Zurück zur Übersicht
13.12.2024

reCAPTCHA ohne Einwilligung

Datenschutz-Alarm: Google reCAPTCHA und die neue Entscheidung aus Österreich

Webseitenbetreiber stehen erneut im Fokus der Datenschutzbehörden. Das österreichische Bundesverwaltungsgericht hat in einer aktuellen Entscheidung klargestellt, dass der Einsatz von Google reCAPTCHA ohne ausdrückliche Einwilligung der Nutzer gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Diese Rechtsprechung zeigt, wie wichtig es ist, den Einsatz von Drittanbieter-Tools kritisch zu überprüfen.

Was ist passiert?

In dem vorliegenden Fall wurde festgestellt, dass eine Website Google reCAPTCHA verwendete, um Bots von Menschen zu unterscheiden. Das Tool setzt dabei ein Cookie (_GRECAPTCHA), das eindeutige Nutzerkennungen enthält. Diese Kennungen, zusammen mit IP-Adressen und anderen gerätebezogenen Daten, gelten laut DSGVO als personenbezogene Daten. Entscheidend ist, dass der Nutzer keinerlei aktive Einwilligung zur Nutzung dieses Tools gegeben hatte.

Das Gericht stellte fest, dass:

  • reCAPTCHA nicht als „technisch notwendiges“ Cookie eingestuft werden kann.
  • Die Einwilligung der Nutzer für diese Art der Datenverarbeitung zwingend erforderlich ist.
  • Die Verarbeitung nicht auf berechtigte Interessen gestützt werden kann, da keine ausreichenden Informationen bereitgestellt wurden und den Nutzern keine echte Wahlmöglichkeit gegeben wurde.

Konsequenzen für Webseitenbetreiber

Die Entscheidung unterstreicht, dass Webseitenbetreiber die volle Verantwortung für die Datenverarbeitung auf ihren Seiten tragen. Die Haftung lässt sich nicht an externe Dienstleister abgeben, selbst wenn diese die technische Umsetzung übernehmen. Wer reCAPTCHA oder ähnliche Dienste einsetzt, muss sicherstellen, dass:

  1. Nutzer aktiv und eindeutig einwilligen: Die Einwilligung muss freiwillig, informiert und spezifisch sein. Vor der Aktivierung von Cookies oder Tools wie reCAPTCHA darf keine Datenübertragung erfolgen.
  2. Datenschutzinformationen vollständig und transparent sind: Nutzer müssen darüber informiert werden, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Grundlage.
  3. Alternativen prüfen: Es gibt alternative Technologien, die weniger invasive Methoden zur Bot-Erkennung bieten und den Datenschutz besser respektieren.

Herausforderungen in der Praxis

Google reCAPTCHA dient vor allem dazu, missbräuchliche Anfragen und Angriffe auf Webseiten zu verhindern. Diese Sicherheitsfunktionen werden jedoch durch die DSGVO-Anforderungen erheblich erschwert, da die Einwilligung für reCAPTCHA häufig nicht als freiwillig gelten kann – schließlich müssen Nutzer oft einwilligen, um die Webseite überhaupt nutzen zu können.

Handlungsempfehlungen

  1. Regelmäßige Überprüfung der Datenschutzkonformität: Websites sollten regelmäßig auf die Einhaltung der DSGVO und anderer Datenschutzvorschriften überprüft werden.
  2. Alternative Lösungen erwägen: Es gibt Tools und Techniken, die ohne Cookies oder ähnliche invasive Methoden arbeiten.
  3. Einwilligungsmanagement optimieren: Sorgen Sie dafür, dass Nutzer leicht verständliche und nachvollziehbare Optionen haben, ihre Einwilligung zu geben oder abzulehnen.
  4. Mitarbeiter sensibilisieren: Datenschutz ist ein kontinuierlicher Prozess. Halten Sie sich und Ihr Team über aktuelle Entwicklungen und Entscheidungen auf dem Laufenden.

Fazit

Die Entscheidung des österreichischen Bundesverwaltungsgerichts sollte als Warnschuss für Webseitenbetreiber verstanden werden. Es reicht nicht aus, sich auf die Sicherheitsvorteile von Tools wie reCAPTCHA zu verlassen, ohne deren Datenschutzkonformität sicherzustellen. Eine professionelle Beratung kann helfen, Risiken zu minimieren und die Website rechtskonform zu gestalten. Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen als Datenschutzexperten gerne zur Verfügung.

Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks