reCaptcha wird zum Auftragsverarbeiter

Warum dieser Wechsel?

Google reagiert mit diesem Schritt auf die anhaltende datenschutzrechtliche Kritik, personenbezogene Daten bisher auch zu eigenen Zwecken verarbeitet zu haben – etwa für die Profilbildung oder zur Optimierung eigener Sicherheitsdienste. Zukünftig wird die Verarbeitung personenbezogener Daten im Rahmen von reCAPTCHA ausschließlich auf Weisung der Webseitenbetreibenden erfolgen. 

Die eigenständige Nutzung der Daten durch Google wird damit auf die im Auftragsverarbeitungsvertrag (AVV) geregelten Zwecke beschränkt. Das Cloud Data Processing Addendum (DPA) wird entsprechend angepasst.

Was ist reCAPTCHA und warum ist es für KMU relevant?

reCAPTCHA ist ein technisches Schutzsystem, das Webseiten vor automatisierten Angriffen und Missbrauch schützt. Es hilft, echte Nutzer von sogenannten Bots zu unterscheiden, die beispielsweise massenhaft Formulare ausfüllen oder Schadaktionen ausführen könnten. 

Je nach Ausgestaltung erfolgt diese Überprüfung sichtbar (z. B. durch das Auswählen von Bildern) oder unauffällig im Hintergrund durch Analyse des Nutzerverhaltens. Für KMU bietet reCAPTCHA eine effektive Möglichkeit, die IT-Sicherheit und das Vertrauen der Kundinnen und Kunden zu stärken.

Datenschutzrechtliche Herausforderungen beim bisherigen Einsatz

Bislang wurde reCAPTCHA häufig so eingebunden, dass bereits beim Laden der Webseite personenbezogene Daten an Google übermittelt wurden – oftmals ohne wirksame Einwilligung der Nutzerinnen und Nutzer. In vielen Fällen wurde der Dienst als technisch notwendig eingestuft und nicht im Einwilligungsbanner aufgeführt. Die Folge: Es fehlte an Transparenz und Rechtssicherheit, was zu behördlichen und gerichtlichen Auseinandersetzungen führte.

Was bedeutet der Rollenwechsel konkret für KMU?

Mit der neuen Rolle von Google als Auftragsverarbeiter liegt die datenschutzrechtliche Verantwortung für die Verarbeitung der durch reCAPTCHA erhobenen Daten künftig bei Ihnen als Webseitenbetreibenden. 

Das bringt folgende Pflichten und Anpassungsbedarfe mit sich:

• Vertragliche Absicherung: Sie müssen mit Google einen aktuellen Auftragsverarbeitungsvertrag (AVV) abschließen und dokumentieren, einschließlich der Prüfung etwaiger Drittlandsübermittlungen.
• Anpassung der Datenschutzerklärung: Die Datenschutzerklärung Ihrer Webseite muss eine transparente Beschreibung der reCAPTCHA-Verarbeitung enthalten – inklusive Zwecke, Rechtsgrundlagen, Empfänger und gegebenenfalls Informationen zum Drittlandtransfer.
• Entfall des Google-Datenschutzhinweises: Der bisherige Verweis auf die Google-Datenschutzerklärung im reCAPTCHA-Badge entfällt.
• Datenminimierung: Es sind geeignete Maßnahmen zur Datenminimierung zu prüfen und zu dokumentieren.

Mehr Kontrolle und Rechtssicherheit

Durch den Rollenwechsel gewinnen Sie als KMU mehr Kontrolle über die Verarbeitung der Daten Ihrer Kundinnen und Kunden. Sie können die Einbindung von reCAPTCHA nun DSGVO-konform und transparent gestalten. Gleichzeitig stärken Sie das Vertrauen Ihrer Nutzerinnen und Nutzer und minimieren rechtliche Risiken.

Unsere Empfehlung für KMU

Nutzen Sie die Gelegenheit, Ihre Datenschutzprozesse zu überprüfen und auf den aktuellen Stand zu bringen. Wir unterstützen gern Sie dabei, Ihre Webseite rechtssicher zu gestalten, maßgeschneiderte Lösungen für Ihre Branche zu finden und die erforderlichen Dokumentationen zu erstellen. 

Kurz gesagt, der Wechsel von Google zum Auftragsverarbeiter bei reCAPTCHA ist ein wichtiger Schritt für mehr Datenschutz und Transparenz. Für KMU ergeben sich daraus neue Anforderungen, aber auch Chancen, das Kundenvertrauen zu stärken und die eigene IT-Sicherheit zu verbessern.

Quelle: 
ZD Aktuell - Barbara Schmitz ist Rechtsanwältin bei der BAY GmbH Wirtschaftsprüfungs-/Rechtsanwaltsgesellschaft in München und Mitglied im Wissenschaftsbeirat der ZD.