Es hat ein Ende. Ich muss meinem Computer nicht mehr beweisen, dass ich ein Mensch bin. Googles neue reCAPTCHA Version 3 verifiziert aufgrund meiner Nutzerbewegungen auf einer Internetseite, dass ich ein Mensch und kein Computer bin. Klasse, denke ich zunächst – aber ist das alles datenschutzkonform? Welche meiner Daten werden für diesen Luxus preisgegeben?
Pro und Contra
Pro:
Aus Sicht der Nutzererfahrung (auch User Experience oder abgekürzt UX) sehr erfreulich – der Nutzer steht im Mittelpunkt und muss keine doofen Kästen mehr mit Buchstabenfolgen, Ampel- und Auto-Markierkungen anklicken.
Contra:
Aus Sicht des Datenschutzes und der DSGVO ist dieser Dienst von Google, der das Nutzverhalten auf der Internetseite analysiert und so Mensch von Roboter unterscheidet, höchst bedenklich. Denn was da exakt passiert und welche Daten bei Google wo verarbeitet und gespeichert werden, weiß man nicht so genau.
Die reCAPTCHA Version 3 weiß also „von selbst“, dass ich Mensch bin. Die Technik kann anhand von Unregelmäßigkeiten zwischen Bots und echten Nutzern unterscheiden. Ergo kann sie sich voll auf die Dateninteraktion konzentrieren.
Dafür hat Google einen Risiko-Score eingeführt. Er checkt, wie Nutzer mit der Seite interagieren, beziehungsweise auf welche Bereiche der Seite sie zugreifen. reCAPTCHA v3 führt im Hintergrund eine adaptive Risikoanalyse aus und bewertet, wie verdächtig eine Aktion ist. Die Bewertung erfolgt in zehn Schritten von 0,1 (sehr verdächtig) bis 1 (überhaupt nicht verdächtig). Eine Statistik zeigt außerdem an, auf welchen Seiten in der Regel automationsverdächtige Aktionen ausgeführt werden.
Man könnte vermuten, das Google dafür nicht nur die Daten der aktuellen Internetseite nutzt, sondern auch bereits gespeicherte Spuren und Daten abgleicht, die die jeweiligen Nutzer zuvor andernorts im Internet hinterlassen haben. Somit verarbeitet Google möglicherweise nicht nur die Information, was Nutzer im konkreten Fall suchen, sondern sammelt auch ganz allgemein Daten darüber, wer was im Internet tut. Es wäre begrüßenswert, wenn Google hier mehr Transparenz walten lassen würde.Bequem, aber nicht datenschutzkonform?
Das sollten Sie bedenken
Aus Sicht der DSGVO ist die Einbindung eines reCAPTCHA in der Datenschutzerklärung zu erläutern. Durch dessen Einbindung werden Daten der Besucher Ihrer Internetseite auf Google-Servern ausgetauscht. Welche Daten wo gespeichert werden, stellt Google jedoch nicht transparent dar.
Datenschutzbedenken ergeben sich vor allem durch diese neue Version 3 des reCAPTCHA. Die Einbindung ist für den Nutzer unsichtbar und daher nicht transparent. Zudem muss für einen effizienten Betrieb von reCAPTCHA 3 an nahezu allen Stellen Javascript ausgeführt werden, was längere Ladezeiten zur Folge haben kann.Aus Sicht des Datenschutzes sollte möglichst komplett auf das Nachladen von Codes externer Server verzichtet werden – oder aber dem Nutzer vor dem Nachladen die Wahl gelassen werden. Der Web-Betreiber ist für die eingebundenen Inhalte verantwortlich.
Sie sollten sich darüber im Klaren sein, dass Sie mit ReCAPTCHA Google-Projekte weltweit unterstützen. Gratis.