BVerwG Österreich: Cookie-Einwilligung für Google reCAPTCHA

BVerwG Österreich: Cookie-Einwilligung für Google reCAPTCHA
Stand: 22.01.2025 3 min

Setzt ein Dienst technisch nicht notwendige Cookies, ist für ihn eine Cookie-Einwilligung erforderlich. Dies gilt auch für Cookies des Bot-Blockers „Google ReCaptcha“, wie nun in Österreich entschieden wurde.

Der Sachverhalt

Um eine Mitgliedschaft zu beantragen, besuchte ein Nutzer die Webseite einer politischen Partei in Österreich. Dabei wurden auf seinem Endgerät Cookies gespeichert, unter anderem von Google reCAPTCHA. Der Nutzer wurde weder darüber informiert noch zuvor um Einwilligung gebeten.

Daraufhin beschwerte sich der Betroffene bei der zuständigen Datenschutzbehörde.

Er brachte vor, dass Google reCAPTCHA mittels Cookies im Hintergrund Daten wie zum Beispiel IP-Adressen und Browserinformationen des Nutzers an Google-Server übermittle.

Die österreichische Behörde, die sich dem Vorwurf anschloss, beanstandete den Datenschutzverstoß. Hiergegen wehrte sich der Webseitenbetreiber per Beschwerde und zog in Österreich vor Gericht.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

Die Entscheidung

Das angerufene BVerwG Österreich wies die Beschwerde des Seitenbetreibers mit Urteil vom 13.09.2024 (Az: W298 2274626-1/8E) ab und folgte der Ansicht der Datenschutzbehörde.

1. Google reCAPTCHA und Cookies

ReCAPTCHA ist ein Security-Tool von Google, der Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend ermöglicht, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.

Hierfür werden Nutzer angehalten, bestimmte Zahlenfolgen wiederzugeben oder bestimmte Motive innerhalb verschiedener Graphikelementen zu identifizieren. Derartige Leistungen können Computer bei missbräuchlichen Aufrufen (noch) nicht erbringen.

Versions- und seitenabhängig kann bei Einsatz von reCAPTCHA das Cookie „_GRECAPTCHA“ gesetzt werden, muss aber nicht zwangsweise zum Einsatz kommen.

Das Cookie soll laut Google der Analyse von Besucherzugriffsrisiken dienen, geht aber mit einer Übertragung gewisser, über das Cookie erhobener Informationen (so etwa der IP-Adresse des Seitenbesuchers) an Google einher.

2. Ergebnis im konkreten Fall

Das Bundesverwaltungsgericht Österreich entschied, dass das verwendete Tool „Google reCAPTCHA“ und folglich auch dessen Cookie für den Webseitenbetrieb technisch nicht notwendig sei.

Zwar sei das Tool nützlich, um Bot-Eingaben, Spam und Cyberangriffe abzuwehren. Für die Bereitstellung der Website als solche und die Gewährleistung der wesentlichen Seitenfunktionen sei es aber nicht zwingend erforderlich.

Der Einsatz des Cookies von reCAPTCHA hätte deswegen von einer vorherigen ausdrücklichen Einwilligung des Seitenbesuchers abhängig gemacht werden müssen.

Da diese Einwilligung nicht eingeholt worden sei und das Cookie bei Seitenaufruf ohne eine Mitwirkung des Besuchers gesetzt worden sei, liege ein Datenschutzverstoß vor.

Das österreichische Bundesverwaltungsgericht, dessen Entscheidung auf Basis der EU-Cookie-Richtlinie auch für Deutschland Relevanz hat, bestätigt unsere Auffassung zur Cookie-Einwilligungspflicht für reCAPTCHA vor dem Hintergrund der nicht zwingenden technischen Erforderlichkeit.

Die im Rahmen unserer Schutzpakete für Websites und Online-Shops bereitgestellten Datenschutzerklärungen enthalten eine differenzierte und rechtssichere Klauseloption für „Google reCAPTCHA“.

Fazit

Seitenbetreiber, die Google reCAPTCHA unter Einsatz von reCAPTCHA-Cookies nutzen, müssen das Tool in ein Cookie-Consent-Tool integrieren und von einer vorherigen Einwilligung abhängig machen

Mandanten profitieren von 15% Rabatt auf die datenschutzfreundliche, vollständig cookie-lose Captcha-Lösung von „Friendly Captcha“, bei der sich das Problem einer notwendigen Cookie-Einwilligung nicht stellt. Details finden sich hier.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: lilgrapher / Shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

reCAPTCHA: Rechtliche Anforderungen + DSGVO-freundliche Alternative
(20.12.2024, 11:17 Uhr)
reCAPTCHA: Rechtliche Anforderungen + DSGVO-freundliche Alternative
Cookie-Tool muss Ablehn-Button auf erster Ebene enthalten
(13.12.2024, 09:39 Uhr)
Cookie-Tool muss Ablehn-Button auf erster Ebene enthalten
Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(15.10.2024, 00:59 Uhr)
Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(02.08.2024, 17:37 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(07.02.2024, 11:20 Uhr)
Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird eingestellt - Wechsel zu Google Analytics 4
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird eingestellt - Wechsel zu Google Analytics 4
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei