reCAPTCHA v3 erkennt Menschen - ohne Fragen zu stellen
Home Ressourcen Blog Wichtige Informationen zu Google reCAPTCHA und der DSGVO

Wichtige Informationen zu Google reCAPTCHA und der DSGVO

Erfahren Sie in diesem Artikel alles Wichtige zu reCAPTCHA von Google, was sich in Bezug auf die DSGVO ändert und was Sie sonst noch beachten sollten.
von Usercentrics
30. Okt 2023
reCAPTCHA v3 erkennt Menschen - ohne Fragen zu stellen
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Ampeln suchen, Zebrastreifen und Busse anklicken oder erkennen, welche Buchstaben und Zahlenkombination sich hinter einem unscharfen Bild verbergen – so haben wir jahrelang bewiesen, dass wir als menschliche Nutzer im Web unterwegs sind. Mit zunächst ReCAPTCHA v3 und nun reCAPTCHA Enterprise sind diese Zeiten nun vorbei. Was sich ändert und was es in Bezug auf die DSGVO beim Einsatz des Tools von Google LLC zu beachten gilt, erfahren Sie hier.

Was sind CAPTCHAs?

 

Der Begriff CAPTCHA steht für Completely Automated Public Turing test to tell Computers and Humans Apart. CAPTCHAs sind Tools, bei denen mittels künstlicher Intelligenz zwischen menschlichen und automatisierten Nutzern, wie z. B. Bots, unterschieden wird. CAPTCHAs stellen Aufgaben, die für Computer schwierig, aber für Menschen relativ einfach zu lösen sind. Zum Beispiel das Erkennen von gestreckten Buchstaben oder Zahlen oder das Klicken in einen bestimmten Bereich auf einem Bild.

Google reCAPTCHA v3 API lässt Abfragen komplett entfallen

Ein Rückblick: Ende 2018 führte Google reCAPTCHA in seiner dritten Version ein. Die Anzahl der Aufgaben, die Nutzer absolvieren müssen, um sich auf einer Website anzumelden, wurde drastisch reduziert. Ihnen wird eine unsichtbare Punktzahl zugewiesen, je nachdem, wie „menschlich“ ihr Verhalten ist.

 

Doch die Innovation hat auch eine Kehrseite: Die Version überwacht im Hintergrund jede Bewegung von Nutzern auf einer Website, um festzustellen, ob es sich tatsächlich um menschliche Nutzer handelt. Dies kann zu Problemen in Bezug auf den rechtmäßigen Einsatz des Tools führen, da die Nutzer ihre explizite Einwilligung zur Nachverfolgung aller Bewegungen nicht erteilt haben.

Googles verdecktes reCAPTCHA v3 erkennt Menschen – ohne Fragen zu stellen

Mit Google reCAPTCHA v3 und Enterprise ist die Interaktion einer Website mit den menschlichen Nutzern laut Google so gut modellierbar, dass es nicht mehr nötig ist, sie zu bitten, ein Kästchen anzukreuzen oder zum Lösen eines mäßig spannenden visuellen Rätsels zu nötigen.

 

Stattdessen bewertet es jeden Besucher mit einem Risiko-Score von 0,0 (schlecht) bis 1,0 (sehr gut) und gibt diesen Score an die Website-Betreiber zurück. Diese entscheiden dann, wie sie darauf reagieren möchten. So bietet reCAPTCHA Schutz vor Spam. Diese Risikoanalyse läuft im Hintergrund ab. Das Nutzerverhalten wird vom System genauestens überwacht.

 

Google liefert zwar keine Erklärung für den Score, Menschen sollten allerdings einen Score von etwa 1,0 erreichen, um ohne Sperre passieren zu können.

Interessant: Website-Besucher merken von all dem nichts. Sie melden sich an, als ob es kein CAPTCHA gäbe. Einzig am Logo ist erkennbar, dass im Hintergrund noch etwas passiert.

 

Und so funktioniert das Ganze: Wenn der Schwellenwert unter 0,7 fällt, kann die Website den Zugriff auf bestimmte Teile der Website blockieren oder zumindest einschränken oder eine zusätzliche Verifizierung (z. B. in Form einer Zwei-Faktor-Authentifizierung) verlangen, indem ein „Action“-Tag auf den einzelnen Seiten implementiert wird.

 

⇨ Mit diesem Verfahren und durch eingeschränkte Zugriffe werden Missbrauch und Spam durch Bots auf ein Minimum reduziert.

