Das BVerwG hat in seinem Erkenntnis W298 2274626-1/8E festgestellt, dass die Verwendung von Google reCAPTCHA ohne vorherige Einwilligung der Nutzer gegen die DSGVO verstößt. In der Entscheidung wird festgehalten, dass dabei personenbezogene Daten wie IP-Adresse und Browserinformationen automatisch an Google übertragen werden.
Laut BVerwG kann diese Datenverarbeitung nicht auf berechtigtes Interesse gemäß Art. 6 (1) lit. f DSGVO, sondern nur auf eine Einwilligung gemäß Art. 6 (1) lit. a DSGVO (z. B. durch ein Opt-in-Banner oder eine Checkbox beim gesicherten Formular) gestützt werden:
"Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre."
Aus unserer Sicht wäre eine Berufung auf berechtigtes Interesse durchaus möglich. Der Einsatz eines Spam-Schutzes nur mit vorheriger Einwilligung ist ja weder wirksam noch sinnvoll. Trotzdem kann es durch dieses Urteil passieren, dass der Einsatz von Google reCAPTCHA zu Abmahnungen führt. Es gibt Möglichkeiten, Google reCAPTCHA datenschutzkonform einzubinden, allerdings entstehen dadurch neue Hürden für dich als Nutzer, da Formulare nur noch abgesendet werden können, wenn du vorher einwilligst.
Als Alternative empfehlen wir die datenschutzfreundliche Variante Friendly Captcha. Friendly Captcha ist DSGVO-konform und mit keinerlei Hürden für dich verbunden, da es – genau wie Google reCAPTCHA – im Hintergrund läuft. Für die Nutzung fallen allerdings Kosten an.
Solltest du Google reCAPTCHA einsetzen und datenschutzrechtliche Bedenken haben, kontaktiere uns. Gemeinsam finden wir eine passende Lösung!
