datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Ist reCAPTCHA DSGVO-konform? Ein Überlick

Geschätzte Lesedauer: 4 Minuten

Das Wichtigste zu reCAPTCHA und der DSGVO in Kürze

Ist Google reCAPTCHA V3 DSGVO-konform?

Nein, reCAPTCHA V3 ist nicht automatisch DSGVO-konform, da es unsichtbar personenbezogene Daten (wie IP-Adresse und Mausbewegungen) erfasst und in die USA überträgt. Da keine vorherige Einwilligung des Nutzers vorliegt, ist der Datenschutz im Internet nicht gewährleistet.

Wie können Sie reCAPTCHA datenschutzkonform einbinden?

Sie müssen die aktive Einwilligung des Nutzers vor dem Laden des reCAPTCHA-Skripts einholen, idealerweise über Ihr Cookie-Banner (CMP) oder eine Zwei-Klick-Lösung mit einem vorgeschalteten Platzhalter. Mehr dazu erfahren Sie hier.

Welche Alternativen zu Google reCAPTCHA sind DSGVO-konform?

Datenschutzfreundliche Alternativen sind Dienste wie Friendly Captcha oder Captcha.eu, die keine personenbezogenen Daten sammeln. Eine Auflistung finden Sie an dieser Stelle.

Ist der Google Dienst reCAPTCHA datenschutzkonform?

Ist reCAPTCHA DSGVO-konform?
Ist reCAPTCHA DSGVO-konform?

Wenn Sie Ihre Webseite vor Spam und Bots schützen wollen, können Sie auf den Google Dienst reCAPTCHA zurückgreifen. Das Akronym CAPTCHA steht dabei für „Completely Automated Public Turing test to tell Computers and Humans Apart”

Diese Anwendung soll Websites vor automatisiertem Missbrauch (Spam-Bots) schützen, indem sie versucht festzustellen, ob ein Nutzer ein Mensch oder eine Maschine ist. Dies geschieht entweder durch die Aufforderung zur Lösung von Bilderrätseln (Version 2) oder unsichtbar im Hintergrund anhand des Nutzerverhaltens (Version 3). Doch ist der Google Dienst reCAPTCHA DSGVO-konform? 

Automatisch ist reCAPTCHA nicht datenschutzkonform. Der Grund liegt in der Funktionsweise, besonders bei der unsichtbaren Analyse durch reCAPTCHA V3 und der Enterprise-Version.

Um einen Bot von einem Menschen zu unterscheiden, analysiert reCAPTCHA eine Vielzahl von Informationen, die als personenbezogene Daten gelten und an Google-Server in den USA übertragen werden:

  • IP-Adresse
  • Referrer-URL (die zuvor besuchte Website)
  • Betriebssystem und Browsereinstellungen
  • Cookies
  • Mausbewegungen und Tastaturanschläge
  • Verweildauer auf der Seite
  • Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

Google macht nicht transparent, welche Daten genau und in welchem Umfang verarbeitet und gespeichert werden. Aufgrund dieser fehlenden Transparenz und der Datenübermittlung in die USA birgt die Nutzung von reCAPTCHA bezüglich der DSGVO erhebliche Risiken für Webseitenbetreiber.

So gewährleisten Sie bei Google reCAPTCHA den Datenschutz

Erläutern Sie Funktionsweise von Google reCAPTCHA in der Datenschutzerklärung, können Sie die Anwendung auf Ihrer Seite nutzen.
Erläutern Sie Funktionsweise von Google reCAPTCHA in der Datenschutzerklärung, können Sie die Anwendung auf Ihrer Seite nutzen.

Um reCAPTCHA DSGVO-konform auf Ihrer Seite zu integrieren, benötigen Sie die Einwilligung Ihrer Nutzer, bevor der Dienst deren Daten erfasst.

Die Rechtsgrundlage für die Nutzung ist damit Art. 6 Abs. DSGVO (Einwilligung) und § 25 Abs. 1 TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).

Was genau müssen Sie dafür tun?

