Wichtige Informationen zu Google reCAPTCHA und der DSGVO

Ampeln suchen, Zebrastreifen und Busse anklicken oder erkennen, welche Buchstaben und Zahlenkombination sich hinter einem unscharfen Bild verbergen – so haben wir jahrelang bewiesen, dass wir als menschliche Nutzer im Web unterwegs sind. Mit zunächst ReCAPTCHA v3 und nun reCAPTCHA Enterprise sind diese Zeiten nun vorbei. Was sich ändert und was es in Bezug auf die DSGVO beim Einsatz des Tools von Google LLC zu beachten gilt, erfahren Sie hier.

Ein Rückblick: Ende 2018 führte Google reCAPTCHA in seiner dritten Version ein. Die Anzahl der Aufgaben, die Nutzer absolvieren müssen, um sich auf einer Website anzumelden, wurde drastisch reduziert. Ihnen wird eine unsichtbare Punktzahl zugewiesen, je nachdem, wie „menschlich“ ihr Verhalten ist.

Doch die Innovation hat auch eine Kehrseite: Die Version überwacht im Hintergrund jede Bewegung von Nutzern auf einer Website, um festzustellen, ob es sich tatsächlich um menschliche Nutzer handelt. Dies kann zu Problemen in Bezug auf den rechtmäßigen Einsatz des Tools führen, da die Nutzer ihre explizite Einwilligung zur Nachverfolgung aller Bewegungen nicht erteilt haben.

Mit Google reCAPTCHA v3 und Enterprise ist die Interaktion einer Website mit den menschlichen Nutzern laut Google so gut modellierbar, dass es nicht mehr nötig ist, sie zu bitten, ein Kästchen anzukreuzen oder zum Lösen eines mäßig spannenden visuellen Rätsels zu nötigen.

Stattdessen bewertet es jeden Besucher mit einem Risiko-Score von 0,0 (schlecht) bis 1,0 (sehr gut) und gibt diesen Score an die Website-Betreiber zurück. Diese entscheiden dann, wie sie darauf reagieren möchten. So bietet reCAPTCHA Schutz vor Spam. Diese Risikoanalyse läuft im Hintergrund ab. Das Nutzerverhalten wird vom System genauestens überwacht.

Google liefert zwar keine Erklärung für den Score, Menschen sollten allerdings einen Score von etwa 1,0 erreichen, um ohne Sperre passieren zu können.

Interessant: Website-Besucher merken von all dem nichts. Sie melden sich an, als ob es kein CAPTCHA gäbe. Einzig am Logo ist erkennbar, dass im Hintergrund noch etwas passiert.

Und so funktioniert das Ganze: Wenn der Schwellenwert unter 0,7 fällt, kann die Website den Zugriff auf bestimmte Teile der Website blockieren oder zumindest einschränken oder eine zusätzliche Verifizierung (z. B. in Form einer Zwei-Faktor-Authentifizierung) verlangen, indem ein „Action“-Tag auf den einzelnen Seiten implementiert wird.

⇨ Mit diesem Verfahren und durch eingeschränkte Zugriffe werden Missbrauch und Spam durch Bots auf ein Minimum reduziert.

Neben der ausgefeilteren Bot-Erkennung gibt es bei den neuen Versionen aufgrund von im Hintergrund laufenden Vorgängen noch einen weiteren Vorteil: viel mehr Kontrolle für Website-Betreiber bei der Feinabstimmung der Google API.

Während die neuen reCAPTCHA-Versionen aus Sicht der Website-Nutzer eigentlich nur bedeutet, dass CAPTCHAs nicht mehr wahrgenommen werden, geht es für Website-Betreiber um viel mehr: Sie müssen nun Scoring-Schwellenwerte für verschiedene Teile einer Website (Anmeldung, soziale Medien oder Zahlungsvorgänge) definieren. Diese können Transaktionsverläufe und Nutzungsprofile aus Nicht-Google-Daten beinhalten.

