Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Die Einbindung von Captchas in Webseiten ist nicht mehr wegzudenken und vom bayerischen Landesamt für Datenschutz sogar als verpflichtend deklariert worden. Doch eine Frage scheint bisher nicht geklärt:

Welcher Captcha-Dienst ist denn nun tatsächlich empfehlenswert?

Am häufigsten findet sich ein Tool von Google namens reCaptcha, das als Marktführer unter den Captcha-Diensten bereits in mehreren Versionen veröffentlicht wurde. Über Google reCaptcha wird allerdings nicht gesprochen, ohne im gleichen Atemzug immense datenschutzrechtliche Bedenken zu erwähnen, darunter insbesondere seine Vereinbarkeit mit der DSGVO.

In dem folgenden Beitrag möchten wir Sie daher über das berühmte Google reCaptcha aufklären und nennenswerte Alternativen vorstellen, damit auch Sie den für sich geeignetsten Captcha-Dienst finden.

Was sind Captcha-Dienste?

CAPTCHA steht für „completely automated public turing tests to tell computers and humans apart“, und stellt einen Sicherheitsmechanismus dar, mithilfe dessen unrechtmäßige Zugriffe auf jemandes Website bzw. auf Nutzer:innenkonten unterbunden werden. Solche Angriffen erfolgen u.a. durch automatisierte Konteninteraktionen von Bots durch die Automatisierung von Anmeldeversuchen. Es gibt „klassische“ Captchas, die kleine zwischengeschaltete Hürden bei der Nutzung einer Website darstellen, und bei denen oftmals verzerrte Texte oder eine zufällig generierte Zahlen- oder Buchstabenabfolge entziffert werden muss. Daneben existieren aber auch solche Captchas, deren Analyse gänzlich im Hintergrund abläuft, so z.B. die neueren Versionen von Googles reCaptcha.

Abgrenzungskriterien

Um die wesentlichen Risiken und Nutzen der verschiedenen Captcha-Diensten miteinander vergleichen zu können, ist das Augenmerkt nicht nur auf die Effektivität derselben zu richten, sondern und insbesondere auch auf die Art und den Kontext der Datenerhebung, -verarbeitung und -übermittlung ins EU/EWR-Ausland. Ersteres beeinflusst in erster Linie die Rechtsgrundlage für die Verwendung des Captcha. Ist die Verarbeitung der Daten auf keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder aber ein Vertragsverhältnis nach Art. 6 Abs. 1 lit. b DSGVO gestützt, so wird die Nutzung eines Captcha-Tools auf das berechtigte Interesse der Website-Betreiber:innen gestützt. Diese haben regelmäßig ein schützenswertes Interesse daran, die Website vor missbräuchlicher automatisierter Ausspähung, vor Angriffen und vor SPAM zu.

Google reCaptcha

Google reCaptcha weist mit seiner unsichtbaren, d.h. im Hintergrund arbeitenden Variante, nicht nur eine besonders hohe Benutzer:innenfreundlichkeit auf, sondern auch eine hohe Effektivität. Der Preis für jene Effektivität ist aber vergleichsweise hoch: Google reCaptcha nutzt das Prinzip des sog. Canvas Fingerprinting und verarbeitet damit eine Vielzahl an personenbezogenen Daten. Zur Analyse werden z.B. IP-Adresse, alle Cookies, die Google über die letzten 6 Monate auf dem Gerät gesetzt hat, Spracheinstellungen des Browsers, Plug-ins des Browsers, Java-Scripte, Verweildauer auf der Website und Mausbewegungen oder Touch-Pad-Bewegungen erfasst und zusammen mit der Cookie-ID an Google Ireland Ltd. weitergeleitet. Ebenso setzt Google reCaptcha Cookies ein, so z.B. _GRECAPTCHA. Tatsächlich problematisch ist hingegen die Tatsache, dass dieses Cookie standardmäßig von der Domäne google.com geladen wird, sodass Google reCaptcha vermutlich von all den dort geladenen Cookies Kenntnis erlangen kann, wenn der Nutzer zeitgleich in seinem Google-Konto angemeldet ist. Ob eine solch weitreichende Analyse notwendig und insofern noch von einem berechtigten Interesse als Rechtsgrundlage erfasst sein kann, ist fraglich.

Ein weiteres Risiko birgt die Übermittlung personenbezogener Daten in die USA, die mit der Nutzung von Google Diensten grundsätzlich einhergeht (unabhängig davon, ob die Übermittlung zunächst an Google Ireland Ltd. erfolgt). Seitdem Wegfall des Privacy Shields ist dies nämlich nur noch unter Beachtung strenger Voraussetzungen möglich. Nicht zuletzt deshalb raten sowohl die bayerische als auch die französische Datenschutzbehörde von der Implementierung  von Google reCaptcha ab. Der inzwischen neu in Kraft getretene Angemessenheitsbeschluss mildert diese Problematik zwar ab, allerdings wurden auch hier bereits Klagen wegen datenschutzrechtlicher Bedenken beim EuGH erhoben.

Alternativen

Alternativ können Dienste wie FriendlyCaptcha oder Arkose Labs genutzt werden:

Während FriendlyCaptcha technisch ähnlich wie reCaptcha eine Analyse ohne Mitwirkung der Benutzer:innen vornimmt, erweitert Arkose Labs sein Captcha-Angebot und bietet weitere Sicherheitsmechanismen an, die u.a. SPAM nicht nur blockieren, sondern präventiv handeln, indem sie verdächtige Accounts proaktiv angreifen.

Bezüglich der Datenverarbeitung schneiden beide Dienste besser ab als das Google reCaptcha: So wird von beiden als einziges nennenswertes personenbezogenes Datum, die IP-Adresse der Benutzer:innen verarbeitet. FriendlyCaptcha geht sogar so weit, die IP-Adressen unmittelbar zu anonymisieren. Auch kommen beide Dienste ohne die Setzung von Cookies aus.

Letztlich überholt FriendlyCaptcha den Captcha-Dienst von Arkose Labs in punkto Drittlandsübermittlung: Während die Server von Arkose Labs in den USA gehostet werden und eine Übermittlung der Daten eben dorthin unweigerlich geschieht, verbleiben alle Daten, die FriendlyCaptcha gesammelt hat in der EU. Damit tendieren die datenschutzrechtlichen Bedenken bei der Nutzung von FriendlyCaptcha im Gesamtvergleich gen Null.

Wer nichtsdestotrotz den Wunsch nach mehr Effektivität hegt, dem ist überdies zur zusätzlichen Nutzung sog. HoneyPots zu raten, durch die jedes Eingabeformular ein verstecktes Feld erhält, das für menschliche Besucher nicht sichtbar ist. Ein Roboter kann den Unterschied zumeist nicht erkennen und füllt ein solches wie vorhergesehen aus. Dadurch wird die Eingabe als SPAM erkannt und nicht abgesendet. Diese HoneyPots stellen damit datenschutzrechtlich unbedenkliche Zusätze für mehr Schutz dar, dem Sie neben Nutzung eines Captcha-Dienstes zur Gewährleistung der Funktionsfähigkeit Ihrer Website vertrauen können.

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT GmbH
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2024. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close