Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts Österreich (ÖBVwG)

/von

Stellen Sie sich vor: Der Montagmorgen beginnt wie gewohnt – leicht chaotisch. Die Kaffeemaschine gibt den Geist auf, der Hamster hat das WLAN-Kabel angeknabbert, und Sie stolpern halbwach zum Schreibtisch, um sich an die erste Aufgabe des Tages zu setzen. Ein Formular auf einer Webseite muss ausgefüllt werden, schnell und unkompliziert, denken Sie. Doch dann taucht er auf: Der allseits bekannte Google reCAPTCHA-Test bzw. „Challenge“.

„Ich bin kein Roboter“, steht da. Ein einfacher Klick, doch plötzlich müssen Sie zusätzlich noch Rätsel lösen. Finden Sie alle Ampeln in diesem verpixelten Bild. Sind das Ampeln? Oder doch nur Straßenlaternen? Sie fühlen sich, als würden Sie an einer Prüfung teilnehmen, für die Sie sich nicht angemeldet haben. Schließlich atmen Sie erleichtert auf: Test bestanden.

Doch während Sie sich mit den Rätseln herumschlagen, läuft im Hintergrund eine unsichtbare Datenübertragung. Google reCAPTCHA, das Tool, das Bots von echten Nutzern unterscheiden soll, sammelt dabei fleißig Informationen: Ihre IP-Adresse, Browserdaten, Bildschirmauflösung, Sprachauswahl, Betriebssystem und vieles mehr. Diese Daten landen bei Google – ohne Ihre ausdrückliche Zustimmung.

Was harmlos klingt, wurde kürzlich von einem österreichischen Gericht als klare Datenschutzverletzung eingestuft. Ein wegweisendes Urteil zeigt, dass solche Praktiken ohne vorherige Einwilligung unzulässig sind. Doch was genau steckt hinter diesem Urteil, und was bedeutet es für Webseitenbetreiber*innen?

Der Sachverhalt: Was war passiert?

Ein österreichischer Webseitenbesucher hatte die reCAPTCHA-Funktion auf einer Partei-Webseite deaktiviert, weil er den Dienst umgehen wollte. Trotz der Deaktivierung wurden weiterhin personenbezogene Daten wie seine IP-Adresse an Google übermittelt. Der Nutzer wandte sich an die Datenschutzaufsichtsbehörde, die dies als Verletzung des Datenschutzes einstufte und eine entsprechende Entscheidung traf.

Gegen diesen Bescheid ging der Webseitenbetreiber vor und erhob Beschwerde beim Österreichischen Bundesverwaltungsgericht (ÖBVwg). Das Gericht wies jedoch die Beschwerde ab, da die Verarbeitung der Daten ohne wirksame Einwilligung des Nutzers erfolgte. Zudem kritisierte das Gericht, dass die Nutzer nicht ausreichend und transparent über die Datenverarbeitung durch Google informiert worden waren.

Wie funktioniert Google reCAPTCHA?

Google reCAPTCHA ist ein Dienst, der Webseiten vor automatisierten Angriffen, sogenannten Bots, schützt. Der Dienst analysiert das Verhalten eines Nutzers, um festzustellen, ob es sich um eine reale Person oder eine automatisierte Anfrage handelt. Dazu werden verschiedene Daten gesammelt, wie Mausbewegungen, Klickverhalten, Tastatureingaben, IP-Adresse sowie Informationen über das verwendete Gerät, den Browser und das Betriebssystem. Oft wird zusätzlich ein Cookie (grecaptcha) gesetzt, das einen zufällig generierten Wert enthält und den Nutzer eindeutig identifizieren kann. Diese Daten werden an Google-Server übermittelt und dort analysiert, um eine Risikobewertung durchzuführen. Auf Grundlage dieser Bewertung wird entschieden, ob der Zugriff auf eine bestimmte Funktion der Webseite gewährt wird.

Das Urteil und seine Begründung

Das österreichische Bundesverwaltungsgericht hat am 13. September 2024 (W298 2274626-1) entschieden, dass der Einsatz von Google reCAPTCHA nur mit einer aktiven, informierten Einwilligung der Nutzer erlaubt ist. Grundlage für diese Entscheidung ist neben der Datenschutz-Grundverordnung (DSGVO) auch die ePrivacy-Richtlinie (2002/58/EG).

