erforderlich ist, gibt es auch datenschutzfreundlichere Alternativen. Das spricht dafür, dass die Verwendung von reCaptcha möglicherweise nicht auf berechtigte Interessen gestützt werden kann. In diesem Fall wäre eine ausdrückliche Einwilligung der Nutzer notwendig.
Die Berliner Datenschutzbehörde hat in ähnlicher Weise gefordert, dass Analyse-Tools, die Daten an Dritte weitergeben, nur mit der Zustimmung der Nutzer verwendet werden dürfen.
Unrechtmäßiges Profiling
Das Surfverhalten der Nutzer ermöglicht es, psychologische Profile zu erstellen, die Google für personalisierte Werbung nutzen könnte. Da Google wenig Transparenz über die Datennutzung bietet, bleibt unklar, ob die gesammelten Daten auch für solche Zwecke verwendet werden. Eine Einwilligung der Nutzer ist jedoch erforderlich.
Datenübertragung in Drittländer
Zusätzlich ist die Übermittlung personenbezogener Daten an Drittländer problematisch. Um Google-Dienste zu integrieren, wird die IP-Adresse der Nutzer an Google übermittelt. Das Unternehmen gibt an, dass IP-Adressen innerhalb der EU oder des EWR gekürzt werden, bevor die Daten in die USA gesendet werden. Die Informationen bleiben jedoch vage, und die Datenübertragung in die USA ist seit dem Schrems-II-Urteil ein rechtliches Problem.
Alternativen zu reCaptcha
Eine mögliche Alternative zu reCaptcha sind sogenannte Honeypots. Diese erweitern Kontaktformulare um ein für menschliche Nutzer unsichtbares Feld, das Bots ausfüllen und so als solche entlarvt werden.
Es gibt auch Anbieter, die datenschutzfreundliche Captcha-Lösungen anbieten, wie hCaptcha, Friendly Captcha und captcha.eu.
Fazit: Datenschutzrechtliche Bedenken bei reCaptcha
Es wird deutlich, dass die Nutzung von Google reCaptcha datenschutzrechtlich problematisch ist. Google agiert primär als Werbeunternehmen, was die Erhebung von Nutzerdaten selbst bei „kostenlosen“ Sicherheitslösungen erklärt.
Die bayerische Aufsichtsbehörde hat klar Stellung bezogen und von der Verwendung von reCaptcha abgeraten. Insbesondere wenn Daten zu eigenen Zwecken verarbeitet werden, ist die Einwilligung der Nutzer erforderlich.
Was bedeutet das für Webseitenbetreiber?
Webseitenbetreiber sollten sich der rechtlichen Risiken bewusst sein, die mit dem Einsatz von reCaptcha verbunden sind. Dies gilt auch für andere Google-Dienste wie Google Maps oder Google Analytics. Zwar gab es bisher keine großflächigen rechtlichen Konsequenzen, doch eine transparente Beschreibung der Zwecke und Funktionsweisen von reCaptcha in der Datenschutzerklärung sowie die Einholung einer Einwilligung über Cookie-Banner sind empfehlenswert. Dennoch bleibt die Einhaltung der Datenschutzrichtlinien problematisch, da Google nicht ausreichend darüber informiert, welche Datenverarbeitungen bei reCaptcha stattfinden.
Update 19.04.2022: Erste Aufsichtsbehörde untersagt den Einsatz von Google reCaptcha
Nach einer Beschwerde über den Einsatz von reCaptcha in einem Formular der französischen Nationalpolizei hat die CNIL dem Innenministerium untersagt, diesen Dienst weiterhin ohne Einwilligung zu verwenden. Die Erhebung von Informationen durch reCaptcha dient nicht nur der Sicherheit der Webseite, sondern ermöglicht auch Analysevorgänge seitens Google.