reCaptcha ist ein interessanter Dienst, der von Google betrieben wird. Mit reCaptcha erhalten Webseitenbetreiber ein Instrument, das versucht zu unterscheiden, ob eine bestimmte Handlung im Internet von einem Menschen oder von einem Computerprogramm bzw. Bot vorgenommen wird. Durch dieses Tool soll ein Schutz vor Spam bzw. Bots möglich sein, da über dieses Tool Aufgaben erstellt werden, die für Roboter nur schwer zu lösen sein sollen. Wahrscheinlich ist jeder Internet-User bereits in der Situation gewesen, Captcha zu bearbeiten, also Bildrätsel zu bewältigen oder seltsam anmutende Zeichenfolgen zu erkennen und dann einzutippen.
Um eine gewisse Sicherheit einer Webseite zu erreichen, scheint dieses Google-Tool gewisse Vorteile zu haben. Aber, wie sieht die datenschutzrechtliche Betrachtung aus? Was sagen die Aufsichtsbehörden zu diesem Tool?
Zur Beantwortung dieser Fragen hat das Bayerischen Landesamt für Datenschutzaufsicht eine sehr klare Haltung formuliert. Dieses formuliert auf seiner Webseite, dass Webseiten-Betreiber ein berechtigtes Interesse daran besitzen, Captchas einzusetzen. Die Bayerische Aufsicht geht sogar noch einen Schritt weiter und formuliert, dass für Webseitenbetreiber die Einbindung von Captchas, die vor Bots schützen, verpflichtend sei, da sie die Verfügbarkeit des Dienstes sicherstellen müssten.
Konkret bezogen auf die Frage zur Einbindung von Google reCAPTCHA wird jedoch die Empfehlung ausgesprochen, dass Webseiten-Betreiber unbedingt Alternativen prüfen sollten. Bei Google reCAPTCHA besteht seitens der bayerischen Aufsichtsbehörde die Haltung, dass es Webseitenbetreibern nur schwer möglich sein wird darzulegen, wie Google die Nutzerdaten verarbeitet (beim Aktivieren des Tools Google reCAPTCHA wird in der Regel eine Verbindung zu den Servern von Google hergestellt, die eine Datenübermittlung in die USA durchführen. Somit sind auch die in der DS-GVO geltenden Anforderungen an Drittlandübermittlungen zu erfüllen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“). Das wiederum bedeutet in der Regel, dass Webseitenbetreiber nicht über die Verarbeitung der Daten, die über die Webseite generiert werden, transparent informieren können und den rechtmäßigen Einsatz von Google reCAPTCHA nicht gesichert nachweisen können.
Quelle: (https://www.lda.bayern.de/de/faq.html)