Die Wichtigsten Informationen zu Google reCAPTCHA und der DSGVO

CAPTCHA ist ein Akronym für den Ausdruck „Completely Automated Public Turing test to tell Computers and Humans Apart”. Trotz des eigenartigen Namens trifft der Name den Zweck des Tools sehr gut. Es geht darum zu erkennen, ob hinter einem Nutzer ein echter Mensch steckt, oder ob es sich lediglich um einen Bot oder automatisierten Nutzer handelt. Manche Aufgaben sind für Menschen sehr einfach, für Computer und Maschinen aber nur sehr schwer lösbar. Falls eine Seite erkennen möchte, ob ein Nutzer ein echter Mensch ist, muss dieser zum Beweis eine solche Aufgabe lösen.

Es gibt viele Beispiele dieser Aufgaben, die wir alle kennen. Zum Beispiel müssen aus 9 Bildern diejenigen erkannt werden, die einen Zebrastreifen, ein Auto oder einen Kran beinhalten. Die Bilder sind dabei nicht besonders klar und es kann auch für Menschen durchaus schwer erkennbar sein, welche Bilder die richtigen sind. Beliebt sind auch Buchstaben und Zahlen-Abfolgen, die gestreckt und gestaucht sind und vom Nutzer abgetippt werden müssen. Diese Variante wird allerdings immer seltener. Manchmal muss ein Nutzer auch einfach nur einen bestimmten Teil eines Bildes anklicken.

2014 ging das Tool reCAPTCHA v2 von Google live und das Kästchen „Ich bin kein Roboter“ erschien auf unseren Bildschirmen.

CAPTCHAs schützen Nutzer und Webseiten vor vielen Risiken. Die größte Bedrohung für Webseiten geht häufig von sogenannten Bots aus. Das sind spezialisierte Programme, die von Servern Daten anfordern können und bei entsprechender Frequenz von Anfragen auch zu einem Absturz führen. Wenn diese Bots sich einem CAPTCHA stellen müssen, ist die Gefahr eines erfolgreichen Bot Angriffs deutlich geringer.

Auch sogenannte Account Takeover Attacks (ATO) werden immer häufiger. Hierbei versuchen Hacker, in einen Account „einzubrechen”. Zum Beispiel durch wiederholte Eingabe von Login Daten. Deswegen werden CAPTCHAs häufig getriggert, wenn man ein Passwort mehrere Male falsch eingegeben hat. So kann das „Durchprobieren” von Zugangsdaten verhindert werden, um den Zugang zu erraten. Auf die gleiche Weise können CAPTCHAs auch verhindern, dass Fake Accounts erstellt werden. Auch hier müssen sich neue Nutzer häufig als „menschlich” ausweisen.

Google reCAPTCHA war schon immer für den oben genannten Dienst gedacht, aber hatte auch immer einen Nebenzweck. Die erste Version wurde auch entwickelt, um zu erkennen, ob automatisierte eingescannte Bücher richtig erkannt wurden. Deswegen gab es früher auch mehr der CAPTCHAS, in denen mehrere Wörter verschwommen dargestellt wurden und von Nutzern erkannt werden mussten. Seitenbetreiber können das Programm bei Google kaufen und auf der eigenen Seite einpflegen. So kann das CAPTCHA relativ einfach installiert werden und sehr zuverlässig ungewollte automatisierte Besucher filtern.

Es muss allerdings erwähnt werden, dass das Programm nicht unfehlbar ist. Google ermittelt nicht genau, ob jemand ein Bot ist, oder nicht, sondern nur, wie wahrscheinlich es ist, dass es sich bei dem Besucher um einen Bot handelt.

Ende 2018 hat Google die neueste Version von seinem CAPTCHA Dienst veröffentlicht. In dieser müssen Nutzer keine Aufgabe mehr erfüllen. Das System erkennt selbstständig, ob es sich um einen Menschen handelt. Jedem Besucher wird eine Zahl zwischen 0 und 1 zugewiesen, je nachdem wie menschlich das Verhalten eingestuft wird. Je nach Grenzwert werden dann Maßnahmen eingeleitet, um den Nutzer auszuschließen. Ein Wert von 0 entspricht dabei einem sehr sicheren Bot, während ein Wert von 1 für einen sehr eindeutigen Menschen steht.