Die Vorteile von Google reCAPTCHA v3 und Enterprise

Neben der ausgefeilteren Bot-Erkennung gibt es bei den neuen Versionen aufgrund von im Hintergrund laufenden Vorgängen noch einen weiteren Vorteil: viel mehr Kontrolle für Website-Betreiber bei der Feinabstimmung der Google API.

 

Während die neuen reCAPTCHA-Versionen aus Sicht der Website-Nutzer eigentlich nur bedeutet, dass CAPTCHAs nicht mehr wahrgenommen werden, geht es für Website-Betreiber um viel mehr: Sie müssen nun Scoring-Schwellenwerte für verschiedene Teile einer Website (Anmeldung, soziale Medien oder Zahlungsvorgänge) definieren. Diese können Transaktionsverläufe und Nutzungsprofile aus Nicht-Google-Daten beinhalten.

 

Diese Änderungen bringen nicht nur einen technischen Wandel mit sich: Website-Inhaber müssen jetzt die Verantwortung für ihren Bot-Traffic übernehmen und können das Thema nicht einfach an Dritte auslagern.

Google reCAPTCHA und die DSGVO

Website-Betreiber sind für den Schutz der Nutzerdaten verantwortlich. Die DSGVO gibt den Nutzern die Sicherheit, dass die Offenlegung ihrer personenbezogenen Daten nach jeglichen Aktionen im Netz auf ein Minimum begrenzt wird.

 

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 und Enterprise für die Nutzer quasi „unsichtbar“ ab. So praktisch dies auf den ersten Blick erscheint, so intransparent ist es aber aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert, ohne dass die Nutzer ihre ausdrückliche Einwilligung erteilen. Sie werden nicht darüber informiert, dass bei der Analyse durch das System u. a. folgende Daten an Google weitergeleitet werden:

 

 

  • IP-Adresse
  • Referrer-URL
  • Betriebssystem
  • Cookies
  • Mausbewegungen/Tastaturanschläge
  • Verweildauer
  • Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

 

In den häufig gestellten Fragen der bayerische Aufsichtsbehörde wird deshalb darauf hingewiesen, dass diese mangelnde Transparenz beim Einsatz von CAPTCHA Risiken für die Website-Betreiber birgt.

 

Was tun, damit Google reCAPTCHA die geltenden Anforderungen erfüllt?

 

Eine Lösung, um das Tool weitestgehend DSGVO-konform zu verwenden, ist beispielsweise, die Funktionsweise von CAPTCHA möglichst transparent in der Datenschutzerklärung zu beschreiben und die Einwilligung der Besucher – zum Beispiel über den Cookie-Banner der Consent Management Platform (CMP) – einzuholen. Allerdings ist auch diese Lösung nicht vollständig DSGVO-konform, da Google nicht ausreichend klar macht, welche Verarbeitungen und Zugriffe durch das Tool erfolgen.

 

Unser Rat: Halten Sie diesbezüglich unbedingt Rücksprache mit Ihrer Rechtsabteilung oder dem Datenschutzbeauftragten.

1. Website registrieren und Secret Key erhalten

 

  1. Sie müssen zunächst Ihre Website bei Google registrieren.
  2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
  3. Wählen Sie reCAPTCHA v3 oder Enterprise aus und aktivieren Sie darin die Option „Ich bin kein Roboter“.
  4. Nach dem Absenden erhalten Sie von Google den Site Key und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

 

2. Google reCAPTCHA in die Website integrieren

 

  • Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
  • ReCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
  • Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
  • Das System analysiert nun die einzelnen Nutzer, erstellt dann einen Token und ordnet es einer versteckten Eingabe zu.

 

3. Serverseitige Einbindung

 

  • Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
  • Verwenden Sie eine PHP-Datei (Skriptsprache), um die Nutzer durch gewisse definierte Konstanten mit Daten zu überprüfen.
  • Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind (1,0 ist höchstwahrscheinlich eine gute Interaktion).

 

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Fazit

Wer sichergehen möchte, dass alle Aktionen auf der eigenen Website von „echten Menschen“ ausgeführt werden und dafür keine lästige Abfrage per Bilderrätsel verwenden möchte, für den ist die Google reCAPTCHA API-Lösung genau das Richtige.

