Google reCAPTCHA: Einwilligung erforderlich

Das Bundesverwaltungsgericht Österreich entschied am 13.09.2024 (Link), dass Verantwortliche bei dem Einsatz von Google reCAPTCHA v3 auf Webseiten eine Einwilligung der Webseitenbesucher:innen einholen müssen. Das Gericht verneinte ein berechtigtes Interesse der Webseitenbetreiber:innen (nachfolgend „Verantwortliche“) i.S.v. Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Daher sei die Datenverarbeitung bei einer fehlenden Einwilligung nicht rechtmäßig.

Technischer Hintergrund

Was ist reCAPTCHA und ein CAPTCHA allgemein?

Google reCAPTCHA ist ein Captcha-Dienst, der seit 2009 von der Google LLC betrieben wird. Ein CAPTCHA ist eine bekannte Methode zur Bot-Erkennung auf Webseiten und dient den Webseitenbetreiber:innen zum Schutz der Webseite vor betrügerischen Aktivitäten, Spam und Missbrauch. Bei einem klassischen CAPTCHA muss der Webseitennutzer zum Beispiel eine Reihe von Buchstaben, die ihm verzerrt angezeigt werden, erkennen und sie anschließend in ein Feld eingeben. Demgegenüber analysiert reCAPTCHA das Nutzerverhalten im Hintergrund, ohne dass der Besucher aktiv ein CAPTCHA lösen muss.

Wie funktioniert reCAPTCHA v3?

Wird reCAPTCHA v3 auf einer Webseite ausgeführt, setzt es dabei einen Cookie. reCAPTCHA v3 sammelt Nutzerinformationen, um eine Risikoanalyse durchführen zu können. Zudem wird das Endgerät durch den Cookie mit einer Nutzer-Identifikationsnummer markiert. Für die Analyse des Verhaltens werden verschiedene Signale, wie Mausbewegungen, Tastaturanschläge, Browserinformationen etc. ausgewertet, um darauf basierend einen Risiko-Score erstellen zu können. Dieser Risiko-Score sagt aus, mit welcher Wahrscheinlichkeit der Nutzer ein Bot ist. Anhand des Scores können die Betreiber:innen von Webseiten entscheiden, ob sie beispielsweise den Zugriff auf die Webseite verweigern, da ein Bot hinter dem Nutzer vermutet wird oder ob weitere Überprüfungen des Nutzers stattfinden sollen.

Die Entscheidung

Sachverhalt: Worum ging es?

In dem Rechtsstreit vor dem Österreichischen Bundesverwaltungsgericht (BVwG, Erkenntnis v. 13.09.2024 – W298 2274626-1/8E) setzten die Verantwortlichen bei dem Besuch der Webseite ein Google-reCAPTCHA-Cookie (_GRECAPTCHA) auf dem Endgerät der Besucher:innen. Dabei erhielten diese keine Möglichkeit, dem reCAPTCHA zu entgehen, da es bereits auf der Startseite der Webseite gesetzt wurde. Zudem informierte die Verantwortliche nicht über die Verwendung von reCAPTCHA. Das Gericht hatte darüber zu entscheiden, ob durch die Verwendung der Google-Dienste, insbesondere reCAPTCHA, eine unrechtmäßige Datenverarbeitung stattgefunden hat.

Das Urteil

Das Bundesverwaltungsgericht Österreich (BVwG) stellte zunächst fest, dass Cookies wie _GRECAPTCHA Daten speichern, die Webseitenbesucher:innen identifizierbar machen, weshalb es sich um personenbezogene Daten nach der DSGVO handelt. Die Betreiber:innen der Webseite wurden vom Gericht als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO eingestuft. Sie selbst bestimmten die Zwecke (wie den Schutz vor Bots) und die Mittel (wie den Einsatz von Google reCAPTCHA) für die Datenverarbeitung.

Eine aktive Einwilligung der Webseitenbesucher:innen in die Datenverarbeitung haben die Verantwortlichen nicht eingeholt. Daher kam im konkreten Fall lediglich die einzelfallbezogene Interessensabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO für die Rechtfertigung des Google reCAPTCHA in Frage. Deren Voraussetzungen lagen aber nicht vor:

  1. Die Datenverarbeitung war nach Auffassung der BVwG bereits nicht erforderlich. Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind zwar für das Verhindern von Bots auf Webseiten von Vorteil, allerdings ist die Implementierung von reCAPTCHA für den Betrieb der Webseite technisch nicht notwendig. Die Cookies haben keinen Einfluss auf die Funktionalität der Webseite.

Hinweis: Webseitenbetreiber:innen haben daher – folgt man der Auffassung des Bundesverwaltungsgerichts Österreich – kein berechtigtes Interesse für den Einsatz von reCAPTCHA. Der Einsatz von reCAPTCHA erfordert daher stets die Einholung einer Einwilligung.

