Um Webseiten vor schädlichen Bots abzusichern, können sogenannte Captcha-Systeme eingesetzt werden. Diese können Webseitenbesucher als solche identifizieren und bösartige Bots von der Webseite fernhalten. Typischerweise kommen Captcha-Systeme bei Kontaktformularen auf Webseiten vor. In der ersten Generation der Captcha-Systeme musste eine menschliche Interaktion erfolgen, bspw. eine einfache mathematische Rechnung gelöst werden. Mitterweile nutzen Captcha-Systeme künstliche Intelligenz, um bösartige Bots zu erkennen. Das System von Google (reCaptcha) ist das weltweit mit weitem Abstand verbreitetste Captcha-System. Lange Zeit war der Einsatz von Google reCaptcha datenschutzrechtlich umstritten, da personenbezogene Daten wie IP-Adressen, Cookies und weitere Rohdaten an Google übermittelt wurden. Insbesondere gibt es die Kritik, dass Google nicht transparent über die Verwendung der Daten informiert.
Neben Google reCaptcha ist auch der Einsatz von Google Fonts (Schriftarten) sowie die Einbindung von YouTube-Videos und Google Maps-Karten auf Webseiten umstritten, da auch in diesen Fällen personenbezogene Daten intransparent erhoben werden.
Dennoch wurde häufig die Verwendung der genannten externen Dienste nach dem berechtigten Interesse des Webseitenbetreibers (vgl. Art. 6 Abs. 1 lit. f DSGVO) subsumiert. In der Praxis haben viele Webseitenbertreiber aufgrund dieses Grundsatzes externe Dienste (weiterhin) auf deren Webseiten eingesetzt. Auch wir haben einige dieser Dienste, für unsere eigenen Webseiten, aber auch für Kundenprojekte, im Einsatz.
Vor kurzem hat jedoch die erste nationale Aufsichtsbehörde den Einsatz von Google reCaptcha untersagt. Außerdem wurde ein Urteil des LG München vor kurzem rechtskräftig, das im Kern die Nutzung von Google Fonts auf Webseiten als Verletzung des Persönlichkeitsrechts sieht.
Was sollte ich tun?
Um Ihre Webseite rechtssicher zu betreiben, sollte zunächst geprüft werden, ob Google reCaptcha, Google Fonts oder andere externe Dienste auf Ihrer Webseite aktiv sind. Im Internet gibt es viele Anbieter, die Webseiten kostenfrei auf DSGVO-Konformität untersuchen. Sollten externe Dienste im Einsatz sein, sollte geprüft werden, ob diese erst nach Einwilligung aktiviert werden können. Im Fall von Google reCaptcha und Google Fonts ist das technisch nicht mögich, allerdings können Einblendungen von Google Maps oder YouTube über Premium-Cookie-Plugins erst nach aktiver Zustimmung aktiviert werden:
Alternative Captcha-Systeme
Auch wenn Google reCaptcha (noch) etabliert ist, sollte der Dienst in Deutschland aufgrund der aktuellen Dynamik nicht mehr eingesetzt werden. Es gibt einige Anbieter im europäischen Raum, die Captcha-Systeme datenschutzkonform anbieten. Bei vielen Anbietern ist die Nutzung für nicht-kommerzielle Zwecke sogar kostenlos. Im kommerziellen Bereich sollten AV-Verträge mit den Anbietern geschlossen werden.
Google Fonts lokal einbinden
Sollten Google Fonts auf der eigenen Webseite zum Einsatz kommen, können diese lokal auf der Webseite installiert werden. Der Vorteil: Die Schriften werden bei einem Seitenaufruf nicht von Google-Servern, sondern von Ihrer lokalen WordPress-Installation, geladen. Nachteilig ist, dass Updates der Schriften manuell durchgeführt werden müssen und dass die Ladezeit der Webseite etwas beeinflusst werdenkann.
Bei Unklarheiten: Experten fragen
Unsere TÜV-geprüften Datenschutzbeauftragten stehen Ihnen gerne zur Verfügung, um Ihren individuellen Fall zu prüfen. Wir beraten Sie gerne und setzen Maßnahmen um, um Ihre Webseite rechtssicher zu betreiben. Schreiben Sie uns einfach an, wir stehen Ihnen gerne zur Verfügung.