Folgende wesentliche Punkte waren ausschlaggebend für das Urteil:

  1. Personenbezug der Daten
    Das Gericht stellte fest, dass durch die Verarbeitung von Daten wie IP-Adresse, Browserinformationen, Betriebssystem und Bildschirmauflösung ein „digitaler Fußabdruck“ erstellt wird, der den Nutzer eindeutig identifizieren kann. Diese Daten fallen unter die Definition personenbezogener Daten gemäß der Datenschutz-Grundverordnung (Art. 4 Nr. 1 DSGVO).
  2. Erforderlichkeit von reCAPTCHA
    Schließlich stellte das Gericht fest, dass der Einsatz von reCAPTCHA für den Betrieb der Webseite nicht zwingend erforderlich war. Es gibt Alternativen zur Verhinderung von Bot-Angriffen, die keine personenbezogene Daten erheben (Art. 5 Abs. 1 DSGVO).
  3. Fehlende Einwilligung
    Aus der fehlenden Erforderlichkeit ergibt sich, dass als Rechtsgrundlage nur die Einwilligung der betroffenen Person in Frage kommt. Die Verarbeitung hätte nicht ohne diese vorherige Einwilligung gemäß den Artikeln 6 und 7 DSGVO erfolgen dürfen.
  4. Intransparente und unvollständige Information
    Eine weitere Kernbegründung war, dass der Webseitenbetreiber die Nutzer nicht ausreichend und transparent über die Datenverarbeitung informiert hatte (Art. 13 DSGVO und Art. 14 DSGVO).

Handlungsempfehlung für Webseitenbetreiber*innen

Wir empfehlen, zur Vermeidung rechtlicher Risiken und zur Sicherstellung des Datenschutzes, folgende Maßnahmen umzusetzen:

  1. Verzicht auf Google reCAPTCHA oder alternative Lösungen prüfen
    Der einfachste Weg ist, auf den Einsatz von Google reCAPTCHA zu verzichten. Es gibt gute Alternativen, die ohne Übermittlung personenbezogener Daten und ohne Speicherung von Cookies auskommen, bis hin zu CAPTCHA-Lösungen, die anders als Google gar kein Interesse an einer Datensammlung haben, weil sie kostenpflichtige Lösungen im Rahmen einer Auftragsverarbeitung anbieten.
  2. Einwilligung der Nutzer*innen einholen
    Sollten Sie sich doch für den Einsatz von Dienste entscheiden, deren Nutzung einer vorherigen Einwilligung bedarf, beispielsweise Google reCAPTCHA, sollten Sie diese datenschutzkonform einholen. Diese Einwilligung muss klar und unmissverständlich sein und den Nutzer über die Art und den Zweck der Datenverarbeitung informieren. Allerdings stellen wir uns die Frage, wie Sie damit umgehen, wenn die Nutzer*innen die Einwilligung verweigern – einfach die Prüfung wegzulassen würde den Botschutz vermutlich vollkommen aushebeln.
  3. Datenschutzfreundliche Alternativen anbieten
    Eine Einwilligung kann nur wirksam erteilt werden, wenn dies auf freiwilliger Basis erfolgt. Es ist also keine Option, die Webseite so zu gestalten, dass eine Kontaktaufnahme nur möglich ist, wenn zuvor eine Einwilligung erteilt wurde. Bieten Sie den Nutzern daher alternative Möglichkeiten, die jeweilige Interaktion ohne reCAPTCHA zu verwenden. Dies kann beispielsweise die Bereitstellung einer E-Mail-Adresse anstelle eines Formulars oder anderer datenschutzfreundlicher Alternativen erfolgen.
  4. Datenschutzhinweise rechtssicher anpassen
    Stellen Sie sicher, dass die Datenschutzhinweise auf Ihrer Webseite alle erforderlichen Informationen zur Datenverarbeitung durch den jeweils verwendeten Dienst enthält. Dazu gehört insbesondere die Nennung der erhobenen personenbezogenen Daten sowie die Empfänger dieser Daten.

Fazit

Das Urteil des ÖBVwG verdeutlicht, dass Datenschutz kein optionales Extra, sondern eine verpflichtende Anforderung ist. Durch die datenschutzrechtlichen Vorgaben wurden klare Regeln geschaffen, die den Schutz personenbezogener Daten gewährleisten.

Für Webseitenbetreiber*innen bedeutet dies die Pflicht, ihre Dienste so zu gestalten, dass die Rechte der Nutzer*innen gewahrt bleiben. Transparenz und die Einholung einer klaren Einwilligung sind entscheidend, um rechtliche Risiken zu minimieren. Mit datenschutzkonformen Lösungen stärken Betreiber*innen nicht nur die rechtliche Absicherung, sondern schaffen auch Vertrauen bei den Nutzer*innen – ein wesentlicher Faktor in der heutigen digitalen Welt.