Ist Google reCAPTCHA GDPR-konform?
Die französische Datenschutzbehörde "CNIL" hat kürzlich ein Unternehmen für die Verwendung von Google reCAPTCHA, einem beliebten Tool zur Erkennung von Bots, bestraft. Was bedeutet dieser Fall für die Tausenden von Websites und Apps, die reCAPTCHA verwenden, um Bots zu stoppen?
In diesem Artikel wird erläutert, ob die Verwendung von Google reCAPTCHA mit der Datenschutz-Grundverordnung vereinbar ist und ob Sie das Tool verwenden können, ohne gegen EU-Datenschutzgesetze zu verstoßen.
Google reCAPTCHA und Datenschutz
Websites und Anwendungen verwenden das reCAPTCHA-Tool von Google, um Bots von echten Nutzern (Menschen) zu unterscheiden.
Google reCAPTCHA ist nur eine Art von CAPTCHA (das steht für "Completely Automated Public Turing test to tell Computers and Humans Apart"). Verschiedene CAPTCHAs verwenden unterschiedliche Authentifizierungsmethoden.
Frühe reCAPTCHA-Versionen verlangten von Website-Besuchern, Text zu entziffern oder andere Aufgaben zu erfüllen, die für Menschen einfach, für Bots aber schwierig sind. Google wurde übrigens kritisiert, weil es diese frühen reCAPTCHA-Versionen zum Trainieren seiner KI-Modelle nutzte, um "kostenlose digitale Arbeitskräfte zu gewinnen".
Die neueste Version von reCAPTCHA arbeitet jedoch mit Cookies von Drittanbietern. Dies führt zu einem reibungsloseren Nutzererlebnis, hat aber auch schwerwiegende Auswirkungen auf den Datenschutz.
CNIL-Fall zu Google reCAPTCHA
Die Entscheidung der CNIL vom 16. März (auf Französisch) betraf ein E-Scooter-Unternehmen namens Cityscoot.
Das Unternehmen wurde zu einer Strafe von 125 000 Euro verurteilt, die jedoch nicht nur auf die Verwendung von reCAPTCHA durch Cityscoot zurückzuführen ist. Bei der Untersuchung der CNIL ging es vor allem um die Art und Weise, wie Cityscoot den Standort seiner Roller verfolgte, und um die in den Verträgen von Cityscoot enthaltenen Informationen.
Bei der Untersuchung stellte die CNIL jedoch fest, dass Cityscoot auf seiner Website und in seiner App reCAPTCHA verwendet.
Die CNIL stellte fest, dass Cityscoot:
- Es wurden keine Datenschutzinformationen über reCAPTCHA bereitgestellt.
- Die Zustimmung der Besucher zur Verwendung von reCAPTCHA wurde nicht eingeholt.
Da reCAPTCHA mit Hilfe von Cookies funktioniert, waren diese Auslassungen ein Problem für Cityscoot.
Erfordern Cookies eine Zustimmung?
Die CNIL untersuchte die Verwendung von reCAPTCHA durch Cityscoot gemäß Artikel 82 des französischen Datenschutzgesetzes. Dieser Teil des französischen Gesetzes setzt die ePrivacy-Richtlinie um, ein EU-Gesetz, das Cookies und andere Tracker regelt.
Gemäß der Datenschutzrichtlinie für elektronische Kommunikation:
- Die Betreiber von Apps und Websites müssen erklären, welche Cookies sie verwenden und warum sie sie verwenden.
- Die meisten Cookies erfordern eine Zustimmung.
Es gibt jedoch Ausnahmen von der Zustimmungsregel für:
- Cookies, die "ausschließlich zum Zweck der Übermittlung einer Nachricht..." verwendet werden.
- Cookies, die "unbedingt notwendig sind, um einen vom Nutzer ausdrücklich angeforderten Dienst zu erbringen...".
Viele Datenschutzbehörden (einschließlich der CNIL) erlauben auch datenschutzfreundliche First-Party-Analyse-Cookies ohne Zustimmung.
Hinweis: Wir verwenden "Cookies" als Abkürzung für alle Technologien, die auf Informationen auf dem Gerät einer Person zugreifen oder diese speichern können. Dies kann auch Beacons, Pixel, Skripte und andere Technologien umfassen.
Ist reCAPTCHA "unbedingt erforderlich"?
Cityscoot argumentierte, dass reCAPTCHA unter die zweite oben genannte Ausnahme falle und keine Zustimmung erfordere.
