Datenschutz-Alarm: Google reCAPTCHA und die neue Entscheidung aus Österreich
Webseitenbetreiber stehen erneut im Fokus der Datenschutzbehörden. Das österreichische Bundesverwaltungsgericht hat in einer aktuellen Entscheidung klargestellt, dass der Einsatz von Google reCAPTCHA ohne ausdrückliche Einwilligung der Nutzer gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Diese Rechtsprechung zeigt, wie wichtig es ist, den Einsatz von Drittanbieter-Tools kritisch zu überprüfen.
Was ist passiert?
In dem vorliegenden Fall wurde festgestellt, dass eine Website Google reCAPTCHA verwendete, um Bots von Menschen zu unterscheiden. Das Tool setzt dabei ein Cookie (_GRECAPTCHA), das eindeutige Nutzerkennungen enthält. Diese Kennungen, zusammen mit IP-Adressen und anderen gerätebezogenen Daten, gelten laut DSGVO als personenbezogene Daten. Entscheidend ist, dass der Nutzer keinerlei aktive Einwilligung zur Nutzung dieses Tools gegeben hatte.
Das Gericht stellte fest, dass:
- reCAPTCHA nicht als „technisch notwendiges“ Cookie eingestuft werden kann.
- Die Einwilligung der Nutzer für diese Art der Datenverarbeitung zwingend erforderlich ist.
- Die Verarbeitung nicht auf berechtigte Interessen gestützt werden kann, da keine ausreichenden Informationen bereitgestellt wurden und den Nutzern keine echte Wahlmöglichkeit gegeben wurde.
Konsequenzen für Webseitenbetreiber
Die Entscheidung unterstreicht, dass Webseitenbetreiber die volle Verantwortung für die Datenverarbeitung auf ihren Seiten tragen. Die Haftung lässt sich nicht an externe Dienstleister abgeben, selbst wenn diese die technische Umsetzung übernehmen. Wer reCAPTCHA oder ähnliche Dienste einsetzt, muss sicherstellen, dass:
- Nutzer aktiv und eindeutig einwilligen: Die Einwilligung muss freiwillig, informiert und spezifisch sein. Vor der Aktivierung von Cookies oder Tools wie reCAPTCHA darf keine Datenübertragung erfolgen.
- Datenschutzinformationen vollständig und transparent sind: Nutzer müssen darüber informiert werden, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Grundlage.
- Alternativen prüfen: Es gibt alternative Technologien, die weniger invasive Methoden zur Bot-Erkennung bieten und den Datenschutz besser respektieren.
Herausforderungen in der Praxis
Google reCAPTCHA dient vor allem dazu, missbräuchliche Anfragen und Angriffe auf Webseiten zu verhindern. Diese Sicherheitsfunktionen werden jedoch durch die DSGVO-Anforderungen erheblich erschwert, da die Einwilligung für reCAPTCHA häufig nicht als freiwillig gelten kann – schließlich müssen Nutzer oft einwilligen, um die Webseite überhaupt nutzen zu können.
Handlungsempfehlungen
- Regelmäßige Überprüfung der Datenschutzkonformität: Websites sollten regelmäßig auf die Einhaltung der DSGVO und anderer Datenschutzvorschriften überprüft werden.
- Alternative Lösungen erwägen: Es gibt Tools und Techniken, die ohne Cookies oder ähnliche invasive Methoden arbeiten.
- Einwilligungsmanagement optimieren: Sorgen Sie dafür, dass Nutzer leicht verständliche und nachvollziehbare Optionen haben, ihre Einwilligung zu geben oder abzulehnen.
- Mitarbeiter sensibilisieren: Datenschutz ist ein kontinuierlicher Prozess. Halten Sie sich und Ihr Team über aktuelle Entwicklungen und Entscheidungen auf dem Laufenden.
Fazit
Die Entscheidung des österreichischen Bundesverwaltungsgerichts sollte als Warnschuss für Webseitenbetreiber verstanden werden. Es reicht nicht aus, sich auf die Sicherheitsvorteile von Tools wie reCAPTCHA zu verlassen, ohne deren Datenschutzkonformität sicherzustellen. Eine professionelle Beratung kann helfen, Risiken zu minimieren und die Website rechtskonform zu gestalten. Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen als Datenschutzexperten gerne zur Verfügung.
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks