Frage des Tages: Einwilligungspflicht für den „reCAPTCHA“-Dienst von Google?

Derzeit werden wir vermehrt um Auskunft gebeten, ob der reCAPTCHA -Dienst von Google nach dem Cookie-Urteil des EuGH vom 01.10.2019 (Az. C-673/17) der Einwilligungspflicht unterfällt. Mit dem reCAPTCHA-Dienst lassen sich durch Abfrage bestimmter Zahlenfolgen oder Bildelemente missbräuchliche computergesteuerte Eingaben auf Webseiten verhindern. Der nachfolgende Beitrag der IT-Recht Kanzlei gibt Antwort auf die Frage nach der Einwilligungspflicht für Google reCAPTCHA.

Die elementare Funktion von Google reCAPTCHA besteht darin, Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend zu ermöglichen, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.

Hierfür werden Nutzer angehalten, bestimmte Zahlenfolgen wiederzugeben oder bestimmte Motive innerhalb verschiedener Graphikelementen zu identifizieren. Derartige Leistungen können Computer bei missbräuchlichen Aufrufen (noch) nicht erbringen.

Nachdem der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) eine grundsätzliche Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt hat, wird die Notwendigkeit einer Einwilligung auch für den Betrieb von Google reCaptcha diskutiert.

Nach Ansicht der IT-Recht Kanzlei sind Cookies, die von Google reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich und mithin einwilligungspflichtig. Insofern ist das Verhindern von Bot-Eingaben für den Seitenbetreiber zwar vorteilhaft, aber für den Betrieb der Website und die Bereitstellung ihrer Funktion im engeren Sinne nicht technisch notwendig, da hiervon die Funktionalität der Website nicht unmittelbar betroffen wird.

Festgestellt wurde von Seiten der IT-Recht Kanzlei allerdings, dass (wohl) versions- und seitenabhängig eine Cookie-Setzung durch Google reCAPTCHA teilweise erfolgt und teilweise entfällt.

Sofern der Einsatz von reCAPTCHA ohne die Setzung von Cookies möglich ist, ist der Einsatz des Dienstes ohne Einwilligung möglich.

Werden durch reCAPTCHA aber Cookies gesetzt, muss nach hier vertretener Ansicht der Einsatz des Dienstes von der cookie-bezogenen Nutzereinwilligung abhängig gemacht werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

27 Kommentare

Diskutieren Sie mit

Jens Münster 16.07.2024, 14:06 Uhr

Eine moderene Alternative

Das neue "Power Captcha" schützt nicht nur vor Bots, sondern auch vor menschlichen Hackern.
Man kann es sogar einstellen (z.Bsp. auch unsichtbar). Außerdem werden keine Cookies installiert und dort keine Daten gespeichert.
Wir haben es auf unserer Website mit Wordpress installiert, das hatte nur 2 Minuten gedauert.

David 10.03.2024, 19:29 Uhr

CaptchaFox als reCAPTCHA Alternative

Ich möchte auch noch https://captchafox.com/de als Alternative in den Raum werfen. FriendlyCaptcha war für uns im Test leider nicht zu gebrauchen und wir haben nach einer besseren Lösung gesucht. CaptchaFox ist ebenfalls aus Deutschland und schützt unsere Formulare ohne Probleme. Der Support war zusätzlich erstaunlich hilfreich und hat schnell geantwortet.

Toni 28.11.2023, 08:32 Uhr

hexxor@gmx.at

Eine weitere Alternative zu reCAPTCHA ist www.captcha.eu. Anders als bei reCAPTCHA oder Friendly Captcha gibt es selbst in den kleinsten Paketen ein garantiertes Hosting in Österreich.

Sven 17.11.2023, 18:24 Uhr

Spitzenpreise

9 € im Monat für eine Domain und 1000 Abfragen.
Viel zu günstig.
Ich weiß wirklich nicht wohin mit meinem ganzen Geld.

Anja Förster 09.08.2023, 12:09 Uhr

Friendly Captcha hat sich in unserem Unternehmen bewährt

Wir haben vor etwa zwei Jahren in unserer Unternehmensgruppe reCaptcha von Google durch Friendly Captcha ersetzt und können das Schutzsystem Friendly Captcha uneingeschränkt empfehlen. Es ist gut dokumentiert, wird regelmäßig aktualisiert und ist für den Enterprise-Einsatz geeignet.

Danny 17.07.2023, 10:07 Uhr

Friendly Captcha ist keine Alternative

Allein die Tatsache, dass Friendly Captcha für eine einzige Website im Jahr mehr kostet, als bei einer Abmahnung zu erwarten wäre, macht diese lösung unattraktiv. Zudem ist auch der Traffic eingeschränkt.
Ich benötige ein datenschutzfreundliches Captacha, dass lokal installierbar ist und wäre durchaus bereit hierfür je Domain / Website 10 EUR pro Jahr zu zahlen. Über Tipps wäre ich dankbar.

Terry Harker 06.06.2023, 09:51 Uhr

Kosten von Captchas

Es ist tatsächlich aufwändig, gute Software zu entwickeln, und dazu gehört auch Wartung, Weiterentwicklung und Support. Es ist also nicht mit einem einmaligen Aufwand getan.

Das Problem unserer Zeit ist genau das: wir sehen Software Services als etwas, was kostenlos zur Verfügung stehen sollte.
Wir haben uns diese Einstellung aufgebaut, indem wir Software nutzten, welche durch Werbung oder Datensammeln (und wirtschaftlich nutzen) finanziert wird. Wenn das Produkt nichts kostet, bist du das Produkt.

Eine kostenlose oder sehr günstige Version für kleine, nicht kommerzielle Seiten ist nett, aber keinesfalls etwas, was wir einfach erwarten können.

Was ich hier aber noch spannend finde: während ich so meinen Kommentar eingebe, sehe ich, dass auch hier ein ReCaptcha im Einsatz ist ;-)

Helmut januschka 18.04.2023, 16:36 Uhr

es gib noch mehr alternativen

mit www.captcha.eu gibt es eine dsgvo konforme alternative. die wordpress und nahezu alle grossen forms plugins out of the box unterstützt

Matthias Nordwig 13.02.2023, 12:01 Uhr

Weitere DSGVO-konforme Alternative für ReCaptcha

Für Wordpress-Seiten gibt es noch folgende DSGVO-konforme Alternative, die ebenfalls auf ein Proof-of-Work-Konzept setzt:

"GDPR-compliant ReCaptcha for all forms and logins"

Max Mustermann 22.09.2022, 12:34 Uhr

Shopbetreiber

Ein funktionierender Bot-Schutz ist natürlich technisch notwendig, um eine Seite zu betreiben. Der Grund ist ganz einfach : stellen seriöse Provider fest, dass der eigene Server zur Spam-Schleuder geworden ist, wird man vom Netz genommen. Diese Gefahrenabwehr ist damit eine technische Notwendigkeit, außer man möchte für sein Unternehmen möglichst schnell in die Insolvenz.

Vincent Rammelt 05.07.2021, 13:17 Uhr

Wozu Captcha, wenn auch einfache Honeypot-Felder helfen.

Die Honeypots sind so zuverlässig. Da braucht man das andere alles gar nicht.

Johnny 20.06.2021, 21:09 Uhr

Nicht nur die Cookies sind problematisch

Auf die Tatsache, dass bereits beim Laden des ReCAPTCHA Daten an Google in den USA übermittelt werden wird in dem Artikel leider nicht eingegangen.
Welche Daten Google dabei erfasst und wie diese verwendet werden, ist intransparent. Ferner stellt sich mir auch die Frage ob ein Dienst, z.B. Online-Banking auch Jahre nach initialem Vertragsschluss ReCAPTCHA nachrüsten und privatsphäre- und datenschutzsensiblen Mitgliedern und Kunden den Zugang damit faktisch sperren darf.
Vor allem wenn der Zugang die einzige Möglichkeit ist, die vertraglich vereinbarten Dienstleistungen wie Überweisungen und Kontoauszüge zu erhalten.

Ghenadii Batalski 11.02.2021, 08:45 Uhr

Friendly Captcha mag zwar kostenpflichtig sein aber...

die Softwareentwicklung kostet enorm Geld. Entweder wird sie durch den "Datenklau" oder durch die zahlenden Kunden finanziert. Man muss sich da entscheiden...

Max 13.01.2021, 13:09 Uhr

reCaptcha V3

Hallo,

ich benutze das Divi theme, dort ist das recaptcha V3 von google integriert hat Divi gesagt.... Jetzt frage ich mich ob immer Cookie gesetzt werden und an Google gesendet. Wie kann ich es herausfinden und muss ich im cookiebanner den hinweis auf recaptcha machen und mir eine Einwilligung holen?
Danke für die Info. Gruß Max

Ivonne Seidel 04.01.2021, 14:46 Uhr

Re: Friendly Captcha nicht kostenlos - Alternative

Ich nutze den CAPTCHA Service von WEBAPPZ (https://www.webappz.de/captcha).

Das ist ganz einfach einzubinden und für nicht kommerzielle Webseiten komplett kostenlos :-)

Marcus 11.11.2020, 08:34 Uhr

Friendly Captcha

@Constantin: Danke für den Tipp mit Friendly Captcha! Find’s super und hab’s in meine Website eingebaut. Die Integration ist technisch ein bisschen tricky, wär schön, wenn’s da in Zukunft ein paar Verbesserungen gibt. Der Schutz funktioniert dann wieder gut, hab bisher kein Spam mehr bekommen.
@Jens: Ich versteh deinen Kommentar nicht. Wie kommst du darauf, dass es für kleine Websites was kostet? Auf der Seite ist doch klar beschrieben, dass es für kleine Websites kostenlos ist. Und der Code ist für jeden Open Source. Oder irr ich mich da?

Jens 02.11.2020, 12:56 Uhr

Friendly Captcha nicht kostenlos

Eine Empfehlung für Friendly Captcha aus den Kommentaren ist ja die reine Werbung!
Friendly Captcha ist nicht kostenlos!
Und treibt die Kosten für kleine Websites weiter in die Höhe.
Das kostet Vielfalt, und übrigbleiben wieder nur die mit fetterem dem Budget.
Da kam einem schon die Lust vergehen.

Constantin von der Groeben 31.10.2020, 12:12 Uhr

DSGVO-konforme Alternative zu Google reCAPTCHA

Guten Tag!

Mir ist es ähnlich wie einigen meiner Mitkommentatoren ergangen.

Ich habe verzweifelt nach einer Alternative für reCAPTCHA gesucht.

Heute bin ich bei meinen Recherchen auf einer Webseite der Europäischen Union auf eine Alternative namens Friendly Captcha gestoßen (siehe Abschnitt „Ask a question“ unter https://www.eea.europa.eu/contact-us).

Der Service basiert nicht auf Cookies, sondern auf sog. Proof-of-Work und führt kein Tracking durch.

Daher scheint er aus meiner Sicht als einziger Service DSGVO-konform zu sein. Weitere Informationen dazu finden sich auf der Webseite unter www.friendlycaptcha.com

Ich hoffe, dass ich mit meiner Entdeckung einen produktiven Beitrag zum Thema leisten kann.

Peter 12.08.2020, 14:46 Uhr

Alternative?

Welche Alternative bleibt mir, ohne eine Sicherheitsprüfung gegen Spam-Anmeldung ist eben keine Registrierung möglich, so einfach ist das, entweder der Kunde akzeptiert das oder darf eben nicht auf den Button recaptcha klicken, der Button ist mit einer Datenschutzerklärug ausgestattet, somit hat der Kunde zu wissen was er da gerade tut. Oder eben Menschen die der Datenschutzerklärung nicht zustimmen auf einer Logout seite weiterleiten, wiedersehen, anders geht es nicht. Ich werde sicher nicht das Risiko von Massenspam akzeptieren, nur weil ein Heini denkt es wäre nicht DSGVO Konform! Das Captcha funktioniert übrigens hier auch nicht!

Andreas 20.07.2020, 03:13 Uhr

zurück ins Mittelalter?

Eine moderne Webseite zu betreiben ist eine Herausforderung. Der Zweck von vielen Webseiten ist Verkauf bzw. Leadgewinnung. Und das ist nichts unlauteres sondern einfach gängige Praxis und eine moderne Vorgehensweise.

Hinter einem solchen Formular verbirgt sich dann meist ein Dienst wie Mandrill oder MailGun, der transaktionale E-Mails whitelisted versendet. Der ZWECK der Webseite ist ein zuverlässiges Generieren von Leads bzw. Verkäufen oder auch Nutzer-Registrierungen.

Wir reden hier nicht von einer Komfortfunktion sondern von essentiellen Dingen. Insbesondere LandingPages, die mit Google Ads beworben werden, verfolgen einzig und allein diesen Zweck. Dort die Möglichkeit einzuräumen, ein ungeschütztes Formular zu öffnen, würde den Zweck verfehlen. Das Formular vollständig zu deaktivieren ist genau so sinnlos.

Mit einem eigenen Captcha, das mir jegliche Quoten kaputt macht und dann auch noch ständig geknackt wird, kann ich da als Agentur auch nicht arbeiten.

Wird Zeit, dass hier ein wenig konkrete Rechtsprechung folgt, denn die Ansicht von irgendwelchen Laien in Ämtern hat leider nichts mit der Realität der freien Wirtschaft zu tun.

