Nachsicht bei Google reCAPTCHA

CAPTCHA ist eine Variante des Turing-Tests, um festzustellen, ob ein Besucher einer Webanwendung eine reale Person ist. Das Prinzip von CAPTCHA besteht darin, die ideale Aufgabe zu stellen, die für Menschen leicht zu lösen ist, für Maschinen (Bot) hingegen sehr schwierig. Vor allem sollten CAPTCHAs zum Schutz vor Ressourcenmissbrauch und Roboterbetrug eingesetzt werden und sind als eine Art von Sicherheitsschutz-Tool bekannt.

Mit der rasanten Entwicklung von künstlicher Intelligenz und maschinellem Lernen wurde diese traditionelle Authentifizierungsmethode in den vergangenen Jahren wiederholt geknackt. In diesem Sinne hat Google 2013 seine neue Generation von CAPTCHA-Diensten veröffentlicht – reCAPTCHA v2, die das traditionelle CAPTCHA-Arbeitsprinzip durch Verhaltensanalyse und mehr Browserinteraktion ersetzt. Ziel ist es, unangenehme Benutzererfahrungen vollständig zu eliminieren und gleichzeitig Menschen und Roboter besser zu identifizieren.

In der Praxis klickt der Besucher auf das Kästchen “Ich bin kein Roboter”, die Informationen wie IP-Adresse, lokale Einstellungen, Mausbewegungen, Verweildauer auf der Website, usw. werden auf den Google-Servern hochgeladen und dort analysiert, um festzustellen, ob der Eigentümer der Informationen eine reale Person ist. Im November 2018 aktualisierte Google reCAPTCHA erneut und veröffentlichte die Enterprise-Version reCAPTCHA v3, die im Vergleich zu v2 mehr nach detaillierteren Daten über den Besucher sucht, um ein Risikogerad für ihn zu ermitteln und das als Ergebnis an den Webseitenbetreiber zurückzusenden. Mit Hilfe des Ergebnispunkt als Schwellenwert kann der Websitebetreiber im Kontext Ihrer Sites variable Aktionen gegen eine Request ausführen, um eine präzise Kontrolle über die Nutzung seiner Ressourcen zu ermöglichen. Außerdem verwirft reCAPTCHA nun das Design des Kästchens, es läuft komplett im Hintergrund und lädt die erhobenen Informationen jederzeit hoch. Besucher sind sich überhaupt nicht bewusst, dass sie derzeit von den CAPTCHA-Komponenten überwacht und bewertet werden, die in jede Seite der Website eingebettet sind.

2B Advice ist der Ansicht, dass sofern personenbezogener Daten vom Verantwortlichen an einem Dritten übermittelt und dort verarbeitet werden, ein Opt-In-Mechanismus und eine ausdrückliche Einwilligung des Website-Besuchers erforderlich ist. Der Prozess ist momentan noch recht intransparent. Es stellt sich schlussendlich die Frage, ob das berechtigte Interesse von Google und Websitebetreibers, schutzwürdiger ist, als das der Betroffenen.

Dies kann an dieser Stelle berechtigterweise angezweifelt werden.