Im letzten Newsletter ging es um die Google Dienste Google-Maps, Google Analytics und Google Fonts. Aufmerksamen Lesern wird nicht entgangen sein, dass der Einsatz dieser Dienste aus datenschutzrechtlicher Sicht nicht ganz unkritisch ist.
Heute geht es um Google’s reCaptcha. Sagt Ihnen nichts und kennen Sie auch nicht? Und doch bin ich absolut sicher, dass Sie (früher) schon sehr, sehr häufig über die Eingabe kryptischer Zahlen, Ziffern, Bilder geflucht haben. Heute läuft der Dienst meistens unsichtbar im Hintergrund ab und prüft die Legitimität und Plausibilität von Formulareingaben.
Mensch oder Maschine?
Viele Webseiten bieten besondere Dienste an. Da gibt es z. B. ein Kontaktformular, über das eine Supportabteilung 24/7 erreichbar ist, Kunden können ggf. eigene Konten anlegen, indem sie sich registrieren, Beiträge können kommentiert werden und und und. Was auf der einen Seite die Kommunikation verbessern und Kundennähe schaffen soll, ist aber auch ein beliebtes Einfallstor für finstere Internetgestalten, die nichts Gutes im Sinn haben. Da ist Spam noch die harmloseste Option – die Angriffe reichen von Fake-Usern, über Click-Fraud bis hin zu DDOS-Attacken. Viele solcher Angriffe laufen dabei maschinengesteuert. Sie werden durch sog. „Bots“ (abgeleitet von „Roboter) automatisiert durchgeführt.
Darum ist es wichtig, als Websitebetreiber Tools einzubauen, die relativ sicher unterscheiden können, ob ein Zugriff von einem echten Menschen oder durch eine Maschine erfolgt. Denn Interaktionen durch sog. Bots wie z. B. Registrierungen, die Teilnahme an Umfragen, das Ausfüllen der Kommentarfunktion und weiteren Mißbrauch der eigenen Website will man ja nicht haben.
Seit langem hat sich zur Unterscheidung die sog. Captcha-Technik durchgesetzt. Captcha ist eine Abkürzung für „completeley automated public Turing test to tell computers and humans appart“ – heißt: ein Test, der Menschen von Maschinen unterscheiden soll.
Bei Captchas hat man sich lange auf die Unfähigkeit von Robotern verlassen, verzerrten Text zu entziffern, weil diese dafür zunächst einen Alogrithmus zur Mustererkennung gebraucht hätten. Mittlerweile haben die Bots solche „Hürden“ aber überwunden, darum werden die Unterscheidungsmethoden immer raffinierter.
Anbieter solcher Captcha-Dienste gibt es viele. Der größte Anbieter ist – wen wundert’s Google. Und um diesen Dienst geht es im Folgenden.
Bereits 2009 kam der Informatiker Louis von Ahn auf die Idee, dass man Nutzereingaben, die beim Lösen von Captchas erforderlich sind, sinnvoll nutzen könnte. So entstand der Dienst „reCaptcha“. Dieser half beim Digitalisieren von Büchern und Zeitschriften, indem Nutzer Buchstaben erkennen mußten, die ein Scanprogramm nicht erkennen konnte. Google kaufte das Unternehmen und nutzt den Dienst seither auch zur Digitalisierung von Hausnummern und Straßennamen aus Google Street View.
Merke: Mit dem Lösen der reCaptchas wirken wir alle einmal mehr unwissentlich und kostenlos an der Verbesserung der Goolge-Dienste mit.
NoCaptcha / Invisible reCaptcha – unsichtbarer Strippenzieher ím Hintergrund
Das ursprüngliche Programm Captcha wies einige Probleme auf. Viele Menschen fühlen sich genervt von dieser Zugangssperre – inbesondere sehbehinderte Menschen hatten echte Anforderungen, die gezeigten Inhalte überhaupt entziffern zu können.
Darum führte Google das sogenannte NoCaptcha ReCaptcha ein. Hier werden verhaltensbasierte Analysen verwendet, z. B. die bisherigen Browser-Interaktionen des Nutzers, Mausbewegungen und Verweildauer auf der Website. Anhand dieser Daten wird die Wahrscheinlichkeit errechnet, ob man es mit einem Menschen oder einer Maschine zu tun hat – das ist dann der sog. Captcha-Score.
Ist der Algorithmus überzeugt, dass er es mit einem Menschen zu tun hat, reicht ein Mausklick auf das Captcha „I am not a robot“ und es geht ohne weiteres weiter. Nur in Zweifelsfällen wird ein Fenster mit einer Frage oder einer zu lösenden Aufgabe eingeblendet, die der Nutzer dann erst beantworten muss.
