| Datenschutzrechtliche Auflagen für reCAPTCHA: Warum Unternehmen auf DSGVO-konforme Lösungen umsteigen sollten. | Privacy requirements for reCAPTCHA data protection: Why companies should switch to GDPR-compliant solutions. |
| Vorsicht Ampel: Bei Online-Shops, behördlichen Webformularen oder Kundenkonten kommen oft Captcha-Systeme zum Einsatz, um maschinelle Zugriffe (Bots) abzuwehren und die Interaktion als menschlich zu identifizieren. Diese Aufgabe übernehmen häufig US-Dienste wie Google reCAPTCHA. Dabei werden umfangreiche personenbezogene Daten erfasst und auf Server in den USA übertragen – ein wachsendes Risiko angesichts der politischen Unsicherheiten unter der Trump-Administration. Dabei gibt es EU-basierte Captcha-Lösungen wie Friendly Captcha, die DSGVO-konform, komplett barrierefrei und unsichtbar im Hintergrund ohne Markieren von Autos oder Ampeln ablaufen.
Captchas sind essenzielle Bot-Schutzlösungen, die vor kritischen Cyberangriffen bei Interaktionen auf Webseiten und Apps (Registrierungen, Logins, Anfrageformulare und Online-Transaktionen) schützen. Das Bayerische Landesamt für Datenschutzaufsicht spricht sogar von einer Verpflichtung für Website-Betreibende, zur Sicherstellung der Verfügbarkeit ihrer Dienste Captchas einzusetzen. Daraus entsteht für die Website-Betreibenden eine große Herausforderung, da der meistgenutzte Lieferant von Captcha-Technologie Google mit dem Produkt reCAPTCHA ist und die damit gesammelten Daten auf US-Servern landen. reCAPTCHA erfasst Daten wie die IP-Adresse, Referrer-URL, Geräteeinstellungen, Verweildauer, Mausbewegungen, Tastatureingaben und Browserinformationen. Zusätzlich werden Cookies gesetzt, die seitenübergreifendes Tracking ermöglichen. Erhebliches Risiko für Datenübermittlung an US-Server Die Übermittlung personenbezogener Daten an Anbieter aus den USA wird aus Sicht des Datenschutzes zu einem erheblichen Risiko, da die Trump-Administration die von Präsident Biden gegebenen Garantien infrage stellt. Biden hatte das EU-US Data Privacy Framework (DPF) durch die Executive Order 14086 abgesichert. Wie alle Dekrete seines Vorgängers lässt Trump auch diese Executive Order überprüfen. Sollte dieses Dekret entfallen, wäre auch ein darauf bezogener Angemessenheitsbeschluss der EU-Kommission infrage gestellt, mit welchem den USA ein Datenschutzniveau bescheinigt wird, das dem der EU entspricht. Ein zentrales Element der Executive Order, die unabhängige Aufsichtsinstanz PCLOB, wurde Medienberichten zufolge bereits Ende Januar 2025 handlungsunfähig gemacht. In der Folge riet die schleswig-holsteinische Datenschutzbeauftragte im Handelsblatt (31.03.2025) Unternehmen, sich frühzeitig mit einer „Exit-Strategie“ bzw. alternativen Lösungen auseinanderzusetzen. Der Einsatz von reCAPTCHA ist in der EU auch heute schon mit besonderen datenschutzrechtlichen Auflagen verbunden. Die nutzenden Unternehmen müssen transparente Informationen in der Datenschutzerklärung bereitstellen, eine explizite Nutzereinwilligung einholen und das Prinzip der Datenminimierung beachten. In Frankreich und Österreich gibt es bereits Gerichtsurteile mit Strafen für Unternehmen, die Google reCAPTCHA ohne Nutzerzustimmung eingesetzt haben. DSGVO-konforme Lösungen ohne Datentransfer Angesichts der ungewissen Entwicklung unter der aktuellen US-Regierung ist ein grundlegendes Überdenken der Auswahl und Implementierung von Bot-Schutz-Technologien dringend geboten. Benedict Padberg, Geschäftsführer der Friendly Captcha GmbH, bringt es auf den Punkt: „Captcha-Technologie ist ein unverzichtbares Element von Webseiten, da sie an sicherheitskritischen Schnittstellen als Gatekeeper für E-Commerce und andere sensible Dienste fungiert. Doch ihre Nutzung muss mit den Prinzipien des Datenschutzes und der Wahrung der Privatsphäre vereinbar sein. Aufgrund der politischen Unsicherheiten sind Lösungen mit Bezug zu US-basierten Firmen mehr denn je zu hinterfragen. Die gute Nachricht ist, dass es alternative Captcha-Lösungen gibt, die DSGVO-konform, komplett barrierefrei und nutzerfreundlich sind. Unabhängig von den transatlantischen Entwicklungen können unsere Kunden gelassen in die Zukunft blicken.“ |
Beware of traffic lights: Captcha systems are often used in online stores, official web forms, and customer accounts to prevent machine access (i.e., bots) and identify human interaction. This task is often performed by U.S. services, such as Google’s reCAPTCHA. However, extensive personal data is collected and transferred to servers in the US, which is a growing risk in view of the political uncertainties under the Trump administration. There are EU-based CAPTCHA solutions, such as Friendly CAPTCHA, that are GDPR-compliant, completely barrier-free, and run invisibly in the background without marking cars or traffic lights.
CAPTCHAs are essential solutions for protecting against critical cyberattacks during interactions on websites and apps, such as registrations, logins, inquiry forms, and online transactions. The Bavarian State Office for Data Protection Supervision even states that website operators have an obligation to use captchas to ensure the availability of their services. However, this poses a major challenge for website operators because the most widely used supplier of CAPTCHA technology is Google with its reCAPTCHA product, and the data collected ends up on US servers. reCAPTCHA collects data such as IP address, referrer URL, device settings, time spent on the site, mouse movements, keystrokes, and browser information. Cookies are also set to enable cross-page tracking. Significant risk of data transfer to US servers From a data protection perspective, transferring personal data to US providers poses a considerable risk because the Trump administration is questioning the guarantees given by President Biden. Biden secured the EU-U.S. Data Privacy Framework (DPF) through Executive Order 14086. Like all of his predecessor’s decrees, Trump is having this executive order reviewed as well. If the order were to expire, the EU Commission’s related adequacy decision, which certifies that the U.S. has an equivalent level of data protection to the EU, would also be called into question. According to media reports, a central element of the executive order—the independent supervisory body PCLOB—was rendered incapable of acting at the end of January 2025. Consequently, the data protection officer for Schleswig-Holstein advised companies in Handelsblatt on March 31, 2025, to consider an „exit strategy“ or alternative solutions early on. Using reCAPTCHA already requires meeting special data protection requirements in the EU. Companies using it must provide transparent information in their privacy policies, obtain explicit user consent, and observe the principle of data minimization. In France and Austria, companies that have used Google reCAPTCHA without user consent have already faced penalties. GDPR-compliant solutions do not transfer data In view of the uncertain developments under the current US administration, a fundamental rethink of the selection and implementation of bot protection technologies is urgently required. Benedict Padberg, the managing director of Friendly Captcha GmbH, sums it up: „Captcha technology is an indispensable element of websites, as it acts as a gatekeeper for e-commerce and other sensitive services at security-critical interfaces. However, it must be used in a way that is compatible with the principles of data protection and privacy. Due to political uncertainties, solutions related to US-based companies must be scrutinized more than ever. The good news is that there are alternative CAPTCHA solutions that are GDPR-compliant, completely barrier-free, and user-friendly. Regardless of transatlantic developments, our customers can look to the future with confidence.” |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de