Datum der letzten Aktualisierung: 9. Januar 2025

In diesem Beitrag erklären wir, was bei der Einbindung von Google reCAPTCHA in eine Internetseite datenschutzrechtlich zu beachten ist.

Inhaltsverzeichnis

1. Was ist Google reCAPTCHA?
2. Wer ist der Betreiber des Google reCAPTCHA?
3. Welche Daten verarbeitet der Google reCAPTCHA?
4. Rechtsgrundlage
5. Ist es erlaubt, Google reCAPTCHA in die Internetseite einzubinden?
6. Direkt zur Datenschutzerklärung für Google reCAPTCHA

Datenschutzerklärung für Google reCAPTCHA u.v.m.

  1. Scannen Sie auf www.avalex.de Ihre Internetseite.
  2. Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: ca. 10 Minuten).
  3. Installieren Sie mit wenigen Klicks das passende avalex Plugin oder lassen Sie avalex Ihre Rechtstexte hosten. Fertig. Ihre Rechtstexte bleiben ab sofort automatisch aktuell.

Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein Sicherheitsservice von Google, der dazu dient, menschliche Nutzer von Bots zu unterscheiden und so automatisierte Software von der Durchführung unerwünschter Aktionen auf Websites zu hindern. Das Akronym „CAPTCHA“ steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“, also ein vollautomatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen.

Es gibt verschiedene Versionen von Google reCAPTCHA:

  • reCAPTCHA v1: Diese erste Version fragte Benutzer, verzerrte oder überlappende Buchstaben und Zahlen zu identifizieren und einzugeben, die in einem Bild dargestellt wurden. Dies war oft mühsam für Nutzer und wurde aufgrund der Entwicklung besserer Texterkennungssoftware durch Bots weniger effektiv.
  • reCAPTCHA v2: Diese Version ist bekannt für das „Ich bin kein Roboter“-Kästchen (Checkbox). Benutzer klicken einfach auf das Kästchen, und reCAPTCHA verwendet eine Vielzahl von Techniken, um festzustellen, ob der Benutzer wahrscheinlich ein Mensch ist. In Fällen, wo das System unsicher ist, kann es zusätzliche Herausforderungen stellen, wie das Erkennen spezifischer Bilder aus einer Auswahl.
  • reCAPTCHA v3: Die neueste Version, reCAPTCHA v3, läuft im Hintergrund einer Website und bewertet das Verhalten der Benutzer kontinuierlich, um festzustellen, ob sie wahrscheinlich menschlich sind. Es gibt keinen Unterbrechungspunkt für den Benutzer, da keine Rätsel gelöst werden müssen. Stattdessen generiert reCAPTCHA v3 eine Punktzahl, die angibt, wie wahrscheinlich es ist, dass der Benutzer ein Mensch ist. Webmaster können dann basierend auf dieser Punktzahl eigene Regeln festlegen, um festzustellen, wie mit dem Verkehr umgegangen wird.

Google reCAPTCHA wird häufig auf Login-Seiten, Kontaktformularen oder überall dort eingesetzt, wo ein Schutz vor automatisiertem Missbrauch wichtig ist. Durch die Integration von reCAPTCHA können Website-Betreiber sicherstellen, dass nur menschliche Nutzer auf bestimmte Funktionen zugreifen oder Formulare einreichen können, was dazu beiträgt, die Sicherheit und Integrität ihrer Websites zu erhöhen.

Wer ist der Betreiber der Google Fonts?

Im Fall von Google ist nicht eindeutig, wer im datenschutzrechtlichen Sinne als Betreiber anzusehen ist. Der Dienst wird betrieben von:

Google LLC
1600 Amphitheatre Parkway
Mountain View, California 94043
USA

speziell in Bezug auf Europa aber (auch) von der

Google Ireland Limited
Gordon House, Barrow Street
Dublin 4
Irland

Welche Daten verarbeitet Google reCAPTCHA?