Google reCAPTCHA v3 kann Verhalten auf einer Webseite so gut modellieren, dass es ganz ohne Kästchen anklicken oder Bilder erkennen auskommt. Das soll den Nutzer von dieser teilweise sehr lästigen Aufgabe befreien und Frust vermeiden. Menschen sollten also recht einfach durch „normales” Verhalten auf einer Webseite einen Score von 1 erreichen können. Wie genau dieser Score zustande kommt, gibt Google nicht preis. Auf der einen Seite ist das verständlich, da sonst Hacker diese Bedingungen maschinell erfüllen könnten, auf der anderen Seite kann so auch nur sehr schwer die Qualität des Programms eingeschätzt werden.

In dieser Technologie gibt es allerdings ein Problem: Alle Aktionen des Nutzers müssen überwacht werden. Der Nutzer und seine Bewegungen auf der Seite müssen genau nachvollzogen werden, um einen möglichst genauen Wert zu ermitteln. Das Problem liegt darin, dass der Nutzer rechtlich dazu seine Einwilligung geben MUSS.

Google reCAPTCHA v3 und Enterprise erkennt Menschen – ohne Fragen zu stellen

Website Besucher bekommen nichts von reCAPTCHA v3 mit. Für Nutzer ist, im Gegensatz zu früheren Iterationen, nicht mehr erkennbar, ob sie einem solchen Test unterzogen werden. Nur ein auf der Seite dargestelltes Logo weist auf die Nutzung von Google reCAPTCHA hin.

Wenn Google den Wert eines Nutzers auf unter 0,7 ermittelt, kann die Webseite den Zugriff des Nutzers einschränken oder komplett verhindern. Dann muss der Nutzer beispielsweise per Zwei-Faktor-Authentifizierung beweisen, dass es sich um einen Menschen handelt. Dies lässt sich umsetzen, indem ein „Action”-Tag auf einer Seite verbaut wird, auf der eine solche Abfrage stattfinden soll.

Wie schon erwähnt, liegt der größte Vorteil von Google reCAPTCHA v3 darin, dass Nutzer nicht mehr zu einem ausdrücklichen Test „gezwungen” werden müssen. Zusätzlich gibt es für Website Betreiber noch mehr Vorteile bei der Feinabstimmung der Google API.

Die Zugriffsrichtlinie kann für verschiedene Teile der Webseite unterschiedlich definiert werden. Eine Zugriffsrichtlinie ist dabei die Definition der Schwellenwerte und Prüfungsrichtlinien für eine bestimmte Seite oder einen Webseitenbereich. So kann für eine Anmeldung zu einem bestimmten Dienst ein Score von >0,9 nötig sein, um die oben erwähnten ATO Attacken zu verhindern, während ein Wert von 0,7 für die „normale” Seitennutzung völlig ausreicht. Diese Zugriffsrichtlinien können aber auch Transaktionsverläufe und Nutzungsprofile aus Nicht-Google-Daten beinhalten.

Das Ziel der DSGVO ist es, die personenbezogenen Daten von Nutzern möglichst umfassend zu schützen. Für diesen Schutz sind die Website-Betreiber selbst verantwortlich. Das bedeutet, dass jegliche Sammlung und Verarbeitung von personenbezogenen Daten für Analytics Tools oder Remarketing nur unter bestimmten Umständen passieren darf. Betreiber müssen also vorsichtig sein und grundsätzlich den Schutz der Nutzerdaten an oberster Stelle setzen.

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 und Enterprise für die Nutzer quasi „unsichtbar“ ab. Es besteht als eine Art „Einwillingungspflicht”. So praktisch dies auf den ersten Blick erscheint, so intransparent ist es aber aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert, ohne dass die Nutzer ihre ausdrückliche Einwilligung erteilen. Sie werden nicht darüber informiert, dass bei der Analyse durch das System u. a. folgende Daten an Google weitergeleitet werden:

• IP-Adresse
• Referrer-URL
• Betriebssystem
• Cookies
• Mausbewegungen/Tastaturanschläge
• Verweildauer
• Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

