Bist Du ein Roboter? Was Sie über Googles ReCAPTCHA v3 und die DSGVO wissen sollten

Bist Du ein Roboter? Was Sie über Googles ReCAPTCHA v3 und die DSGVO wissen sollten

Inhaltsverzeichnis

Mehr anzeigen Weniger anzeigen

Ampeln suchen, Zebrastreifen und Busse anklicken oder erkennen, welche Buchstaben und Zahlenkombination sich hinter einem unscharfen Bild verbergen – so waren wir in den letzten Jahren gewohnt zu beweisen, dass hier ein echter Mensch aus Fleisch und Blut im Netz unterwegs ist. Mit Googles ReCAPTCHA v3 sind diese Zeiten nun vorbei. Was sich ändert und was es in Bezug auf die DSGVO beim Einsatz des Google Tools zu beachten gilt, erfahren Sie hier. 

Was sind CAPTCHAs?

 

CAPTCHAs (“Completely Automated Public Turing test to tell Computers and Humans Apart”) sind Werkzeuge, die verwendet werden, um zwischen echten und automatisierten Nutzern, wie z. B. Bots, zu unterscheiden. CAPTCHAs stellen Aufgaben, die für Computer schwierig, aber für Menschen relativ einfach zu lösen sind. Zum Beispiel das Erkennen von gestreckten Buchstaben oder Zahlen oder das Klicken in einen bestimmten Bereich auf einem Bild.

Die dritte Version von Googles reCAPTCHA API lässt Abfragen komplett entfallen

Ein Rückblick: Ende 2018 wurde Googles reCAPTCHA in seiner dritten Version eingeführt. Die Anzahl der Aufgaben, die Nutzer absolvieren müssen, um sich auf einer Website anzumelden, wurden drastisch reduziert und Nutzern eine unsichtbare Punktzahl zugewiesen, je nachdem, wie “menschlich” ihr Verhalten ist.

Doch die Innovation hat auch eine Kehrseite: Die Version überwacht im Hintergrund jede Bewegung des Nutzers auf einer Website, um festzustellen, ob der Anwender tatsächlich eine reale Person ist.

Googles verdecktes reCAPTCHA v3 erkennt Menschen – ohne Fragen zu stellen

Mit reCAPTCHA v3 ist die Interaktion einer Website mit dem Nutzer laut Google so gut modellierbar, dass es nicht mehr nötig ist, ihn zu bitten, ein Kästchen anzukreuzen oder zum Lösen eines mäßig spannenden visuellen Rätsels zu nötigen.

 

Stattdessen bewertet es jeden Besucher mit einem Risiko-Score von 0,0 (schlecht) bis 1,0 (gut) und gibt diesen Score an den Website-Betreiber zurück, damit dieser entscheiden kann, wie er darauf reagieren will. Diese Risikoanalyse läuft im Hintergrund und das Nutzerverhalten wird vom System genauestens überwacht.

 

Google liefert zwar keine Erklärung für den Score, Menschen sollten allerdings einen Score von etwa 1,0 erreichen, um ohne Sperre passieren zu können.

Interessant: Der Besucher merkt von all dem nichts. Denn er meldet sich an, als ob es kein CAPTCHA gäbe. Einzig am Logo ist erkennbar, dass im Hintergrund noch etwas passiert. 

 

Und so funktioniert das Ganze: Wenn der Schwellenwert unter 0,7 fällt, kann die Website den Zugriff auf bestimmte Teile der Seite blockieren oder zumindest einschränken oder eine zusätzliche Verifizierung (z. B. in Form einer Zwei-Faktor-Authentifizierung) verlangen, indem ein “Action”-Tag auf den Seiten implementiert wird.

 

⇨ Mit diesem Verfahren und durch eingeschränkte Zugriffe werden Missbrauch und Spam durch Bots auf ein Minimum reduziert.

Die Vorteile von reCAPTCHA Version 3

Neben der ausgefeilteren Bot-Erkennung gibt es bei der neuen Version im Hintergrund noch einen weiteren Vorteil: viel mehr Kontrolle für Website-Betreiber bei der Feinabstimmung der Google API.

 

Während Version 3 aus Sicht der Websiten-Nutzer eigentlich nur bedeutet, dass CAPTCHAs nicht mehr wahrgenommen werden, geht es für Website-Betreiber um viel mehr: Sie müssen nun Scoring-Schwellenwerte für verschiedene Teile einer Webseite (Login, Social, Payment) definieren, die Transaktionshistorien und Nutzungsprofile aus Nicht-Google-Daten beinhalten können.

 

Diese Änderungen bringen nicht nur einen technischen Wandel mit sich, sondern vor allem auch einen kulturellen. Website-Besitzer müssen jetzt die Verantwortung für ihren Bot-Traffic übernehmen und können das Thema nicht einfach an Dritte auslagern.

ReCAPTCHA und die DSGVO

Fest steht: Website-Betreiber sind für den Schutz der Daten ihrer Nutzer verantwortlich. Die DSGVO gibt den Nutzern die Sicherheit, dass die Offenlegung ihrer persönlichen Daten nach jeglichen Aktionen im Netz auf ein Minimum begrenzt wird.

