04.06.2024
Wir kommen direkt zum Punkt: Hier erstmal alle Argumente, die im Netz kursieren und dagegen sprechen könnten:
Dies sind Argumente, die man am häufigsten im Internet antrifft.
Wir haben nachgefragt. Auf Anfrage, ob man Google reCAPTCHA v3 auch ohne vorherige Einwilligung auf Webseiten benutzen dürfe, teilte man uns mit:
,,Der Einsatz von Google reCAPTCHA vl und eventuell auch Version 2 wäre u. U. ohne die Einholung einer Einwilligung datenschutzrechtlich zulässig, falls tatsächlich nur die Antwort auf je eine Frage (welche Zahlen, Buchstaben oder Objekte sind in einem Bild abgebildet) ausgewertet und sonst keine Daten erhoben werden. Bei Google reCAPTCHA Version 3 ist dies jedoch nicht mehr der Fall: Bei Einsatz dieses Tools werden im Hintergrund eine größere Anzahl von Daten zum Gerät und zu Nutzerverhalten “Mausbewegungen und Tastaturanschläge” gesammelt und an Google übermittelt und zudem auch seitenübergreifende Cookies gesetzt, vermutlich um eine Reputation der “echten” menschlichen Nutzenden aufzubauen und für die jeweiligen Entscheidungen zu nutzen”
…weiter wird ausgeführt:
,,Zudem steht trotz einer eventuell ausreichenden Anonymisierung der IP-Adresse eine Übermittlung der weiteren oben erwähnten personenbeziehbaren Daten in die USA oder andere Drittländer im Raum. Im Ergebnis kommen wir zu dem Schluss, dass ein Einsatz von Google reCAPTCHA v3 jedenfalls nur dann zulässig sein kann, wenn eine informierte und freiwillige Einwilligung der Nutzenden eingeholt wird.”
Im oberen Absatz wird von der Datenschutzbehörde behauptet, Google reCAPTCHA v3 würde Cookies setzen. Dies ist allerdings nicht der Fall. Google reCAPTCHA v3 setzt keine Cookies. Dies kann man in jedem Browser auch nachprüfen und einsehen.
Weitere Unstimmigkeiten
Man bezeichnet in anderen Teilen des Schreibens eine “eventuell” automatisch anonymisierte IP-Adresse als Teil personenbezogener Daten. Wie kann eine anonymisierte IP-Adresse personenbezogen sein? Sie ist anonym und somit nicht personenbezogen. Das Gleiche gilt übrigens auch für die ,,Maus- und Tastaturanschläge”. Auch diese werden automatisch anonymisiert – dies kann man in den Google ,,Datenschutzerklärung und Nutzungsbestimmungen” nachlesen (https://policies.google.com/privacy).
In vielen Blogs wird mit Vermutungen gearbeitet. Auch in der Erklärung der Datenschutzbehörde finden wir Worte, wie ,,es steht im Raum” und ,,eventuell”. Das heißt, man “vermutet” hier wohl, dass Google zwar viel erzählt, aber nicht halten könnte? Google verwendet für so einen Fall Vertragsklauseln (SCCs), um den Schutz personenbezogener Daten im Rahmen der DSGVO zu gewährleisten. Diese Klauseln sind von der Europäischen Kommission genehmigt und bieten Garantien für den Schutz der Privatsphäre. Google hat sich auch in seinen Datenschutzbestimmungen verpflichtet, die Daten gemäß den geltenden Datenschutzbestimmungen in der EU zu anonymisieren und nicht zur Identifizierung einzelner Personen zu verwenden.
1) Wir haben auf der einen Seite Google, die sagen, dass sie alle Daten anonymisieren, sich an die DSGVO halten und dies in Vertragsklauseln zusichern.
2) Wir haben auf der anderen Seite die Datenschutzbehörden, die sinngemäß sagen, dass es egal ist, ob Google alles anonymisiert, allein die Möglichkeit, dass man aus Mausbewegungen und anderen Daten ein personenbezogenes Profil erstellen könnte (weil Google lügen könnte und nichts anonymisiert) reicht aus, dass Nutzer den Einsatz von Spamfiltern, wie v3, vorher erst bestätigen müssen.
Google müsste zunächst in allen Punkten lügen: Die Vertragsklauseln wurden mit Falschangaben zugesichert, Google anonymisiert nichts automatisch und speichert rechtswidrig Mausbewegungen, IPs und Browserinformationen, um daraus personenbezogene Profile zu erstellen. Um jetzt auf einen Cookie zu verzichten, erstellt man aus Mausdatensätzen, jedes mal, wenn ein User auf reCAPTCHA v3 trifft, ein Profil mit Maus-Zick-Zack-Bewegungen. Kann man aus den (angenommen) tausenden von aufgezeichneten Mausbewegungen auf der Kontaktformularseite wirklich eine Person unter Millionen zuordnen? Falls ja, wäre das wirklich ein schlauer Weg für Google, um europaweit geltende Vertragsklauseln (SCCs) zu brechen?
Um Bots zu vermeiden, muss man wissen, wie ein Bot arbeitet. Meist hat er nur eine Verweildauer von wenigen Millisekunden, macht kaum oder keine Mausbewegungen und füllt selbst unsichtbare Felder aus. Dieses Verhalten kann man wunderbar nutzen, um einen Menschen von einem Bot zu unterscheiden.
Da alle Daten anonymisiert werden und keine Cookies gesetzt werden, hat die DSGVO gar keine Grundlage um Anwendung zu finden. Die Zuordnung zu einer spezifischen Person wäre hiermit nicht möglich. Da es hier aber um eine anonymisierte Datenerfassung, über der Norm hinaus, geht (mehr als nur die IP und Browserinformationen), ist man sich auf behördlicher Seite wohl einig, dies vorher über eine Einwilligung bestätigen zu lassen. Die äußerst abstrakte Möglichkeit (die eigentlich gar keine Möglichkeit ist) reicht wohl aus.
