Unser Artikel "Formulare vor Fake-Anmeldungen schützen" hat viele Reaktionen und Fragen bewirkt. Eine der häufigsten Fragen war, welche Captcha's in Frage kommen – und ob jenes von Google (ReCAPTCHA) bedenkenlos eingesetzt werden kann.

Hintergrund: Was kann das ReCAPTCHA von Google?

ReCAPTCHA ist vermutlich das bekannteste und am häufigsten eingesetzte Captcha. In der Version 2 muss man aus einer Auswahl von 9 Bildern meist 3 korrekt identifizieren (Zebrastreifen, Boote, Hügel, usw) und somit beweisen, dass man kein Bot sondern ein Mensch ist. Danach lässt sich das Formular abschicken.

Das Problem: Keiner mag diese Bilderrätsel. Sie halten auf, sind oft nicht eindeutig und nerven einfach.

Für die Version 3 von ReCAPTCHA hat Google den Dienst deshalb grundlegend überarbeitet. Mit Hilfe von künstlicher Intelligenz werden bereits beim Aufruf einer Seite im Hintergrund Indizien gesammelt, um zwischen automatisierten Programmen und echten Menschen unterscheiden zu können.

Dabei werden zum Beispiel die Mausbewegungen und Tastatur-Eingaben des Besuchers erfasst und analysiert. Der große Vorteil ist, dass in vielen Fällen Google bereits einen Bot bzw. Mensch erkennen konnte, wenn das Anmeldeformular erst aufgerufen wird und man daher gar nicht erst ein Captcha lösen muss; es reicht dann einfach das Anhaken einer Checkbox, in der ein User bestätigt, dass er kein Bot ist – ganz ohne nerviges Bilderrätsel.

So weit, so gut. Doch natürlich hat die Sache einen Haken.

Der Haken ist der Datenschutz.

Das ReCAPTCHA von Google hat ein grundlegendes Problem: Es ist nicht mit der DSGVO in Einklang zu bringen.

Denn es werden sämtliche Interaktionen der User erfasst und analysiert, ohne dass diese darüber informiert werden und ohne jede Zustimmung. Es werden offenbar sogar versteckte Screenshots erstellt und die Informationen werden mit Google-Accounts verknüpft, wenn ein User beim Besuch der Website in einen Account eingeloggt ist (was beispielsweise automatisch der Fall ist, wenn man ein Android-Smartphone verwendet).

Darüber hinaus ist unklar, wo und wie lange diese Daten gespeichert werden. Und es werden von div. Google-Firmen wie Doubleclick Werbecookies gesetzt, die schlussendlich für personalisierte Werbung herangezogen werden.

Dabei hat gerade erst kürzlich das Verwaltungsgericht Wiesbaden geurteilt, dass deutsche Websites keine US-Cookies setzen dürfen.

Fazit: ReCAPTCHA ist nicht DSGVO-konform!

Etwas provokant formuliert: ReCAPTCHA ist für Google eine riesige Datensammel-Maschine, um wesentlich mehr über alle möglichen User zu erfahren und um dann personalisierte Werbung ausspielen zu können. Für den Website-Betreiber ist das kostenlos, bezahlt wird der ganze Aufwand durch die Daten der User.

Das ist ohne Zweifel nicht Datenschutz-konform. Unternehmen, die ReCAPTCHA einsetzen, verstoßen damit gegen die DSGVO und riskieren entsprechende Strafen.

Es gibt durchaus Alternativen.

Auch wenn ReCAPTCHA das bekannteste Tool in diesem Bereich ist: Es gibt durchaus Alternativen. So hat der schweizer Provider Cyon beispielsweise eine übersichtliche Liste von Captcha-Alternativen zusammengestellt, mit vielen Links für die bekanntesten Content-Management-Systeme wie WordPress, Joomla oder TYPO3.

Eine weitere – und recht simple – Alternative ist auch ein "Honeypot": Dabei wird in das Formular ein verstecktes Feld eingebunden, das durch einen Menschen nicht ausgefüllt werden kann, weil es für ihn nicht sichtbar ist; viele Bots würden jedoch auch dieses Feld im HTML-Code sehen und ausfüllen – und tappen damit in die Falle und können so rausgefiltert werden.

Das ist zwar kein 100% perfekter Schutz vor den cleversten Bots, aber für die allermeisten reicht das und kein User wird durch irgendwelche Rätsel genervt.

Das funktioniert auch bei Dialog-Mail.

In unserem Artikel "Erweiterung der Formular-Spam Bekämpfung" beschreiben wir, dass wir auch diese Technologie einsetzen. Daneben führen wir mehrere Plausibilitätsüberprüfungen durch (zum Beispiel messen wir die Zeit zwischen Aufruf und Abschicken eines Formulars).

In Summe lassen sich damit die allermeisten Spam-Bots effektiv bekämpfen. DSGVO-konform.