reCAPTCHA: Einwilligung erforderlich
Google reCAPTCHA schützt Webseiten vor Missbrauch, erfordert jedoch eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten wie der IP-Adresse. Das österreichische Bundesverwaltungsgericht (BVerwG) entschied in einem Fall, dass die Nutzung von reCAPTCHA ohne vorherige Einwilligung des Nutzers unzulässig ist.
Hintergrund:
Eine Webseite setzte reCAPTCHA ein, wodurch ein Cookie mit Nutzeridentifikation gespeichert wurde. Der Nutzer wurde nicht über die Datenverarbeitung informiert und hatte keine Einwilligung erteilt. Die Aufsichtsbehörde sah dies als Verstoß gegen das Recht auf Geheimhaltung, und das BVerwG bestätigte, dass reCAPTCHA nicht für den technischen Betrieb der Webseite erforderlich sei. Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO wurde abgelehnt.
Fazit:
Die Rechtsprechung des österreichischen BVerwG sollte Anlass sein, den Einsatz von reCAPTCHA und anderen Drittanbieter-Funktionen wie externen Schriftarten kritisch zu prüfen, insbesondere unter Berücksichtigung des deutschen TDDG. Obwohl ein Sicherheitsinteresse der Webseitenbetreiber angeführt werden kann, rechtfertigt dies nicht die Umgehung eines erforderlichen Einwilligungsprozesses.
Je mehr personenbezogene Daten – insbesondere bei KI-gestützten Diensten – verarbeitet werden, desto stärker spricht dies für die Notwendigkeit einer Einwilligung.
Eine datenschutzfreundliche Lösung könnte ein lokal eingebundenes Captcha oder ein weisungsgebundener Dienstleister sein. Wir unterstützen Sie gerne bei der datenschutzkonformen Gestaltung Ihrer Webseite.