Google reCaptcha – und der Datenschutz
Schaut man sich genauer an, wie das Google reCaptcha funktioniert, dann riecht das schon drei Kilometer gegen den Wind nach Datenschutzproblemen. Denn für die Analyse des Nutzerverhaltens läuft ein JavaScript Element, das unbemerkt (also nicht transparent) personenbezogene Daten untersucht:
- IP-Adresse
- Referrer URL (das ist die Seite von der ein Besucher kommt),
- Infos über das Betriebssystem
- Cookies
- Mausbewegungen und Tastaturanschläge,
- Verweildauer
- Einstellungen wie z. B. Spracheinstellungen, Standort, Browser etc.
Ein Hinweis auf die Schnüffelei? Fehlanzeige. Websitebenutzer bekommen es in der Regel überhaupt nicht mit, dass sie im Hintergrund überwacht werden. Und selbstverständlich teilt Google auch nicht mit, welche Daten gesammelt und wie sie verwendet werden.
Das Statement der bayerischen Aufsichtsbehörde (BayLDA) zu diesem Thema in den FAQs kann daher nur als Warnung verstanden werden:
„Darf Google reCAPTCHA auf der Website eingebunden werden?“
BayLDA: „Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht ransparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“
Berechtigtes Interesse als Legitimation dürfte hier eher ausfallen – es gibt nicht datenschutzkonform erfolgen kann. Eine Einwilligung der Nutzer oder auch eine Opt-In-Lösung wird die Lage im Ernstfall sicher auch nicht wenden. Denn völlig egal, ob Ihr Besucher auf der Website Ihr Formular absendet oder nicht – seine IP Adresse wird in jedem Fall nach Amerika übertragen.Bei der unsichtbaren Variante ist es noch viel intransparenter, da hier sogar der Klick wegfällt. Der Einsatz dieses Tools erfolgt für den Nutzer „seamless“ – also so, dass er es gar nicht bemerkt.
Die weiteren Probleme der Google reCatcha-Lösung sind die Erstellung von Nutzerprofilen für Werbezwecke – das ist ohne Einwilligung nicht erlaubt und darüber hinaus die Übermittlung der Daten an US-Server. Da gilt gleiches wie für die anderen Google Dienste – Datenübermittlung in ein unsicheres Drittland (hier die USA) geht so ohne weiteres nicht mehr. Wir erläuterten dies bereits im 1. Teil dieser Newsletterserie.
Also insgesamt genug Gründe, reCaptcha aus der eigenen Website zu verbannen.
Honeypot & Co.
Was könnten nun die möglichen Alternativen sein? Es gibt eine Technik, die einen süßen Namen hat: Honeypot. Diese Funktionen gibt es schon lange – Ihre Webagentur wird das auch kennen. Grundsätzlich wird bei dieser Technik mit für Nutzer unsichtbaren Feldern gearbeitet. Bots „sehen“ aber nur den Quellcode einer Seite und füllen alle Formularfelder geflissentlich aus. Enthält das besagte Feld also einen Eintrag, ist der Bot entlarvt. Die Honeypot-Technik ist an sich nichts Neues. Unter Entwicklern ist sie nicht ganz so beliebt, da sie von Bots durchaus geknackt werden kann.
Bezahlte Plugins
Darüber hinaus gibt es Anbieter von Captchas, die damit werben, datenschutzfreundlicher zu arbeiten, z. B. hcaptcha und friendly captcha. Hier gilt: schauen Sie genau hin. Prüfen Sie die bekannten Punkte ab:
- Wohin (in welches Land) werden personenbezogene Daten übertragen?
- Wer erhält sie und macht was damit?
- AVV nötig?
- nicht vergessen: Die Verarbeitung in der Datenschutzerklärung aufführen!
Ein Restrisiko bleibt
Grundsätzlich sollten Sie immer im Hinterkopf haben, dass der Einsatz der Google Dienste spätestens seit Schrems II große Datenschutzrisiken birgt. Insofern gilt es, mögliche Alternativen in Betracht zu ziehen.
Umso wichtiger ist es für Sie als Websitebetreiber zu wissen, welche Dienste und Tools in Ihrer Website eingebunden sind, damit nicht eines Morgens das böse Erwachen stattfindet. Arbeiten Sie hier eng mit Ihrer Webagentur / Webdesigner zusammen – lassen Sie sich eine Liste geben, aktualisieren Sie diese Infos nach jeder Änderung und binden Sie uns im Zweifel mit ein. Sollten solche Infos nur schwierig und zögerlich zu erhalten sein, wechseln Sie den Anbieter. Sie als Websiteanbieter haften im Zweifel.
Brauchen Sie Unterstützung oder überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!