Gerade die IP-Adresse und Informationen zu den Geräten und Geräteeinstellungen in Verbindung mit den anderen Informationen sind eventuell personenbezogene Daten und fallen damit unter die DSGVO. Problematisch ist auch, dass nicht genau bekannt ist, welche Daten Google in welchem Umfang verarbeitet hat, um reCAPTCHA v3 anzubieten. Speicherdauer der Daten und Verarbeitungsprozesse sind nicht transparent. Daher müssen Website Betreiber besonders vorsichtig sein. Auch die bayerische Aufsichtsbehörde weist darauf hin, dass reCAPTCHA Risiken für Webseiten-Betreiber birgt. Klar ist: Die Einwilligungspflicht für reCAPTCHA ist nicht DSGVO konform.

reCAPTCHA kann, das geht aus den beschriebenen Problemen hervor, nicht problemlos in eine Seite eingebunden werden. Es gibt aber Maßnahmen, die eine DSGVO-konforme Einbindung von reCAPTCHA zulassen:

Die Funktionsweise von CAPTCHAs und besonders reCAPTCHA sollte möglichst transparent in die Datenschutzerklärung einer Webseite eingebunden sein. Das bedeutet auch, dass nicht nur das Nötigste beschrieben wird, sondern spezifisch beschrieben wird, für was diese Tools gedacht sind. Es ist wichtig, dass Nutzer verstehen, welche Vorteile das Tool hat und welche Daten dafür nötig sind. Dadurch stärken Sie auch Ihre Beziehung zu Ihren Nutzern und erhöhen Ihre Vertrauenswürdigkeit.

Mit der Einbindung in die Datenschutzerklärung ist es leider noch nicht getan. Es ist wichtig, dass Nutzer explizit der Sammlung ihrer Daten für reCAPTCHA zustimmen. Das bedeutet, dass reCAPTCHA in Ihr Cookie Banner und Ihre Consent Management Platform eingebunden werden sollte. Hier können Sie die Einwilligung einholen und diese dann datenschutzkonform für die Zukunft ablegen.

Mit diesen beiden Maßnahmen können Sie reCAPTCHA möglichst DSGVO-konform verwenden. Es ist allerdings wichtig, dass Sie mit Ihrem Datenschutzbeauftragten und Ihrer Rechtsabteilung Rücksprache halten, ob die Maßnahmen für Sie ausreichen.

Schritt-für-Schritt-Integration

1. Sie müssen zunächst Ihre Website bei Google registrieren.
2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
3. Wählen Sie reCAPTCHA v3 oder Enterprise aus und aktivieren Sie darin die Option „Ich bin kein Roboter“.
4. Nach dem Absenden erhalten Sie von Google den Website Schlüssel und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

1. Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
2. reCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
3. Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
4. Das System analysiert nun die einzelnen Nutzer, erstellt dann einen Token und ordnet es einer versteckten Eingabe zu.

1. Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
2. Verwenden Sie eine PHP-Datei (Skriptsprache), um die Nutzer durch gewisse definierte Konstanten mit Daten zu überprüfen.
3. Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind.

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Die Google reCAPTCHA Version 3 API-Lösung ist mit Ihrer Lösung ohne direkte Interaktionen mit den Nutzern besonders praktisch. So sind Bilder- und Worträtsel auf Webseiten eine Anekdote, die in einigen Jahren wahrscheinlich belächelt wird. Es ist vermutlich die Zukunft der „menschlichen” Prüfung. Allerdings bringt die Funktionsweise einige Probleme mit sich.

Es ist wichtig, dass ein funktionierendes Cookie Banner und eine gut funktionierende CMP verwendet werden, wie sie von Usercentrics angeboten werden. So kann das Opt-In transparent und einfach eingeholt werden. Es ist dann auch nicht mehr nötig, eine Alternative zu verwenden. Die meisten Menschen sind dem Datenschutz von Drittanbietern wie Google gegenüber eher skeptisch. Deswegen müssen Websiten Betreiber besonderen Fokus darauf legen, Vertrauen zu schaffen. Dies funktioniert am Besten mit einem hochwertigen Cookie Banner und einer zuverlässigen CMP. Letztlich sind reCAPTCHA v3 und Enterprise für die meisten Website Besucher aber eine willkommene Neuerung.