Leserkommentare zum Artikel

Frage des Tages: Einwilligungspflicht für den „reCAPTCHA“-Dienst von Google?

Derzeit werden wir vermehrt um Auskunft gebeten, ob der reCAPTCHA -Dienst von Google nach dem Cookie-Urteil des EuGH vom 01.10.2019 (Az. C-673/17) der Einwilligungspflicht unterfällt. Mit dem reCAPTCHA-Dienst lassen sich durch Abfrage bestimmter Zahlenfolgen oder Bildelemente missbräuchliche computergesteuerte Eingaben auf Webseiten verhindern. Der aktuelle Beitrag der IT-Recht Kanzlei gibt Antwort auf die Frage nach der Einwilligungspflicht für Google reCAPTCHA.

» Artikel lesen


Friendly Captcha

Beitrag von Marcus
11.11.2020, 08:34 Uhr

@Constantin: Danke für den Tipp mit Friendly Captcha! Find’s super und hab’s in meine Website eingebaut. Die Integration ist technisch ein bisschen tricky, wär schön, wenn’s da in Zukunft ein paar Verbesserungen gibt. Der Schutz funktioniert dann wieder gut, hab bisher kein Spam mehr bekommen. @Jens: Ich versteh deinen Kommentar nicht. Wie kommst du darauf, dass es für kleine Websites was kostet? Auf der Seite ist doch klar beschrieben, dass es für kleine Websites kostenlos ist. Und der Code ist für jeden Open Source. Oder irr ich mich da?

Friendly Captcha nicht kostenlos

Beitrag von Jens
02.11.2020, 12:56 Uhr

Eine Empfehlung für Friendly Captcha aus den Kommentaren ist ja die reine Werbung! Friendly Captcha ist nicht kostenlos! Und treibt die Kosten für kleine Websites weiter in die Höhe. Das kostet Vielfalt, und übrigbleiben wieder nur die mit fetterem dem Budget. Da kam einem schon die Lust vergehen.

DSGVO-konforme Alternative zu Google reCAPTCHA

Beitrag von Constantin von der Groeben
31.10.2020, 12:12 Uhr

Guten Tag!

Mir ist es ähnlich wie einigen meiner Mitkommentatoren ergangen.

Ich habe verzweifelt nach einer Alternative für reCAPTCHA gesucht.

Heute bin ich bei meinen Recherchen auf einer Webseite der Europäischen Union auf eine Alternative namens Friendly Captcha gestoßen (siehe Abschnitt „Ask a question“ unter https://www.eea.europa.eu/contact-us).

Der Service basiert nicht auf Cookies, sondern auf sog. Proof-of-Work und führt kein Tracking durch.

Daher scheint er aus meiner Sicht als einziger Service DSGVO-konform zu sein. Weitere Informationen dazu finden sich auf der Webseite unter www.friendlycaptcha.com

Ich hoffe, dass ich mit meiner Entdeckung einen produktiven Beitrag zum Thema leisten kann.

Alternative?

Beitrag von Peter
12.08.2020, 14:46 Uhr

Welche Alternative bleibt mir, ohne eine Sicherheitsprüfung gegen Spam-Anmeldung ist eben keine Registrierung möglich, so einfach ist das, entweder der Kunde akzeptiert das oder darf eben nicht auf den Button recaptcha klicken, der Button ist mit einer Datenschutzerklärug ausgestattet, somit hat der Kunde zu wissen was er da gerade tut. Oder eben Menschen die der Datenschutzerklärung nicht zustimmen auf einer Logout seite weiterleiten, wiedersehen, anders geht es nicht. Ich werde sicher nicht das Risiko von Massenspam akzeptieren, nur weil ein Heini denkt es wäre nicht DSGVO Konform! Das Captcha funktioniert übrigens hier auch nicht!

zurück ins Mittelalter?

Beitrag von Andreas
20.07.2020, 03:13 Uhr

Eine moderne Webseite zu betreiben ist eine Herausforderung. Der Zweck von vielen Webseiten ist Verkauf bzw. Leadgewinnung. Und das ist nichts unlauteres sondern einfach gängige Praxis und eine moderne Vorgehensweise.

Hinter einem solchen Formular verbirgt sich dann meist ein Dienst wie Mandrill oder MailGun, der transaktionale E-Mails whitelisted versendet. Der ZWECK der Webseite ist ein zuverlässiges Generieren von Leads bzw. Verkäufen oder auch Nutzer-Registrierungen.

Wir reden hier nicht von einer Komfortfunktion sondern von essentiellen Dingen. Insbesondere LandingPages, die mit Google Ads beworben werden, verfolgen einzig und allein diesen Zweck. Dort die Möglichkeit einzuräumen, ein ungeschütztes Formular zu öffnen, würde den Zweck verfehlen. Das Formular vollständig zu deaktivieren ist genau so sinnlos.

Mit einem eigenen Captcha, das mir jegliche Quoten kaputt macht und dann auch noch ständig geknackt wird, kann ich da als Agentur auch nicht arbeiten.