Diese Änderungen bringen nicht nur einen technischen Wandel mit sich: Website-Inhaber müssen jetzt die Verantwortung für ihren Bot-Traffic übernehmen und können das Thema nicht einfach an Dritte auslagern.

Website-Betreiber sind für den Schutz der Nutzerdaten verantwortlich. Die DSGVO gibt den Nutzern die Sicherheit, dass die Offenlegung ihrer personenbezogenen Daten nach jeglichen Aktionen im Netz auf ein Minimum begrenzt wird.

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 und Enterprise für die Nutzer quasi „unsichtbar“ ab. So praktisch dies auf den ersten Blick erscheint, so intransparent ist es aber aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert, ohne dass die Nutzer ihre ausdrückliche Einwilligung erteilen. Sie werden nicht darüber informiert, dass bei der Analyse durch das System u. a. folgende Daten an Google weitergeleitet werden:

• IP-Adresse
• Referrer-URL
• Betriebssystem
• Cookies
• Mausbewegungen/Tastaturanschläge
• Verweildauer
• Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

In den häufig gestellten Fragen der bayerische Aufsichtsbehörde wird deshalb darauf hingewiesen, dass diese mangelnde Transparenz beim Einsatz von CAPTCHA Risiken für die Website-Betreiber birgt.

Was tun, damit Google reCAPTCHA die geltenden Anforderungen erfüllt?

Eine Lösung, um das Tool weitestgehend DSGVO-konform zu verwenden, ist beispielsweise, die Funktionsweise von CAPTCHA möglichst transparent in der Datenschutzerklärung zu beschreiben und die Einwilligung der Besucher – zum Beispiel über den Cookie-Banner der Consent Management Platform (CMP) – einzuholen. Allerdings ist auch diese Lösung nicht vollständig DSGVO-konform, da Google nicht ausreichend klar macht, welche Verarbeitungen und Zugriffe durch das Tool erfolgen.

Unser Rat: Halten Sie diesbezüglich unbedingt Rücksprache mit Ihrer Rechtsabteilung oder dem Datenschutzbeauftragten.

1. Sie müssen zunächst Ihre Website bei Google registrieren.
2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
3. Wählen Sie reCAPTCHA v3 oder Enterprise aus und aktivieren Sie darin die Option „Ich bin kein Roboter“.
4. Nach dem Absenden erhalten Sie von Google den Site Key und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

• Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
  
• ReCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
  
• Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
• Das System analysiert nun die einzelnen Nutzer, erstellt dann einen Token und ordnet es einer versteckten Eingabe zu.

• Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
• Verwenden Sie eine PHP-Datei (Skriptsprache), um die Nutzer durch gewisse definierte Konstanten mit Daten zu überprüfen.
• Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind (1,0 ist höchstwahrscheinlich eine gute Interaktion).

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Wer sichergehen möchte, dass alle Aktionen auf der eigenen Website von „echten Menschen“ ausgeführt werden und dafür keine lästige Abfrage per Bilderrätsel verwenden möchte, für den ist die Google reCAPTCHA API-Lösung genau das Richtige.

Nicht wundern: Die meisten Nutzer sind Gewohnheitstiere und vertrauen immer noch der alten Version. Es kann sie irritieren, dass nun keine Interaktion mehr erforderlich ist. Letztlich sind reCAPTCHA Version 3 und Enterprise für die meisten Website-Besucher jedoch eine willkommene Neuerung, denn die Zeiten des Rätselklickens gehören von nun an der Vergangenheit an – und das wird die Mehrheit von ihnen langfristig sicherlich zu schätzen wissen. Allerdings erfordert auch die Nutzung des reCAPTCHA zwingend die Nutzereinwilligung, da mit der Verwendung der API Nutzerdaten an Google übertragen werden. Die Lösung: Das notwendige Opt-in können Website-Betreiber durch einen Eintrag innerhalb ihrer Consent Management Platform (CMP) transparent einholen. Sie benötigen dann keine andere datenschutzkonforme Alternative, denn Sie haben die informierte Einwilligung der Nutzer und sind somit DSGVO-konform.

WICHTIGER HINWEIS

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.