Ist eine Abmahnung wegen der Nutzung von Google-Fonts berechtigt, wenn nur über ein Newsletter-Tool die Anwendung „reCAPTCHA“ eingebunden wurde – und reCAPTCHA wiederum Google-Fonts dynamisch eingebunden hat?

Was ist reCAPTCHA?

reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.

•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.

•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.

•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.

•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.

Ist der Einsatz von reCAPTCHA, unabhängig von Google Fonts, datenschutzkonform möglich?

Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.

Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:

•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken

•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft

Besteht auch beim Einsatz von reCAPTCHA die Google Fonts Problematik?

Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).

Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.

Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.

Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.

Welche Alternativen gibt es?

LiiDU-Tipp:

Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.

Weitere Alternativen sind Friendly Captcha oder hCaptcha.

Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.

(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)

Stand: 26.10.2022