Was sind CAPTCHA? Ein reCaptcha wird auf Websites verwendet, um festzustellen, ob ein Mensch oder eine Maschine einbezogen ist. In der Regel dient dies zur Prüfung, von wem Eingaben in Internetformulare erfolgt sind, weil Roboter hier oft missbräuchlich eingesetzt werden. Viele kennen die Mosaikkacheln auf dem Bildschirm und die entsprechenden Aufgaben: Alle Bilder anklicken auf denen ein Bus oder eine Ampel zu sehen ist. Alternativ gibt es die verzerrten Buchstaben-Kombination. Die Fortschritte bei der Entwicklung Künstlicher Intelligenz (KI) erfordern allerdings eine Weiterentwicklung der CAPTCHAS.
Was gilt es zu beachten? Das vielfach verwandte Tool reCaptcha des US-Riesen Google wurde bereits einer Fortentwicklung unterzogen. Es läuft inzwischen entweder komplett unsichtbar im Hintergrund oder der Nutzende muss lediglich ein Häkchen setzen, um zu bestätigen, dass man kein Roboter ist. Die reCaptcha V3 Simulation von Google überprüft die Menschlichkeit anhand einer verhaltensbasierten Analyse. Eine Information darüber, dass das eigene Surf- und Klickverhalten beobachtet und ausgewertet wird, fehlt in der Regel. Gleichfalls problematisch ist aus Sicht von Datenschützern, dass bei reCaptcha ein Datentransfer in die USA stattfindet. Die USA werden als unsicheres Drittland nach den Vorgaben der DSGVO eingestuft, was mindestens eine Einwilligungsabfrage erforderlich macht.
Was ist zu tun? Die Nutzung von CAPTCHAS ist sinnvoll, um Risiken durch den Angriff von Bots zu verhindern, doch sollten hierbei verschiedene Aspekte beachtet werden. So ist vor dem Einsatz die Qualität des Dienstes zu prüfen. Hierzu zählt auch die Rechtssicherheit, so dass durchaus auch Dienste in Erwägung zu ziehen sind, die vielleicht nicht kostenfrei wie der Google-Dienst sind, aber dafür datenschutzrechtlich besser zu bewerten sind. Es gibt datenschutzrechtlich empfehlenswerte Dienste.
Fazit: „Der Internet Safer Day ist ein guter Zeitpunkt, um den CAPTCHA-Dienst der eigenen Website einem Stresstest zu unterziehen und gegebenenfalls nachzuschärfen. Dabei sollte man wissen, dass der DSGVO-konforme Umgang mit Daten möglich ist und nutzerfreundlich ausgestaltet werden kann“, betont Dr. Jörn Voßbein und hat dabei andere CAPTCHA-Dienstleister im Blick als den US-Giganten Google.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de