Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü

Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts Österreich (ÖBVwG)

9. Januar 2025/von Datenschutzbeauftragter/oba

Stellen Sie sich vor: Der Montagmorgen beginnt wie gewohnt – leicht chaotisch. Die Kaffeemaschine gibt den Geist auf, der Hamster hat das WLAN-Kabel angeknabbert, und Sie stolpern halbwach zum Schreibtisch, um sich an die erste Aufgabe des Tages zu setzen. Ein Formular auf einer Webseite muss ausgefüllt werden, schnell und unkompliziert, denken Sie. Doch dann taucht er auf: Der allseits bekannte Google reCAPTCHA-Test bzw. „Challenge“.

„Ich bin kein Roboter“, steht da. Ein einfacher Klick, doch plötzlich müssen Sie zusätzlich noch Rätsel lösen. Finden Sie alle Ampeln in diesem verpixelten Bild. Sind das Ampeln? Oder doch nur Straßenlaternen? Sie fühlen sich, als würden Sie an einer Prüfung teilnehmen, für die Sie sich nicht angemeldet haben. Schließlich atmen Sie erleichtert auf: Test bestanden.

Doch während Sie sich mit den Rätseln herumschlagen, läuft im Hintergrund eine unsichtbare Datenübertragung. Google reCAPTCHA, das Tool, das Bots von echten Nutzern unterscheiden soll, sammelt dabei fleißig Informationen: Ihre IP-Adresse, Browserdaten, Bildschirmauflösung, Sprachauswahl, Betriebssystem und vieles mehr. Diese Daten landen bei Google – ohne Ihre ausdrückliche Zustimmung.

Was harmlos klingt, wurde kürzlich von einem österreichischen Gericht als klare Datenschutzverletzung eingestuft. Ein wegweisendes Urteil zeigt, dass solche Praktiken ohne vorherige Einwilligung unzulässig sind. Doch was genau steckt hinter diesem Urteil, und was bedeutet es für Webseitenbetreiber*innen?

Der Sachverhalt: Was war passiert?

Ein österreichischer Webseitenbesucher hatte die reCAPTCHA-Funktion auf einer Partei-Webseite deaktiviert, weil er den Dienst umgehen wollte. Trotz der Deaktivierung wurden weiterhin personenbezogene Daten wie seine IP-Adresse an Google übermittelt. Der Nutzer wandte sich an die Datenschutzaufsichtsbehörde, die dies als Verletzung des Datenschutzes einstufte und eine entsprechende Entscheidung traf.

Gegen diesen Bescheid ging der Webseitenbetreiber vor und erhob Beschwerde beim Österreichischen Bundesverwaltungsgericht (ÖBVwg). Das Gericht wies jedoch die Beschwerde ab, da die Verarbeitung der Daten ohne wirksame Einwilligung des Nutzers erfolgte. Zudem kritisierte das Gericht, dass die Nutzer nicht ausreichend und transparent über die Datenverarbeitung durch Google informiert worden waren.

Wie funktioniert Google reCAPTCHA?

Google reCAPTCHA ist ein Dienst, der Webseiten vor automatisierten Angriffen, sogenannten Bots, schützt. Der Dienst analysiert das Verhalten eines Nutzers, um festzustellen, ob es sich um eine reale Person oder eine automatisierte Anfrage handelt. Dazu werden verschiedene Daten gesammelt, wie Mausbewegungen, Klickverhalten, Tastatureingaben, IP-Adresse sowie Informationen über das verwendete Gerät, den Browser und das Betriebssystem. Oft wird zusätzlich ein Cookie (grecaptcha) gesetzt, das einen zufällig generierten Wert enthält und den Nutzer eindeutig identifizieren kann. Diese Daten werden an Google-Server übermittelt und dort analysiert, um eine Risikobewertung durchzuführen. Auf Grundlage dieser Bewertung wird entschieden, ob der Zugriff auf eine bestimmte Funktion der Webseite gewährt wird.

Das Urteil und seine Begründung

Das österreichische Bundesverwaltungsgericht hat am 13. September 2024 (W298 2274626-1) entschieden, dass der Einsatz von Google reCAPTCHA nur mit einer aktiven, informierten Einwilligung der Nutzer erlaubt ist. Grundlage für diese Entscheidung ist neben der Datenschutz-Grundverordnung (DSGVO) auch die ePrivacy-Richtlinie (2002/58/EG).

