Man begegnet ihnen täglich: Beim Identifizieren verzerrter Buchstaben- und Zahlenfolgen, beim Bestimmen von Bussen oder Ampeln in lästigen Bilderrätseln. Die Rede ist von Captchas: Completely Automated Public Turing test to tell Computers and Humans Apart. Captchas stellen Tests dar, um Computer (Bots) von Menschen zu unterscheiden und letztlich z. B. Webseitenbetreiber vor der Eingabe von Daten/Abfragen durch Bots zu schützen. Das Bundesverwaltungsgericht Österreich (BVerwG) führt dazu aus:
„reCAPTCHA dient dem Webseitenbetreiber zum Schutz der Website vor betrügerischen Aktivitäten, Spam und Missbrauch. Die elementare Funktion von Google reCAPTCHA besteht darin, Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend zu ermöglichen, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.“
Sofern hierbei Captchas von Drittanbietern in der Webseite eingebettet werden, kann es dabei zu einer Übertragung personenbezogener Daten der Webseitenbesucher (z. B. der IP-Adresse als personenbeziehbares Datum) an den Drittanbieter kommen. Mit der Frage, ob dies datenschutzrechtlich auf eine Einwilligung oder das berechtigte Interesse des Webseitenbetreibers gestützt werden kann, beschäftigte sich nun das österreichische BVerwG (Geschäftszahl W298 2274626-1).
Der Sachverhalt
Eine betroffene Person besuchte die Webseite einer politischen Partei, um sich als Parteimitglied zu registrieren. Hierbei hatten die Webseitenbetreiber den Google-Dienst reCAPTCHA auf ihrer Webseite eingebunden, welcher zum Zeitpunkt des Webseitenaufrufs und obwohl die betroffene Person alle Cookies deaktiviert hatte, das Cookie „_GRECAPTCHA“ auf dem Endgerät bzw. im Browser der betroffenen Person gesetzt hat. Die betroffene Person beschwerte sich über die fehlende Einholung ihrer Einwilligung dazu, die Datenübermittlung an Google und die fehlende Aufklärung über die Datenverarbeitung bei der zuständigen Aufsichtsbehörde.
Die Aufsichtsbehörde stimmte der betroffenen Person zu und stellte eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG (Österreich) durch die Webseitenbetreiber fest, wogegen diese eine Beschwerde erhoben.
Das BVerwG wies die Beschwerde der Webseitenbetreiber aus folgenden Gründen zurück:
Der auf der Webseite eingesetzte Google-Dienst reCAPTCHA setze ein Cookie (_GRECAPTCHA), das eine einzigartige Nutzer-Identifikationsnummer enthält, wodurch das Endgerät der betroffenen Person markiert wird, diese als Webseitenbesucher erkannt und eindeutig individualisiert werden kann. Die somit vorliegende Verarbeitung personenbezogener Daten müsse auf einer Rechtsgrundlage beruhen.
Weiter führte das BVerwG aus:
„Gemäß Art 5 Abs 3 der RL 2002/58/EG idF RL 2009/136/EG [über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)] müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gem der RL 95/46/EG (DatenschutzRL) ua über die Zwecke der Verarbeitung erhält, aktiv seine Einwilligung gegeben hat.“
Die betroffene Person hätte jedoch zu keinem Zeitpunkt in die Verwendung von reCAPTCHA eingewilligt, noch wurde sie darüber informiert, dass in der Website reCAPTCHA verwendet wird. Deshalb hätte die betroffene Person keine wirksame Einwilligung erteilen können.
Zu der Rechtsgrundlage des berechtigten Interessen nach Art. 6 Abs. 1 S. 1 lit f DSGVO führte das BVerwG neben dem Hinweis, dass der betroffenen Person kein berechtigtes Interesse der Webseitenbetreiber mitgeteilt wurde, aus:
„Nach Ansicht des erkennenden Senats sind Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich, weshalb kein berechtigtes Interesse der Beschwerdeführer:innen gegeben ist, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben für Betreiber:innen der Website vorteilhaft sind. Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre.“ (Hervorhebungen durch die Autorin)
Fazit
Die höchstrichterliche Rechtsprechung aus unserem Nachbarland sollte zum Anlass genommen werden, den eigenen Einsatz von reCaptcha, aber auch von anderen Drittanbieterfunktionen, wie externen Schriftarten, kritisch und unter ergänzender Berücksichtigung des deutschen TDDDG zu prüfen. Sicherlich kann man beim Einsatz eines Captchas ein gewisses Sicherheitsinteresse der Webseitenbetreiber anführen, jedoch dürfte fraglich sein, ob dieses die Umgehung eines ggf. erforderlichen Einwilligungsprozesses rechtfertigt. Je mehr personenbezogene Daten der Webseitenbesucher verarbeitet werden, insbesondere auch beim Einsatz von KI-unterstützen Diensten, desto eher spricht dies für das Erfordernis der Einwilligung in diese Datenverarbeitung. Gleichzeitig dürfte der Einsatz von Captchas auf Basis einer freiwilligen Einwilligung ad absurdum geführt werden, da ein Webseitenbesucher und im Zweifel auch ein Bot der Captcha-Nutzung schlichtweg nicht zustimmen dürfte. Würde ein Bot beispielsweise eine pauschale Ablehnung über das Cookie-Banner erteilen, wäre das Captcha im Zweifel gar nicht vorhanden.
Eine interessensgerechte und datenschutzfreundliche Lösung wäre hier z. B. ein lokal in der Webseite eingebundenes Captcha oder ein Captcha, dass über einen weisungsgebundenen Dienstleister bereitgestellt wird. Gern unterstützen wir Sie bei der datenschutzfreundlichen Ausgestaltung Ihrer Website.