  1. Ferner haben die Verantwortlichen auch mangels Information über ihr mit der Datenverarbeitung verfolgtes berechtigtes Interesse gegen die Informationspflichten aus Art. 13 DSGVO verstoßen.

Besondere Anforderungen bei Cookies nach § 25 TDDDG

Nach § 25 Abs. 1 Satz 1 TDDDG, der auf Art. 5 Abs. 3 der ePrivacy Richtlinie (RL 2002/58/EG) basiert und daher in allen EU Mitgliedsstaaten in ähnlicher Form existieren sollte, ist die Speicherung von Informationen auf einer Endeinrichtung von Webseitenbesucher:innen, wie z.B. in Cookies, oder der Zugriff auf Informationen, die bereits auf der Endeinrichtung gespeichert sind, nur zulässig, wenn die Webseitenbesucher:innen auf der Grundlage von klaren und umfassenden Informationen eingewilligt haben.

Der durch reCAPTCHA v3 gesetzte Cookie erfordert daher eine Einwilligung nach § 25 Abs. 1 Satz 1 TDDDG. Da dieser Cookie nach Auffassung des BVwG gerade nicht technisch für den Betrieb der Webseite unbedingt erforderlich, greift auch keine Ausnahme vom Einwilligungserfordernis. Die Einwilligung muss vor dem Setzen des Cookies eingeholt werden und ausdrücklich (Opt-In) erfolgen. Dies kann beispielsweise über ein Consent Management Tool erfolgen.

Auswirkungen der Entscheidung

Die Entscheidung des österreichischen Bundesverwaltungsgerichts hat weitreichende Konsequenzen. Folgt man der Entscheidung, müssen Webseitenbetreiber:innen stets eine wirksame Einwilligung in die Verwendung von reCAPTCHA v3 einholen, bevor ein Cookie gesetzt wird.

Dies hat aber zur Folge, dass reCAPTCHA nicht genutzt werden kann, wenn Nutzer:innen die Einwilligung verweigern. Diesen dürfen aber bei Verweigerung keine Funktionalitäten im Rahmen einer Vertragserfüllung vorenthalten werden, da der Einsatz von reCAPTCHA gerade als nicht technisch notwendig eingestuft wurde. Eine erteilte Einwilligung wäre wegen des Verstoßes gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO nicht freiwillig, da für reCAPTCHA Daten verarbeitet würden, die technisch nicht notwendig und somit für die Erfüllung eines Vertrages nicht erforderlich sind.

Dies gilt auch für vorvertragliche Verarbeitungen wie ein Kontaktformular. Dafür könnte den Webseitenbesucher:innen eine Alternative in Form einer E-Mail-Adresse angeboten werden. Die Webseitenbesucher:innen hätten so eine andere Kontaktmöglichkeit und eine Einwilligung wäre hinsichtlich dieses Punktes freiwillig. Dies kommt aber bei Login-Formularen für einen Kundenbereich nicht in Betracht.

Fehlende Auseinandersetzung mit der technischen Erforderlichkeit

Die Entscheidung geht nicht näher auf die Frage der technischen Erforderlichkeit von reCAPTCHA ein. Gerade dieser Punkt bietet aber viel Diskussionspotential: Webseitenbetreiber:innen müssen sich effektiv vor automatisierten Abfragen schützen können. Dazu könnten zwar auch herkömmliche Captcha-Dienste genutzt werden, die ohne das Setzen eines Cookies auskommen. Diese werden jedoch mit zunehmender Verbesserung von bilderkennenden KI immer unzuverlässiger, bis irgendwann nicht mehr zwischen Bot und Mensch unterschieden werden kann. Dies könnte dann den Betrieb bestimmter Funktionen einer Website, wie z.B. eines Kontaktformulars, unmöglich machen, da die Seite sonst mit automatisierten Anfragen überschwemmt werden könnte.

Würde man reCAPTCHA jedoch als technisch erforderlich einstufen, könnte die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO anders ausfallen. Das gleiche gilt für die Notwendigkeit einer Einwilligung nach § 25 Abs. 1 Satz 1 TDDDG aufgrund der Ausnahme bei einer unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TDDDG, sofern es sich um einen von Webseitenbesucher:innen ausdrücklich gewünscht digitalen Dienst handelt.

Umsetzungshinweise

Webseitenbetreiber:innen, die auf Nummer sicher gehen wollen, sollten daher bis zur Klärung von einem höheren Gericht, wie dem EuGH,

  1. von der Nutzung von reCAPTCHA absehen,
  2. andere Captcha-Dienste ohne Cookies verwenden oder
  3. für die betroffenen Funktionen Alternativen anbieten, wie eine E-Mail-Adresse anstelle eines Kontaktformulars.