Option 1) Eine Datenschutzbehörde kann ein Bußgeld verhängen.
Sollte eine Datenschutzbehörde eine Datenschutzpanne auf Ihrer Website feststellen, werden Sie in der Regel darüber informiert, mit der Bitte dies zu beheben. Sollten Sie unkooperativ sein und mehrfachen Anweisungen nicht nachkommen, kam es in der Vergangenheit auch schon zu Bußgeldverhängungen gegen große Unternehmen.
Option 2) Jemand möchte Schadensersatz und droht mit Klage, weil seine personenbezogenen Daten übermittelt wurden
Dies ist der einfachere Fall. Es gibt viele betrügerische Anwälte, die angeblich im Namen eines Klägers agieren, um Schadensersatzforderungen durchzudrücken. Wenn ein Schaden entstanden ist, muss man den Schaden auch nachweisen können. Der Kläger kann jetzt sagen ,,meine IP wurde an Google übermittelt, ich will Schadensersatz”. Google sagt aber offiziell: ,,wir anonymisieren alles, wir haben hier keine personenbezogenen Daten und sichern dies auch in Vertragsklauseln zu”. Jetzt soll der Kläger mal nachweisen, dass der Google-Server Daten von ihm gespeichert hat. Viel Spaß.
Immer wenn wir eine Verbindung mit einem Webserver aufbauen, wird eine IP abgefragt. Damit personenbezogene Daten, wie IP oder Mausbewegungen, nicht zur Identifikation einer Person führen können, anonymisiert man diese deshalb. Somit zählen Sie nicht zu personenbezogenen Daten, weil auch nachträglich keine Person damit festgestellt werden kann. Laut offiziellen Google-Statements hält man sich an die Datenschutzbestimmungen der EU, welche auch in Vertragsklauseln von der EU-Kommission abgesegnet sind.
Wir denken, viele empfinden einfach eine persönliche Abneigung gegen den Google-Konzern und stellen dementsprechend viele Mutmaßungen an, warum man Technologie von Google lieber nicht nutzen sollte. Dies erzeugt eine große Unsicherheit im Netz, die sich Betrüger zunutze machen, um kassieren zu können. Da “normale” Menschen, wie Anwälte, Richter und Designer nicht verstehen, wie ein Webserver und Spambots funktionieren, ist die Unsicherheit noch größer, was die Falschaussagen der Datenschutzbehörde bekräftigt. So kommt es oft vor, dass eine reCAPTCHA-Lösung von anderen Dienstleistern eher akzeptiert wird oder man sich einen Proven-Expert-Banner auf der Website installiert, welcher ebenfalls IP-Adressen an Drittanbieter überträgt. Hier stört es nur niemanden, weil niemand vorher verunsichert wurde.
ReCAPTCHA v3 stellt eine der modernsten und sichersten Lösungen dar und ist beinahe essentiell für gut besuchte Marketingwebseiten, um die Integrität und Sicherheit unserer Webdienste zu gewährleisten, ohne Nutzer negativ zu nerven. Im Vergleich zu anderen Methoden bietet reCAPTCHA v3 eine umfassende Analyse von Benutzerinteraktionen, die präzise zwischen menschlichen Nutzern und Bots unterscheiden kann – und das ganz ohne Cookies, mit automatischer Anonymisierung. Mehr kann man sich als Datenschützer eigentlich nicht wünschen. Diese fortschrittliche Technologie kann entscheidend sein, um modernen Bedrohungen, wie gezielten Spam-Angriffen, Phishing-Versuchen und DDoS-Attacken effektiv entgegenzuwirken. Wir finden, dies sollte man im Namen der Sicherheit auch nutzen.
Wenn keine personenbezogenen Daten gespeichert werden, braucht man an sich vorher keine Einwilligung. Allerdings scheint das Richtmaß der Behörden hier die reine Menge der zu analysierenden Daten zu sein, ob sinnvoll oder nicht. Zusätzlich gibt es theoretische Mutmaßungen, dass Google durch die Kombination von Mausbewegungen und anderen Verhaltensdaten Personen identifizieren könnte, falls diese Daten nicht ordnungsgemäß anonymisiert wären. Aufgrund dieser Hypothese und der Möglichkeit, dass eine solche Verarbeitung als personenbezogen angesehen werden könnte, empfiehlt sich laut Datenschutzbehörde die Einholung einer Einwilligung vom Nutzer, um auf der 100% sicheren Seite zu sein. Somit hätte man auch seine Ruhe vor Argumentationen gegenüber Behörden und Betrügern, die eine Unsicherheit im Netz ausnutzen möchten.
vielleicht sind auch diese Inhalte für Sie interessant:
Wenn Sie gerade in einer Krise stecken oder wissen wollen, wie man das Maximum aus seiner Website herausholt, sollten Sie sich diese häufigsten Fehler einmal durchlesen(…)
Vielleicht suchen nach wichtigen Inhalten für eine Website für eine Selbstaufsetzung oder Sie wollen einen Webdesigner beauftragen. Deshalb ist hier eine Liste mit relevanten Aspekten(…)
Des Öfteren stellt sich einem die Frage: Ich habe doch viele wichtige Informationen auf meiner Seite mit allen wichtigen Suchbegriffen, aber warum kontaktiert mich niemand? Deshalb(…)
FAQ und Artikel
Rechtliches
Sprechzeiten:
Service-Telefon: 0159 046 962 99
Dienstag & Donnerstag 13-19 Uhr (oder nach vorheriger Vereinbarung)
Website LUX: Webdesign Berlin | Professionelle Website erstellen lassen Berlin