Folgende wesentliche Punkte waren ausschlaggebend für das Urteil:

  1. Personenbezug der Daten
    Das Gericht stellte fest, dass durch die Verarbeitung von Daten wie IP-Adresse, Browserinformationen, Betriebssystem und Bildschirmauflösung ein „digitaler Fußabdruck“ erstellt wird, der den Nutzer eindeutig identifizieren kann. Diese Daten fallen unter die Definition personenbezogener Daten gemäß der Datenschutz-Grundverordnung (Art. 4 Nr. 1 DSGVO).
  2. Erforderlichkeit von reCAPTCHA
    Schließlich stellte das Gericht fest, dass der Einsatz von reCAPTCHA für den Betrieb der Webseite nicht zwingend erforderlich war. Es gibt Alternativen zur Verhinderung von Bot-Angriffen, die keine personenbezogene Daten erheben (Art. 5 Abs. 1 DSGVO).
  3. Fehlende Einwilligung
    Aus der fehlenden Erforderlichkeit ergibt sich, dass als Rechtsgrundlage nur die Einwilligung der betroffenen Person in Frage kommt. Die Verarbeitung hätte nicht ohne diese vorherige Einwilligung gemäß den Artikeln 6 und 7 DSGVO erfolgen dürfen.
  4. Intransparente und unvollständige Information
    Eine weitere Kernbegründung war, dass der Webseitenbetreiber die Nutzer nicht ausreichend und transparent über die Datenverarbeitung informiert hatte (Art. 13 DSGVO und Art. 14 DSGVO).

Handlungsempfehlung für Webseitenbetreiber*innen

Wir empfehlen, zur Vermeidung rechtlicher Risiken und zur Sicherstellung des Datenschutzes, folgende Maßnahmen umzusetzen:

  1. Verzicht auf Google reCAPTCHA oder alternative Lösungen prüfen
    Der einfachste Weg ist, auf den Einsatz von Google reCAPTCHA zu verzichten. Es gibt gute Alternativen, die ohne Übermittlung personenbezogener Daten und ohne Speicherung von Cookies auskommen, bis hin zu CAPTCHA-Lösungen, die anders als Google gar kein Interesse an einer Datensammlung haben, weil sie kostenpflichtige Lösungen im Rahmen einer Auftragsverarbeitung anbieten.
  2. Einwilligung der Nutzer*innen einholen
    Sollten Sie sich doch für den Einsatz von Dienste entscheiden, deren Nutzung einer vorherigen Einwilligung bedarf, beispielsweise Google reCAPTCHA, sollten Sie diese datenschutzkonform einholen. Diese Einwilligung muss klar und unmissverständlich sein und den Nutzer über die Art und den Zweck der Datenverarbeitung informieren. Allerdings stellen wir uns die Frage, wie Sie damit umgehen, wenn die Nutzer*innen die Einwilligung verweigern – einfach die Prüfung wegzulassen würde den Botschutz vermutlich vollkommen aushebeln.
  3. Datenschutzfreundliche Alternativen anbieten
    Eine Einwilligung kann nur wirksam erteilt werden, wenn dies auf freiwilliger Basis erfolgt. Es ist also keine Option, die Webseite so zu gestalten, dass eine Kontaktaufnahme nur möglich ist, wenn zuvor eine Einwilligung erteilt wurde. Bieten Sie den Nutzern daher alternative Möglichkeiten, die jeweilige Interaktion ohne reCAPTCHA zu verwenden. Dies kann beispielsweise die Bereitstellung einer E-Mail-Adresse anstelle eines Formulars oder anderer datenschutzfreundlicher Alternativen erfolgen.
  4. Datenschutzhinweise rechtssicher anpassen
    Stellen Sie sicher, dass die Datenschutzhinweise auf Ihrer Webseite alle erforderlichen Informationen zur Datenverarbeitung durch den jeweils verwendeten Dienst enthält. Dazu gehört insbesondere die Nennung der erhobenen personenbezogenen Daten sowie die Empfänger dieser Daten.

Fazit

Das Urteil des ÖBVwG verdeutlicht, dass Datenschutz kein optionales Extra, sondern eine verpflichtende Anforderung ist. Durch die datenschutzrechtlichen Vorgaben wurden klare Regeln geschaffen, die den Schutz personenbezogener Daten gewährleisten.

Für Webseitenbetreiber*innen bedeutet dies die Pflicht, ihre Dienste so zu gestalten, dass die Rechte der Nutzer*innen gewahrt bleiben. Transparenz und die Einholung einer klaren Einwilligung sind entscheidend, um rechtliche Risiken zu minimieren. Mit datenschutzkonformen Lösungen stärken Betreiber*innen nicht nur die rechtliche Absicherung, sondern schaffen auch Vertrauen bei den Nutzer*innen – ein wesentlicher Faktor in der heutigen digitalen Welt.  

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2019/02/digital-marketing-1725340_1920.jpg 1279 1920 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2025-01-09 08:45:042025-01-28 08:52:56Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts Österreich (ÖBVwG)

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg Link to: Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg Löschpflichten im Fokus: Ein teures Beispiel aus HamburgAbmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede Link to: Fehlender Auftragsverarbeitungsvertrag begründet Schadenersatzanspruch Link to: Fehlender Auftragsverarbeitungsvertrag begründet Schadenersatzanspruch Fehlender Auftragsverarbeitungsvertrag begründet Schadenersatzanspruch
Nach oben scrollen Nach oben scrollen Nach oben scrollen