Das Unternehmen gab an, reCAPTCHA zu verwenden, um einen Dienst bereitzustellen, der "ausdrücklich vom Benutzer angefordert wurde" (Anmeldung bei Cityscoot), und dass reCAPTCHA für die Bereitstellung dieses Dienstes "unbedingt erforderlich" sei.
Dies ist teilweise richtig. In einer von den EU-Datenschutzbehörden verabschiedeten Stellungnahme zur Cookie-Einwilligung wird akzeptiert, dass einige Authentifizierungs- und "nutzerzentrierte Sicherheits"-Cookies von der Cookie-Einwilligung ausgenommen werden können.
Aber es gibt einen Vorbehalt in der Anleitung: "Der Vorgang der Authentifizierung darf nicht als Gelegenheit gesehen werden, das Cookie für andere sekundäre Zwecke zu verwenden..."
Die CNIL stellte fest, dass reCAPTCHA funktioniert, indem es Daten über Geräte- und Anwendungsdaten zur Analyse an Google sendet. Daher falle das Tool nicht unter die "unbedingt notwendige" Ausnahme für die Einwilligung in Cookies.
Google reCAPTCHA und Informationen zum Datenschutz
Wie bereits erwähnt, müssen Websites und Anwendungen, die Cookies verwenden, Informationen darüber bereitstellen:
- Was ihre Cookies tun.
- Für welche Zwecke sie Cookies verwenden.
- Wie ein Website-Besucher Cookies ablehnen kann.
Cityscoot gab an, diese Informationen zur Verfügung gestellt zu haben, weil das reCAPTCHA-Widget von Google einen Link zu den Datenschutzbestimmungen und Nutzungsbedingungen von Google anzeigt .
Die CNIL akzeptierte nicht, dass dies den Transparenzanforderungen entsprach. Die Regulierungsbehörde befand, dass Cityscoot seine eigenen Cookie-Informationen direkt hätte bereitstellen müssen.
Fragen und Antworten zu Google reCAPTCHA
Wir haben uns mit den Fakten dieses Falles befasst. Lassen Sie uns nun einige Lektionen über die Datenerhebung von Google reCAPTCHA nach EU-Recht betrachten.
Ist Google reCAPTCHA in der EU rechtswidrig?
Die europäischen Datenschutzbehörden sind nicht befugt, EU-weite Verbote für bestimmte Produkte zu erlassen.
Es ist jedoch möglich, reCAPTCHA nach EU-Recht illegal zu verwenden, und es wurde festgestellt, dass mehrere App- und Website-Betreiber dies getan haben. Wenn Sie reCAPTCHA verwenden möchten, ohne gegen das Gesetz zu verstoßen, sollten Sie professionellen Rechtsrat einholen.
Wie wir weiter unten darlegen werden, könnte es nach EU-Recht unmöglich sein, reCAPTCHA rechtmäßig zu verwenden, aber keine Datenschutzbehörde hat dies gesagt.
Ist für Google reCAPTCHA eine Zustimmung erforderlich?
Ja, laut der französischen Datenschutzbehörde ist für Google reCAPTCHA eine Zustimmung erforderlich, da Google reCAPTCHA-Cookies Informationen über das Gerät und den Browser des Nutzers sammeln und an Google übertragen.
Da diese Datenverarbeitung für die Anmeldeauthentifizierung nicht "unbedingt erforderlich" ist, ist für Google reCAPTCHA-Cookies eine Zustimmung erforderlich.
Würde die Einholung der Zustimmung nicht die Wirksamkeit von reCAPTCHA untergraben?
Ja, die Bitte um Zustimmung macht reCAPTCHA wohl unwirksam.
Nach der Datenschutz-Grundverordnung muss die Zustimmung "freiwillig" erteilt werden - Sie können einer Person nicht den Zugang zu Ihren Diensten verweigern, weil sie ihre Zustimmung verweigert.
Google reCAPTCHA wurde entwickelt, um zu überprüfen, ob es sich bei den Nutzern einer Website um Menschen oder Bots handelt. Theoretisch könnten Spam-Bots (oder Menschen) die Zustimmung zu reCAPTCHA verweigern und sich ohne Authentifizierung anmelden.
Daher ist eine Authentifizierungsmethode, die eine Zustimmung erfordert - wie z. B. Google reCAPTCHA - wohl unwirksam.
Ist dies die einzige reCAPTCHA-Entscheidung?
Nein, es gibt weitere Gerichtsentscheidungen zu Google reCAPTCHA, die bestätigen, dass das Tool eine Zustimmung erfordert.