Wenn Sie Google reCAPTCHA in Ihre Internetseite einbinden, werden personenbezogene Daten Ihrer Websitebesucher automatisiert verarbeitet und an Google weitergegeben. Welche Daten genau verarbeitet werden, ist unbekannt. Als gesichert gilt aber, dass unter anderem die folgenden Daten verarbeitet werden:

  • Website, die den Dienst einsetzt
  • IP-Adresse des Besuchers
  • Datum und Zeitzone
  • Referrer URL
  • Betriebssystem des Besuchers
  • Cookies
  • Installierte Browser Plugins
  • Mausbewegungen und Tastaturanschläge
  • Auflösung (Bildschirm, Browserfenster)
  • Verweildauer des Besuchers auf der Website
  • Spracheinstellungen, Standort, Browser

Rechtsgrundlage

Um personenbezogene Daten verarbeiten zu dürfen, benötigt man als Websitebetreiber eine Erlaubnisgrundlage im Sinne von Artikel 6 DSGVO. Speichert man dabei Cookies im Browser der Besucher ab oder liest diese aus, ist das seit Geltung des TTDSG (neu: TDDDG) ohnehin nur noch mit Einwilligung des Besuchers zulässig (§ 25 Abs. 1 Satz 1 TDDDG).

Die Einbindung von Google reCAPTCHA auf der eigenen Internetseite kann nach unserer Einschätzung nicht über ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Sie benötigen von jedem Besucher der Website eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Diese Einwilligung muss eingeholt werden, bevor der der Dienst auf der Internetseite ausgeführt wird. Das geschieht am sinnvollsten mithilfe eine Consent Banners (auch „Cookie Banner“ genannt).

Spar-Tipp: In Kooperation mit consentmanager.de erhalten unsere Kunden zu jeder Bestellung ein Consent Banner mit monatlich bis zu 40.000 Websiteaufrufen dazu, das sie während der Vertragslaufzeit mit avalex kostenlos nutzen dürfen. Hier geht es zur vollständigen Leistungsübersicht unserer Pakete.

Ist es erlaubt, Google reCAPTCHA in die Internetseite einzubinden?

Es ist nicht abschließend geklärt, ob man den Dienst DSGVO-konform in eine Internetseite einbinden kann.

  • Es gibt verschiedene Weisen, den Dienst auf der Website einzusetzen. Nach unserer Einschätzung muss in vielen Fällen ein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden. Leider ist nicht bekannt, ob der Anbieter einen AV-Vertrag zur Verfügung stellt. Dies führt zu einem rechtlichen Risiko.
  • Problematisch ist, dass nicht öffentlich bekannt ist, welche personenbezogenen Daten der Dienst genau verarbeitet. Voraussetzung für eine DSGVO-konforme Einwilligung ist aber, dass diese in informierter Weise erfolgt, was nur der Fall ist, wenn der Websitebesucher weiß, welche personenbezogenen Daten verarbeitet werden.
  • Der Sitz des Anbieters befindet sich in den USA. Um personenbezogenen Daten aus der EU in ein Drittland senden zu dürfen, muss dort ein angemessenes Datenschutzniveau gewährleistet sein. Die EU-Kommission hat einen Angemessenheitsbeschluss gefasst, der die USA als ein sicheres Drittland einstuft (EU-U.S. Data Privacy Framework), ohne dass weitere angemessene Garantien wie z.B. Standardvertragsklauseln oder zusätzliche Maßnahmen erforderlich sind. Der Anbieter ist nach dem Data Privacy Framework zertifiziert.
  • Holen Sie von jedem Websitebesucher vor Aktivierung des Dienstes eine Einwilligung ein. Der Besucher muss frei entscheiden können. Erteilt er keine Einwilligung, darf der Dienst auf Ihrer Website nicht aktiviert werden. Erlauben Sie Besuchern, ihre Einwilligung nachträglich zu widerrufen mit der Folge, dass der Dienst nicht weiter ausgeführt wird.
  • Belehren Sie in der Datenschutzerklärung Ihrer Internetseite in einfacher und klar verständlicher Weise über die Nutzung des Dienstes. Dazu gehört:
    • in welchem Umfang personenbezogene Daten automatisiert verarbeitet werden,
    • auf welche Rechtsgrundlage Sie sich für die Verarbeitung personenbezogener Daten stützen (Katalog des Art. 6 Abs. 1 DSGVO),
    • zu welchem Zweck sie den Dienst einsetzen,
    • die Dauer der Speicherung von personenbezogenen Daten,
    • wie Websitebesucher einer Verarbeitung ihrer personenbezogenen Daten widersprechen können,
    • ggf.: Information über den Abschluss eines AV-Vertrags.

Direkt zur Datenschutzerklärung für Google reCAPTCHA

Sichern Sie Ihre Internetseite jetzt mit einer automatisch aktuell bleibenden Datenschutzerklärung für diesen und viele weitere Webdienste ab.

So funktioniert es:

  1. Scannen Sie Ihre Internetseite auf www.avalex.de.
  2. Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: 5-10 Minuten).
  3. Installieren Sie mit wenigen Klicks das passende avalex Plugin. Fertig.