Das BVerwG hat in seinen Erkenntnis W298 2274626-1/8E festgestellt, dass die Verwendung von Google reCAPTCHA ohne voherige Einwilligung der Nutzer gegen die DSGVO verstößt. In der Entscheidung wird festgehalten, dass dabei personenbezogene Daten wie IP-Adresse und Browserinformationen automatisch an Google übertragen werden.
Lt. BVwerG kann diese Datenverarbeitung nicht auf berechtigtes Interesse gem. Art. 6 (1) lit. f DSGVO sondern nur auf eine Einwilligung gem. Art. 6 (1) lit. a DSGVO (z.B. durch ein Opt-in-Banner, Checkbox beim gesicherten Formular) gestützt werden kann:
"Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre."
Aus unserer Sicht wäre eine Berufung auf berechtigtes Interesse sehr wohl möglich. Der Einsatz eines Spam-Schutzes nur mit vorheriger Einwilligung ist ja weder wirksam noch sinnvoll. Trotzdem ist es durch dieses Urteil wohl möglich, dass der Einsatz von Google reCAPTCHA zu Abmahnungen führen kann. Es gibt Möglichkeiten, Google reCAPTCHA datenschutzkonform einzubinden, allerdings entstehen dadurch auch neue Hürden für die User, weil Formulare dadurch nur noch abgesendet werden können, wenn der User vorher einwilligt.
Alternativ empfehlen wir die datenschutzfreundliche Variante Friendly Captcha. Friendly Captcha ist DSGVO-konform und mit keinerlei Hürden für die User verbunden, da es genau wie Google reCAPTCHA im Hintergrund läuft. Für die Nutzung fallen allerdings Kosten an.
Sollten Sie Google reCAPTCHA einsetzen und datenschutzrechtliche Bedenken haben, kontaktieren Sie uns. Gemeinsam finden wir eine passende Lösung!
Full Service Internetagentur mit Standort in Innsbruck