 

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 für den Nutzer quasi “unsichtbar” ab. So praktisch das vielleicht auf den ersten Blick erscheint, so intransparent ist es aber letztlich aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert und der Nutzer wird nicht darüber informiert, dass bei der Analyse durch das System u.a. folgende Daten an Google weitergeleitet werden:

 

 

  • IP-Adresse
  • Referrer URL
  • Betriebssystem
  • Cookies
  • Mausbewegungen/Tastaturanschläge
  • Verweildauer
  • Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

 

 

Die bayerische Aufsichtsbehörde weist deshalb darauf hin, dass diese mangelnde Transparenz beim Einsatz von CAPTCHA Risiken für die Betreiber von Websites birgt.

 

 

Was tun?

 

Eine Lösung, um das Tool weitestgehend DSGVO-konform zu verwenden, ist z. B. die Funktionsweise von CAPTCHA möglichst transparent in der Datenschutzerklärung zu beschreiben und die Zustimmung der Besucher – zum Beispiel über den Cookie-Banner der Consent Management Platform (CMP) – einzuholen. Allerdings ist es auch damit eventuell nicht vollkommen rechtskonform, da Google nicht ausreichend klar macht, welche Verarbeitungen und Zugriffe durch das Tool erfolgen.

 

Unser Rat: Halten Sie diesbezüglich unbedingt Rücksprache mit Ihrer Rechtsabteilung oder dem Datenschutzbeauftragten.

1. Registrieren Sie Ihre Website und erhalten Sie einen Secret Key

 

  1. Das erste, was Sie tun müssen, ist Ihre Website bei Google zu registrieren.
  2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
  3. Wählen Sie reCAPTCHA v3 aus und aktivieren Sie darin die Option “Ich bin kein Roboter”.
  4. Nach dem Absenden erhalten Sie die folgenden Informationen von Google: den Site Key und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

 

2. Integrieren Sie reCAPTCHA in Ihre Website

 

  • Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
  • ReCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
  • Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
  • Das System analysiert nun den einzelnen Benutzer, erstellt dann ein Token und ordnet es einer versteckten Eingabe zu.

 

3. Serverseitige Einbindung

 

  • Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
  • Verwenden Sie eine PHP-Datei (Skriptsprache), um den Benutzer durch gewisse, definierte Konstanten mit Daten zu überprüfen.
  • Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind (1,0 ist höchstwahrscheinlich eine gute Interaktion).

 

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Fazit

Wer sichergehen möchte, dass alle Aktionen auf der eigenen Website von “echten Menschen” ausgeführt werden und dafür keine lästige Abfrage per Bilderrätsel verwenden mag, für den ist Googles reCAPTCHA API-Lösung genau das Richtige. 

 

Nicht wundern: Die meisten Nutzer sind Gewohnheitstiere und vertrauen immer noch der “alten” Version. Es kann sie irritieren, dass nun keine Interaktion mehr erforderlich ist. Letztlich ist ReCAPTCHA Version 3 für die meisten Website-Besucher jedoch eine willkommene Neuerung, denn die Zeiten des Rätselklickens gehören von nun an der Vergangenheit an – und das wird die Mehrheit der Nutzer langfristig sicherlich zu schätzen wissen. Allerdings erfordert auch die Nutzung des ReCAPTCHA zwingend das Einverständnis der Websitebesucher, da mit der Verwendung der API Userdaten an Google übertragen werden. Die Lösung: Das notwendige Opt in können Betreiber durch einen Eintrag innerhalb ihrer Consent Management Platform transparent einholen.

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Häufig gestellte Fragen (FAQs)

ReCAPTCHA ist ein kostenloser Service von Google, der hilft, Websites während der Nutzung vor Spam und Missbrauch zu schützen.

  1. Navigieren Sie zu “Customizations” in Ihren Business-Einstellungen.
  2. Scrollen Sie nach unten und suchen Sie den Abschnitt “Invisible reCAPTCHA”.
  3. Deaktivieren Sie den Button.
  4. Klicken Sie auf “Speichern”.

ReCAPTCHA v3 hilft Ihnen, missbräuchlichen Traffic auf Ihrer Webseite ohne Benutzerinteraktion zu erkennen. Anstatt dem Nutzer eine CAPTCHA-Abfrage anzuzeigen, gibt reCAPTCHA v3 eine Punktzahl (oder “risk scores”) zurück, sodass Sie die geeignetste Aktion/Lösung für Ihre Website wählen können.

Die reCAPTCHA-API funktioniert, indem sie Hardware- und Software-Informationen wie Geräte- und Anwendungsdaten sammelt und diese zur Analyse an Google sendet. Dazu werden verschiedene Informationen wie ein Snapshot des Browserfensters des Nutzers, Informationen zu Browser-Plugins, CSS-Informationen für die Seite, Javascript-Objekte, das Datum oder die Browsersprache übertragen. Website-Betreiber, die die API verwenden, sind somit auch dafür verantwortlich, dies entsprechend durch Benachrichtigungen anzuzeigen und die Erlaubnis zur Erfassung und Weitergabe der Nutzerdaten an Google einzuholen.

ReCAPTCHA ist ein kostenloser Dienst für die Betreiber einer Website und deren  Nutzer.