So untersuchte die französische Datenschutzbehörde auch die Verwendung von "unsichtbarem reCAPTCHA" - einer Version von reCAPTCHA ohne Kontrollkästchen - in der App "StopCovid" der Regierung.
Wie bei der jüngsten Entscheidung zu Cityscoot befand die CNIL, dass die Regierung Informationen hätte bereitstellen und um Zustimmung für reCAPTCHA hätte bitten müssen.
Der Datenschützer David Libeau veröffentlichte eine weitere nicht öffentliche Entscheidung zu reCAPTCHA, in der die CNIL zu den gleichen Schlussfolgerungen kam.
Ist Google reCAPTCHA nur in Frankreich zustimmungspflichtig?
Bislang wurden die einzigen öffentlich zugänglichen Entscheidungen zum Datenschutz bei Google reCAPTCHA offenbar von der französischen Datenschutzbehörde CNIL getroffen.
Die Datenschutzrichtlinie für elektronische Kommunikation und die Datenschutz-Grundverordnung wurden jedoch in allen EU-Mitgliedstaaten (sowie im Vereinigten Königreich, Island, Liechtenstein und Noway) umgesetzt.
Außerdem hat die CNIL ihre jüngste reCAPTCHA-Entscheidung zusammen mit den spanischen und italienischen Datenschutzbehörden getroffen.
Ist nicht Google für reCAPTCHA verantwortlich?
Nein, Google ist nicht dafür verantwortlich, wie Websitebesitzer reCAPTCHA verwenden.
Die CNIL stellte fest, dass der Besitzer der App oder der Website, die reCAPTCHA verwendet, für die Einholung der Zustimmung und die Bereitstellung von Informationen verantwortlich ist. Auch Google erklärt, dass reCAPTCHA-Nutzer diese Verantwortung haben.
Im Allgemeinen können Sie Ihre Verpflichtungen zur Einhaltung der DSGVO nicht auslagern - Sie sind für alle Aktivitäten von Datenverarbeitern, die in Ihrem Namen arbeiten, verantwortlich.
Ist Google reCAPTCHA GDPR-konform?
Die französischen Fälle konzentrieren sich auf die ePrivacy-Richtlinie (oder Artikel 82 des französischen Datenschutzgesetzes), die Cookies regelt. In diesen Entscheidungen wurde festgestellt, dass reCAPTCHA eine Einwilligung erfordert, und die Einwilligung muss den Standards der DSGVO entsprechen.
Einige andere Probleme im Zusammenhang mit Google deuten jedoch darauf hin, dass die Verwendung von reCAPTCHA selbst mit Zustimmung möglicherweise nicht GDPR-konform ist.
Aus der Entscheidung der CNIL geht hervor, dass reCAPTCHA personenbezogene Daten an Google, ein US-Unternehmen, übermittelt. Die Aufsichtsbehörde hat nicht untersucht, ob dies gegen die internationalen Datenübertragungsregeln der DSGVO verstößt, aber es gibt Gründe für die Annahme, dass dies der Fall sein könnte.
Doch aufgrund der strengen EU-Vorschriften für die internationale Übermittlung personenbezogener Daten - insbesonderein die USA - wurden europäische Unternehmen für die Verwendung mehrerer anderer Google-Produkte mit Sanktionen belegt:
- Google Analytics: Entscheidungen und Erklärungen von mindestens acht Datenschutzbehörden in ganz Europa seit Anfang 2022 deuten darauf hin, dass Google Analytics im Rahmen der Datenschutz-Grundverordnung nicht rechtmäßig verwendet werden kann.
- Google Fonts: Ein deutsches Gerichtsurteil vom Januar dieses Jahres stellte fest, dass die Integration von Google Fonts personenbezogene Daten ohne angemessene Garantien in die USA überträgt.
- Google Workspace: Eine Entscheidung der dänischen Datenschutzbehörde aus dem Jahr 2021 verbietet einem Schulbezirk die Nutzung von Google Workspace und Chromebooks aufgrund von Verstößen gegen den Datentransfer.
Es gibt keinen Grund zu der Annahme, dass reCAPTCHA anders funktioniert.
Aufgrund des Status von Google als "Anbieter von elektronischen Kommunikationsdiensten" nach US-Recht besteht bei der Nutzung eines Google-Produkts - mit oder ohne Zustimmung - die Gefahr, gegen die Datenschutz-Grundverordnung zu verstoßen.
Try Wide Angle Analytics!