Friendly CAPTCHA ist DSGVO-konform – die Alternative zu Google reCAPTCHA

reCAPTCHA und Friendly Captcha - die DSGVO-konforme Alternative
JohannaVon Johanna|5. Dezember 2022

Alles was du zu CAPTCHA und Datenschutz wissen musst.

Captchas sind im Internet allgegenwärtig und jeder Benutzer ist damit schon einmal in Berührung gekommen. Der mitunter bekannteste Captcha-Dienst ist Google reCAPTCHA, der allerdings immer wieder in der Kritik steht, da dieser personenbezogene Daten an die USA schickt und damit nicht DSGVO-konform ist.

 

Die DSGVO hat in den letzten Monaten dazu besonders an Bedeutung zugenommen, nachdem es mehrere Abmahnwellen bzgl. der Nutzung von Google Fonts gab. Daher haben wir uns nach einer DSGVO-konformen Alternative zu Google reCAPTCHA umgeschaut und erklären, warum der Google Dienst überhaupt so problematisch ist.

 

Mehr Informationen zur rechtlichen Perspektive bzgl. der Weiterleitung personenbezogener Daten an die USA findest du in unserem Gespräch mit Rechtsanwalt Marcus Dury.

1. Was ist Captcha eigentlich?

Das sog. Captcha ist ein Test, mit dem festgestellt werden kann, ob der interagierende Nutzer ein Computer oder ein Mensch ist. Das Wort „Captcha“ bedeutet „Completely Automated Public Turing Test to tell computers and humans apart“. Die meisten von uns werden den Captcha-Test wohl unter „Wähle alle Felder mit Fußgängerüberwegen/ Ampeln aus“ kennen.

 

Der Begriff des Captcha wurde durch Forscher aus Pitsburgh geprägt, um jene Programme zu beschreiben, die eingegebene Daten zwischen Maschine und Mensch differenzieren können. Die Idee dahinter war, verzerrte Buchstaben und Zahlen von den Benutzern entziffern zu lassen, da diese von Computern nicht erkannt bzw. gelöst werden können. Diese werden heute hauptsächlich verwendet, um Spam und automatisches extrahieren von Daten auf Webseiten zu vermeiden. Durch die Unterscheidung und Erkennung von nicht-menschlichen Interaktionen lassen sich Aktivitäten von Spam-Bots, Fake-Usern, Click-Fraud und DDos-Attacken verhindern. Sie werden bei vielen Webseiten verwendet, wie zum Beispiel bei Onlineumfragen oder Registrierungsformularen.

Google recaptcha der Fußgängerüberweg
Eins der bekanntesten Captchas, die nicht selten auch Verwirrung stiften.

‼️ Die Captchas werden allerdings auch von Hackern genutzt, um Fake-Webseiten realistischer aussehen zu lassen.

2. Google reCAPTCHA

Das bekannteste und die meist verwendete Captcha-Lösung ist Google reCAPTCHA. Wie schon am Titel zu vermuten ist, handelt es sich hierbei um eine Google Anwendung, die kostenlos benutzt werden kann.

Google reCAPTCHA funktioniert für die Benutzer relativ einfach. Entweder erscheint das Captcha als Kontrollkästchen, in welchem ein Haken zu Verifizierung gesetzt werden muss, als Rätsel mit vielen kleinen Bildern oder das Programm arbeitet vollständig im Hintergrund. In jedem Fall bedarf es vom Benutzer das Lösen einer Erkennungsaufgabe, sofern die Webseite den User für einen Roboter hält.

Google recaptcha Logo

Google hat sein reCaptcha Tool bereits mehrfach optimiert, sodass es inzwischen verschiedene Versionen des Tools gibt. Die aktuellste Version ist reCAPTCHA Enterprise aus dem Jahr 2020, mit Verbesserungen der Nutzerfreundlichkeit und Barrierefreiheit.

 

Wie funktioniert Google reCAPTCHA?

reCAPTCHA sammelt und verfolgt so viele Informationen wie möglich über das Nutzungsverhalten des Benutzers.

Darunter fallen zum Beispiel IP-Adresse, Datum, Screenshots des Browserfensters, Referrer URL, Browser Plugins, Infos über das Betriebssystem (Windows, Linux, iOS), ggf. Cookies, CSS Informationen der Seite, Mausbewegungen und Tastaturanschläge, Verweildauer und Einstellungen des Nutzergeräts.

 

Durch alle diese gesammelten Informationen stellt reCAPTCHA eine Vermutung über den Nutzer auf, ob dieser ein Mensch oder ein Roboter ist. Kann reCAPTCHA nicht genügend Daten sammeln und so keine klare Vermutung über eine Person aufstellen, wird dieser dazu aufgefordert, eines der bekannten Bildrätsel zu lösen und sich als Mensch zu verifizieren.

Mittlerweile gibt es auch neue Versionen der Bildrätsel- oder verzerrten Schrift-Captchas, bei denen der Nutzer mittlerweile nur noch ein Häkchen zur Verifizierung setzen muss oder der Prozess, des sog. Invisible reCaptcha, sogar ganz im Hintergrund abläuft. Dieser ist in der Regel für den Benutzer unsichtbar.

 

Ist reCAPTCHA DSGVO-konform?

Was reCAPTCHA betrifft, legt Google die Datenschutzerklärung nicht offen, weswegen nicht klar ist, was genau mit den gesammelten Daten passiert. reCAPTCHA kann allerdings durch die Einbindung auf einer Webseite auf alle Cookies zugreifen, um Nutzer möglicherweise auch auf anderen Webseiten zu verfolgen, die nicht zu Google gehören.

 

Nach Auffassung der bayerischen Datenschutzbehörde ist reCAPTCHA daher nicht DSGVO-konform. Bislang kann aus der allgemeinen Datenschutzerklärung von Google lediglich erschlossen werden, dass Daten wie allgemeine Nutzungsdaten wie Typ und Einstellungen des Browsers, Typ und Einstellungen des Geräts, das Betriebssystem, Informationen zum Mobilfunknetz, die Telefonnummer sowie die Versionsnummer der App und die IP–Adresse des Nutzers erhoben werden. Spezifischere Angaben zur Weiterverarbeitung der personenbezogenen Daten durch Google reCAPTCHA werden in der Datenschutzerklärung allerdings nicht angegeben, was jedoch nach Regelung der DSGVO Vorschrift ist.

 

„Webseiten-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

3. Friendly Captcha – die DSGVO-konforme Alternative

Friendly Captcha Logo

Friendly Captcha ist eine neuere Captcha Lösung mit Sitz in der EU (München). Das Unternehmen wurde von dem „Good Company Builder“ Interlink entwickelt und konzentriert sich auf Datenschutz und Barrierefreiheit der Benutzer. Friendly Captcha gilt aktuell als die einzige ausgefeilte Lösung auf dem Markt, die einen vollständigen Schutz der Privatsphäre gewährleistet. Somit ist das Tool vollständig DSGVO-konform und benötigt lediglich die Information des Benutzers – aber keine Zustimmung – über die Verwendung des Tools.

Wie funktioniert Friendly Captcha?

Friendly Captcha lässt nicht den Besucher manuelle Bilderrätsel lösen, sondern generiert ein kryptografisches Rätsel, welches vom jeweiligen Browser vollständig im Hintergrund gelöst wird. Anhand der gesammelten technischen Signalen, kann die Schwierigkeit angepasst werden, um möglichen Bots das Weiterkommen zu erschweren. Das Lösen des Rätsels dauert normalerweise nur wenige Sekunden und der Benutzer sollte in der Regel davon gar nichts mitbekommen.

So sieht der Friendly Captcha Test aus

Die Daten, die Friendly Captcha sammelt, verlassen nach Angaben von Friendly Captcha, nicht die EU. Die personenbezogene Datenverarbeitung soll transparent gestaltet sein und es werden ebenso keine Cookies zur Verfolgung der Benutzer verwendet.

 

Ist Friendly Captcha DSGVO-konform?

Recherchen nach zu Urteilen ist Friendly Captcha tatsächlich eine der wenigen Captcha-Möglichkeiten, die von Haus aus DSGVO-konform gestaltet sind. Das Friendly Captcha-System basiert hier auf der Blockchain Technologie und ist damit sowohl Schrems II, als auch DSGVO-konform. Bei der Benutzung des Captchas werden weder Cookies verwendet, noch persönliche Daten von Nutzern gespeichert.

„Standardmäßig werden Anfragen in dem Point-of-Presence verarbeitet, der dem Zugriffspunkt des Endnutzers am nächsten ist.“

 

Preise

Einblicke in die Preistabelle von Friendly Captcha
Bei Friendly Captcha gibt es verschiedene Preiskategorien.

Friendly Captcha kann je nach Nutzung der Webseite kostenlos, aber auch kostenpflichtig zwischen 9 und 200 Euro im Monat, verwendet werden.

4. Captchas in die Webseite einbauen

Die Einbindung von Captchas in deine Webseite ist je nach Anbieter und Produkt anders. Deswegen geben wir an dieser Stelle keine präzise Anleitung vor, da dies jeweils ein individueller Prozess ist. Das Widget lässt sich aber meist in Form eines Codes oder über dein Java-Script-Bundle in die Webseite integrieren. Dazu kannst du dich natürlich an den Entwickler deines Vertrauens richten, da die Aufgabe etwas komplexer werden könnte.

 

Friendly Captcha gibt es beispielsweise auch kostenlos als Plugin bei WordPress. Informationen über die Verwendung des Plugins und über die allgemeine Integration des Codes findest du bei Friendly Captcha.

Der Friendly Captcha Code zur Einbindung in deine Webseite
Der Code von friendly Captcha, den du in deine Webseite einbauen kannst.

Bei WordPress selbst gibt es verschiedene Plugins zur Verwendung von Captcha-Diensten. So findest du hier beispielsweise auch ein Plugin, welches auf die Verwendung von WooCommerce optimiert ist. Grundsätzlich erfolgt der Prozess aber meist über die manuelle Integration eines Codes.

5. Fazit

Es gibt eine Vielzahl unterschiedlicher Captcha Dienste, die alle das selbe Ziel haben: Bots und Spam von der eigenen Webseite fernzuhalten. Der bekannteste Dienst ist Google reCAPTCHA, der allerdings immer wieder in der Kritik steht, da er personenbezogene Daten an die USA schickt und damit nicht DSGVO-konform ist.

Im Gegenteil dazu ist der Captcha Dienst Friendly Captcha als einer der wenigen von Haus aus schon DSGVO-konform. Des Weiteren müssen die Nutzer damit heute keine kuriosen Bildrätsel mehr lösen, sondern der Captcha Test findet im Hintergrund völlig automatisiert statt.

 

Wir finden, dass Friendly Captcha in der aktuellen problematischen Lage mit DSGVO-konformen Möglichkeiten eine tolle Alternative zum typischen Google reCAPTCHA darstellt.

HostPress GmbH hat 4,93 von 5 Sternen 414 Bewertungen auf ProvenExpert.com