Die Welt der Captchas: Zwischen Sicherheit und Datenschutz
„Ich bin kein Roboter“ – mit Sicherheit ist auch Ihnen diese Phrase schon einmal begegnet, nachdem Sie bei einem Online-Formular Ihre Daten angegeben haben. Dabei handelt es sich um sogenannte Captchas: Bilder-, Buchstaben- oder Zahlenrätsel, die echte Menschen von Maschinen unterscheiden sollen – und für die Nutzer*innen oft unheimlich lästig sind. Doch so nervig Captchas auch sind, so notwendig sind sie in der zunehmend digitalisierten Welt geworden, denn sie schützen Unternehmen vor Spam, automatisierten Angriffen und anderen bösartigen Aktivitäten. Gleichzeitig sollen aber auch die personenbezogenen Daten der Website-Nutzer*innen geschützt werden. Wie dieser Spagat gelingen kann und warum besonders amerikanische Captcha-Anbieter hinsichtlich des Datenschutzes nicht die erste Wahl sind, lesen Sie hier.
Was sind Captchas?
Captchas (Completely Automated Public Turing tests to tell Computers and Humans Apart) sind Sicherheitsmechanismen, die darauf abzielen, zwischen menschlichen Nutzer*innen und Bots zu unterscheiden. Sie kommen häufig bei Kontaktformularen, Bezahlprozessen oder Anmeldeseiten zum Einsatz und fordern die Nutzer*innen zu einer Aktion auf, die für einen Menschen einfach, für einen Bot jedoch schwer nachzuahmen ist. Während die wenigsten Menschen wissen, wofür Captchas gut sind, sind die meisten mit deren Funktionsweise bestens vertraut: Mal sind es verzerrte Buchstaben oder Zahlen, die in einem Feld eingegeben werden müssen, oder Sie müssen Zebrastreifen, Brücken oder Hydranten auf Bildern anklicken. So soll bewiesen werden, dass Sie kein Roboter sind.
Prominente Anbieter von Captchas
Zu den bekanntesten Anbietern von Captchas gehören Google reCAPTCHA, hCaptcha und Solve Media. Google reCAPTCHA ist zweifellos der Platzhirsch und mit seinem Tool weit verbreitet, während hCaptcha sich aufgrund seiner kostenfreien Nutzung vor allem bei kleineren Unternehmen etabliert hat. Die Funktionsweise der Captchas ist bei allen Anbietern etwa gleich: Website-Besucher*innen müssen Bilderrätsel lösen, Texte erkennen oder Kontrollkästchen anhaken. Da viele Nutzer*innen diese Aufgaben als mühselig empfinden und die Nutzer*innenfreundlichkeit damit stark eingeschränkt wird, haben einige Anbieter wie reCAPTCHA und hCaptcha ihre Tools weiterentwickelt, sodass weniger oder keine Aufgaben mehr gelöst werden müssen. Das ist möglich, indem den Nutzer*innen im Hintergrund eine unsichtbare Punktzahl zugewiesen wird, je nachdem, wie „menschlich“ ihr Verhalten ist. Praktisch – zumindest auf den ersten Blick: Wenn es um eine solche Analyse des Nutzer*innenverhaltens geht, kommen nämlich nicht zu Unrecht Bedenken in puncto Datenschutzkonformität auf.
Datenschutzbedenken bei US-Anbietern
Sowohl reCAPTCHA als auch hCaptcha sind amerikanische Unternehmen und eine Übermittlung von Nutzer*innendaten in die USA kann nicht ausgeschlossen werden, wenngleich beide Unternehmen in ihrer Datenschutzerklärung zumindest transparent offenlegen, welche Daten gesammelt, verarbeitet und sogar an Dritte weitergegeben werden. Für europäische Unternehmen, die auf die Captcha-Lösungen dieser Anbieter setzen, bedeutet das einen zusätzlichen Aufwand, weil die Nutzer*innen dafür ihre ausdrückliche Einwilligung erteilen müssen. Denn wenn das Verhalten der User*innen im Hintergrund bewertet wird, heißt das auch, dass alle Bewegungen auf der Website überwacht werden. So können unter anderem folgende Daten erfasst werden:
- IP-Adresse
- Referrer-URL
- Betriebssystem
- Cookies
- Mausbewegungen/ Tastaturanschläge
- Verweildauer
- Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)
DSGVO-konforme Alternativen
In diesem Spannungsfeld zwischen Wirksamkeit und Datenschutz hat sich eine österreichische Lösung etabliert, die Datenschutz und Sicherheit miteinander vereint: Captcha.eu. Die österreichische Alternative steht ihren amerikanischen Konkurrenten um nichts nach, denn auch hier sind Bilderrätsel und mathematische Aufgaben für die Nutzer*innen bereits Geschichte. Was es von anderen Lösungen abhebt: Es werden weder personenbezogene Nutzer*innendaten erhoben noch Cookies gesetzt. Stattdessen erfolgt die Überprüfung – ähnlich wie bei reCAPTCHA v3 – barrierefrei im Hintergrund, indem dem Rechner eine Aufgabe gestellt wird, von der die Nutzer*innen im Normalfall nichts bemerken.
Captchas sind ein notwendiges Übel im Kampf gegen automatisierte Angriffe. Mit modernen Anbietern von Captchas können sich Unternehmen effektiv vor Bots und Spam schützen, ohne ihre Nutzer*innen zu stören. Jedoch sollten Unternehmen darauf achten, einen Anbieter wie captcha.eu zu wählen, der transparent ist und klare Informationen darüber gibt, welche Daten erfasst und wie diese verwendet werden. Zudem empfiehlt es sich, die Datenschutzbestimmungen des Anbieters regelmäßig zu überprüfen und einen Datenschutzhinweis auf der Website einzubinden. So können Unternehmen gewährleisten, dass das verwendete Captcha datenschutzkonform ist und die Privatsphäre der Nutzer*innen geschützt wird.