  • Einwilligung über das Cookie-Banner: Sie müssen die Zustimmung Ihrer Nutzer aktiv einholen. Das bedeutet: reCAPTCHA darf erst aktiviert werden, nachdem der Nutzer im sogenannten Cookie-Banner (auch Consent-Tool genannt) seine Einwilligung gegeben hat.
  • Hinweis in der Datenschutzerklärung: Erklären Sie, welche Daten verarbeitet werden und  die Funktionsweise von Google reCAPTCHA (V3) in der Datenschutzerklärung.
  • Die Zwei-Klick-Lösung (Platzhalter): Verwenden Sie einen Platzhalter statt das reCAPTCHA-Feld direkt zu laden. Zeigen Sie zunächst nur einen klaren Hinweis, z. B.: „Dieser Spamschutz wird von Google bereitgestellt.“
    Erst wenn der Nutzer auf diesen Hinweis klickt, wird das reCAPTCHA-Skript von Google geladen. Dieser Klick gilt gleichzeitig als die erforderliche Einwilligung.

reCAPTCHA v3: Besonderheiten bei der Einbindung

Da die neueste Version unsichtbar ist und bereits im Hintergrund läuft, bevor der Nutzer ein Formular absendet, ist es technisch besonders kritisch, reCAPTCHA V3 DSGVO-konform einzubinden. Ohne eine vorherige, aktive Zustimmung des Nutzers (mittels CMP oder Platzhalter) verstoßen Sie direkt gegen das TTDSG und die DSGVO, da die Datenerfassung sofort beginnt.

Unser Tipp: Bei V3 sollten Sie sicherstellen, dass das Skript erst nach der Einwilligung geladen wird. Die Zwei-Klick-Lösung (siehe Punkt 2) oder eine konsequente Steuerung über das CMP ist hier zwingend erforderlich, um die Einwilligungspflicht zu erfüllen.

Welche Alternativen gibt es für Google reCAPTCHA?

Eine reCAPTCHA-Alternative, die DSGVO-konform ist, ist z. B. hCaptcha.
Eine reCAPTCHA-Alternative, die DSGVO-konform ist, ist z. B. hCaptcha.

Wollen Sie den Aufwand, reCAPTCHA DSGVO-konform zu gestalten oder die Abhängigkeit von Google vermeiden, gibt es datenschutzfreundlichere Möglichkeiten.

Alternativen mit Fokus auf Datenschutz-Dienste konzentrieren sich beispielsweise auf den Schutz der Nutzerdaten, sammeln keine personenbezogenen Daten oder verzichten  auf Cookies:

  • hCaptcha: Ähnlich wie reCAPTCHA, aber bekannt für mehr Datenschutzfreundlichkeit. Kann Text-, Bild- oder unsichtbare Captchas anbieten.
  • Friendly Captcha: Bietet unsichtbare, datenschutzkonforme Herausforderungen im Hintergrund, um Bots zu erkennen und zu verhindern, ohne Cookies oder persistente Speicherung im Browser zu verwenden.
  • mtCAPTCHA: Wurde mit Fokus auf Datenschutz und DSGVO entwickelt, um Websites vor Bots zu schützen, ohne umfangreiche Datenerfassung.
  • Captcha.eu: Ein europäischer Anbieter, der vollständig auf Cookies und personenbezogene Daten verzichtet und Daten innerhalb der EU verarbeitet.
  • ALTCHA: Ein selbstgehosteter Open-Source-Dienst, der ohne Cookies, Fingerabdrücke oder Tracker auskommt.

Techniken ohne Datenerfassung setzen auf technische Tricks, die keine externe Datenübermittlung erfordern:

Honeypot-Methode:

Dies ist eine der einfachsten und benutzerfreundlichsten Lösungen. Sie fügen dem Formular ein für menschliche Nutzer unsichtbares Feld (das „Honeypot“) hinzu. Wenn ein Bot dieses Feld ausfüllt, wird der Vorgang als Bot-Aktion erkannt und blockiert.

Vorteil: Es werden keine Nutzerdaten erfasst.

Einfache Rechenaufgabe (Math-Captcha):

Fragen Sie vor dem Absenden eine einfache Rechenaufgabe ab (z. B. „Was ist 3 + 4?“).

Vorteil: Keine Datenerfassung, lediglich die Nutzerfreundlichkeit kann etwas leiden.

Zeitstempel-Methode:

Messen Sie, wie schnell ein Formular ausgefüllt wurde. Füllt jemand das Formular in weniger als einer Sekunde aus, ist das ein Indiz für einen Bot.

Vorteil: Keine externe Datenübermittlung

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (59 Bewertungen, Durchschnitt: 4,70 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

Sascha Münch (Rechtsanwalt)
Sascha Münch

Sascha Münch ist Rechtsanwalt für Verbraucher-, Schadens- und Wirtschaftsrecht und außerdem Notar a. D. Er studierte an der Universität Bremen und absolvierte anschließend am OLG Celle sein Referendariat. Als Autor für datenschutz.org informiert er seine Leser zu Themen wie Datenspeicherung und Gesetzesbestimmungen.

Bildnachweise

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.