Wird Zeit, dass hier ein wenig konkrete Rechtsprechung folgt, denn die Ansicht von irgendwelchen Laien in Ämtern hat leider nichts mit der Realität der freien Wirtschaft zu tun.

Einwilligung auf jeden Fall erforderlich

Beitrag von Joe
30.06.2020, 13:55 Uhr

Laut der Funktionsbeschreibung und der Nutzungsbedingung von ReCAPTCHA sammelt Google über die Einbindung Daten über die Seitenverwendung und den Browser des Besuchers. Das fällt zwar nicht unter die Cookieregelung, aber unter die Datenschutzregelung. Den Benutzer dazu zu verpflichten einer Datenübermittlung an Google zuzustimmen, um die Dienste der Seite nutzen zu können halte ich für unzulässig. Vor allem bei bezahlten Diensten ist das auf jeden Fall zu prüfen! Man kann CAPTCHAs auch auf dem eigenen Server hosten oder erzeugen, das ist dann DSGVO-konform

Recaptcha

Beitrag von Markus Richter
10.05.2020, 16:31 Uhr

Mich würde interessieren, wie ich den Dienst blocken kann. Gibt es dazu Hilfen? Bei mir wird er automatisch vom Newsletteranbieter Sendinblue und auch CleverReach gesetzt, ohne dass ich darauf Einfluss nehmen könnte.

reCaptcha

Beitrag von Web
07.01.2020, 08:21 Uhr

Guten Tag. In der Vergangenheit und aktuell wurden und werden Cookies von reCaptcha V2 + V3 gesetzt. Dabei handelt es sich um keine essentiellen Session-Cookies und verbleiben nach dem Sitzungsende auch weiterhin auf dem Rechner. Ohne die Möglichkeit zur Einwilligung oder Ablehnung dieses Dienstes, ist reCaptcha von Google nicht DSGVO-konform und abmahnfähig.

Mausaufzeichnungen von Google reCAPTCHA v3

Beitrag von Maik Müller, CIPP/E
10.12.2019, 16:51 Uhr

Wenn wir auch die Version 3 von reCAPTCHA betrachten, bei der auch Mausbewegungen aufgezeichnet werden, sieht die Berliner Datenschutzbeauftragte auch eine Einwilligungspflicht, wenn keine Cookies gesetzt werden. Zitat: „Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.“ Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191114-PM-Analyse_Trackingtools.pdf

Sehe ich auch anders

Beitrag von SvSc
18.11.2019, 17:01 Uhr

Hallo. Wenn ich eine Cookie-lose Verarbeitung die allerdings über Dritt-Server läuft und dabei ggf. personenbezogene Daten (in ein Drittland) übermittelt, wie z. B. Google WebFonts, als nicht DSGVO-konform ansehe, würde ich doch der Logik folgend auch hier zu einem negativem Ergebnis kommen.

Sehe ich anders anders!

Beitrag von Hans-Gert
04.11.2019, 20:41 Uhr

Ich sehe die Problematik nicht nur in den Cookies, sondern alleine auch darin, dass die reCAPTCHA-Funktionen (Scripte, Bilder, etc.) von den Servern der Drittanbietern eingebunden werden. Somit werden bereits beim Laden der Website den Drittanbietern mindestens die IP-Adressen der Besucher mitgeteilt. Und für den Zeitraum der gleichbleibenden, öffentlichen IP ist somit ein seitenübergreifendes Nutzertracking möglich. Daher gehört auch diese Drittanbieter-Funktion meiner Einschätzung nach einer Einwilligunspflicht untergeordnet. Es gibt durchaus datenschutzfreundliche Lösungen, die lokal gehostet werden können. Wem diese zu unsicher sind, der muss aber auch nicht unbedingt auf die größte Datenkrake Google zurückgreifen.

Ich nutze Google nicht, filtere sämtliche Google-Dienste bereits in der Firewall heraus und ärgere mich wirklich häufig, wie oft man ohne Google nicht weiter kommt.

Sehe ich anders

Beitrag von Eugen
31.10.2019, 20:54 Uhr

Meiner Meinung nach gibt es durchaus Anwendungsfälle wo der Einsatz von reCaptcha als zwingend Notwendig angesehen werden kann, z.B. als Bot-Protection. Cloudflare und viele andere Anbieter setzen reCaptcha automatisch als „Challenge“-Lösung ein bei Auffälligem Traffic-Verhalten ein. Der Einsatz eigener Captcha Lösungen ist in solchen Fällen nicht praktikabel da sie a) durch KI-Einsatz leicht geknackt werden können und b) sie gar nicht integriert werden können. Cloudflare und andere CDN-Anbieter sind zudem notwendig um sich z.B. vor Ddos-Attacken zu schützen.

Wenn es um „einfacher“ Protecion wie in diesem Kommentarfeld geht sind eigene Captcha-Lösungen als Alternativen vielleicht sinnvoll, aber als Protection-Lösungen vor Scrappern, Fake-Usern, Click-Fraud und Ddos-Attacken gänzlich unbeauchbar.

Kommentar schreiben

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5