 

Nicht wundern: Die meisten Nutzer sind Gewohnheitstiere und vertrauen immer noch der alten Version. Es kann sie irritieren, dass nun keine Interaktion mehr erforderlich ist. Letztlich sind reCAPTCHA Version 3 und Enterprise für die meisten Website-Besucher jedoch eine willkommene Neuerung, denn die Zeiten des Rätselklickens gehören von nun an der Vergangenheit an – und das wird die Mehrheit von ihnen langfristig sicherlich zu schätzen wissen. Allerdings erfordert auch die Nutzung des reCAPTCHA zwingend die Nutzereinwilligung, da mit der Verwendung der API Nutzerdaten an Google übertragen werden. Die Lösung: Das notwendige Opt-in können Website-Betreiber durch einen Eintrag innerhalb ihrer Consent Management Platform (CMP) transparent einholen. Sie benötigen dann keine andere datenschutzkonforme Alternative, denn Sie haben die informierte Einwilligung der Nutzer und sind somit DSGVO-konform.

WICHTIGER HINWEIS

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Häufig gestellte Fragen (FAQs)

Was bedeutet Google reCAPTCHA?

reCAPTCHA ist ein kostenloser Service von Google, der hilft, Websites während der Nutzung vor Spam und Missbrauch zu schützen.

Wie kann ich Google reCAPTCHA auf meiner Website deaktivieren?
  • Navigieren Sie in Ihren Business-Einstellungen zu „Benutzerdefinierte Anpassungen“.
  • Scrollen Sie nach unten zum Abschnitt „Unsichtbares reCAPTCHA“.
  • Deaktivieren Sie die Schaltfläche.
  • Klicken Sie auf „Speichern“.
Was ist reCAPTCHA v3?

Google reCAPTCHA v3 hilft Ihnen, missbräuchlichen Traffic auf Ihrer Website ohne Nutzerinteraktion zu erkennen. Anstatt den Nutzern eine CAPTCHA-Abfrage anzuzeigen, gibt reCAPTCHA v3 eine Punktzahl (einen sog. Risiko-Score) zurück, sodass Sie die geeignetste Aktion/Lösung für Ihre Website wählen können.

Warum benötige ich die explizite Einwilligung von Website-Besuchern, wenn ich reCAPTCHA v3 verwende?

Die Google reCAPTCHA API funktioniert, indem sie Hardware- und Software-Informationen wie Geräte- und Anwendungsdaten sammelt und diese zur Analyse an Google sendet. Dazu werden verschiedene Informationen wie ein Snapshot des Browserfensters der Nutzer, Informationen zu Browser-Plug-ins, CSS-Informationen, JavaScript-Objekte, das Datum oder die Browsersprache übertragen. Website-Betreiber, die die API verwenden, sind somit auch dafür verantwortlich, dies entsprechend durch Benachrichtigungen anzuzeigen, etwa durch eine transparente Beschreibung im Cookie-Banner, und die Erlaubnis zur Erfassung und Weitergabe der Nutzerdaten an Google einzuholen.

Was kostet Google reCAPTCHA?

Google reCAPTCHA ist in einer kostenlosen und kostenpflichtigen Version erhältlich. Bis zu 1 Million Bewertungen pro Monat sind kostenlos. In der Enterprise-Version können Website-Betreiber außerdem wählen, ob Sie das Kästchen „Ich bin kein Roboter“ anzeigen oder das unsichtbare CAPTCHA verwenden möchten. Außerdem enthält diese Version einen SDK für Android und iOS, eine einfache API-basierte Integration, eine ML Model Tuning API und mehr.

Welche datenschutzfreundliche Alternative gibt es zu Google reCAPTCHA?

Eine captchalose Alternative wären sogenannte Honeypots (zu Deutsch: Honigtöpfe). Hierbei wird Besuchern auf der Website ein unsichtbares Feld angezeigt. Es handelt sich dabei oft um ein Kontaktfeld oder Kontaktformular. Da Nutzer dieses nicht sehen, füllen sie es auch nicht aus. Für Spam-Bots hingegen ist es sichtbar, sie füllen es aus und werden somit ertappt. Honeypots sind also eine Alternative zu Spamfiltern mit einem sogenannten CAPTCHA.

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Usercentrics Certified CMP partner

Googles Frist im März rückt näher: CMPs, Consent Mode (Einwilligungsmodus) und ununterbrochene Werbeanzeigen

Die Frist im März für die Anforderungen an Advertiser im EWR rückt gemäß dem neuesten Google-Artikel im Hilfe-Center...