Joe 30.06.2020, 13:55 Uhr

Einwilligung auf jeden Fall erforderlich

Laut der Funktionsbeschreibung und der Nutzungsbedingung von ReCAPTCHA sammelt Google über die Einbindung Daten über die Seitenverwendung und den Browser des Besuchers. Das fällt zwar nicht unter die Cookieregelung, aber unter die Datenschutzregelung. Den Benutzer dazu zu verpflichten einer Datenübermittlung an Google zuzustimmen, um die Dienste der Seite nutzen zu können halte ich für unzulässig. Vor allem bei bezahlten Diensten ist das auf jeden Fall zu prüfen!
Man kann CAPTCHAs auch auf dem eigenen Server hosten oder erzeugen, das ist dann DSGVO-konform

Markus Richter 10.05.2020, 16:31 Uhr

Recaptcha

Mich würde interessieren, wie ich den Dienst blocken kann. Gibt es dazu Hilfen? Bei mir wird er automatisch vom Newsletteranbieter Sendinblue und auch CleverReach gesetzt, ohne dass ich darauf Einfluss nehmen könnte.

Web 07.01.2020, 08:21 Uhr

reCaptcha

Guten Tag. In der Vergangenheit und aktuell wurden und werden Cookies von reCaptcha V2 + V3 gesetzt. Dabei handelt es sich um keine essentiellen Session-Cookies und verbleiben nach dem Sitzungsende auch weiterhin auf dem Rechner. Ohne die Möglichkeit zur Einwilligung oder Ablehnung dieses Dienstes, ist reCaptcha von Google nicht DSGVO-konform und abmahnfähig.

Maik Müller, CIPP/E 10.12.2019, 16:51 Uhr

Mausaufzeichnungen von Google reCAPTCHA v3

Wenn wir auch die Version 3 von reCAPTCHA betrachten, bei der auch Mausbewegungen aufgezeichnet werden, sieht die Berliner Datenschutzbeauftragte auch eine Einwilligungspflicht, wenn keine Cookies gesetzt werden.

Zitat: „Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.“

Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191114-PM-Analyse_Trackingtools.pdf

SvSc 18.11.2019, 17:01 Uhr

Sehe ich auch anders

Hallo. Wenn ich eine Cookie-lose Verarbeitung die allerdings über Dritt-Server läuft und dabei ggf. personenbezogene Daten (in ein Drittland) übermittelt, wie z. B. Google WebFonts, als nicht DSGVO-konform ansehe, würde ich doch der Logik folgend auch hier zu einem negativem Ergebnis kommen.

Hans-Gert 04.11.2019, 20:41 Uhr

Sehe ich anders anders!

Ich sehe die Problematik nicht nur in den Cookies, sondern alleine auch darin, dass die reCAPTCHA-Funktionen (Scripte, Bilder, etc.) von den Servern der Drittanbietern eingebunden werden. Somit werden bereits beim Laden der Website den Drittanbietern mindestens die IP-Adressen der Besucher mitgeteilt. Und für den Zeitraum der gleichbleibenden, öffentlichen IP ist somit ein seitenübergreifendes Nutzertracking möglich. Daher gehört auch diese Drittanbieter-Funktion meiner Einschätzung nach einer Einwilligunspflicht untergeordnet. Es gibt durchaus datenschutzfreundliche Lösungen, die lokal gehostet werden können. Wem diese zu unsicher sind, der muss aber auch nicht unbedingt auf die größte Datenkrake Google zurückgreifen.

Ich nutze Google nicht, filtere sämtliche Google-Dienste bereits in der Firewall heraus und ärgere mich wirklich häufig, wie oft man ohne Google nicht weiter kommt.

Eugen 31.10.2019, 20:54 Uhr

Sehe ich anders

Meiner Meinung nach gibt es durchaus Anwendungsfälle wo der Einsatz von reCaptcha als zwingend Notwendig angesehen werden kann, z.B. als Bot-Protection. Cloudflare und viele andere Anbieter setzen reCaptcha automatisch als „Challenge“-Lösung ein bei Auffälligem Traffic-Verhalten ein. Der Einsatz eigener Captcha Lösungen ist in solchen Fällen nicht praktikabel da sie a) durch KI-Einsatz leicht geknackt werden können und b) sie gar nicht integriert werden können. Cloudflare und andere CDN-Anbieter sind zudem notwendig um sich z.B. vor Ddos-Attacken zu schützen.

Wenn es um „einfacher“ Protecion wie in diesem Kommentarfeld geht sind eigene Captcha-Lösungen als Alternativen vielleicht sinnvoll, aber als Protection-Lösungen vor Scrappern, Fake-Usern, Click-Fraud und Ddos-Attacken gänzlich unbeauchbar.