Google reCAPTCHA nur mit ausdrücklicher Einwilligung erlaubt

Am 13. September 2024 hat das österreichische Bundesverwaltungsgericht (BVwG) unter dem Aktenzeichen W298 2274626-1/8E eine richtungsweisende Entscheidung zur datenschutzrechtlichen Bewertung des Dienstes Google reCAPTCHA getroffen. Die Richter kamen dabei zu dem klaren Schluss, dass reCAPTCHA nicht zu den technisch notwendigen Diensten zählt und daher nicht ohne ausdrückliche Einwilligung der Nutzer eingesetzt werden darf.

Diese Entscheidung hat weitreichende Bedeutung für alle Webseitenbetreiber im europäischen Raum – und sie betrifft weit mehr als nur reCAPTCHA: Auch Google Fonts, externe Tools und Tracking-Elemente geraten dadurch noch stärker ins datenschutzrechtliche Visier.

1. Der Sachverhalt im Detail

Ein Nutzer hatte die Website einer politischen Partei aufgerufen, um sich online als Mitglied zu registrieren. Dabei bemerkte er, dass Google reCAPTCHA bereits beim Seitenaufruf aktiv war, obwohl er im Consent-Management alle nicht notwendigen Tools – einschließlich reCAPTCHA – deaktiviert hatte.

Trotz dieser Deaktivierung wurden nachweislich 615 Datenpakete von und zu Google übermittelt, noch bevor der Nutzer eine informierte Entscheidung über die Cookie-Nutzung treffen konnte. Darunter befanden sich auch personenbezogene Daten wie:

• IP-Adresse
• verwendeter Browser
• besuchte Unterseiten

Diese Daten gelangten an Google-Server in den USA – ohne jegliche Einwilligung und ohne transparente Information über die Datenverarbeitung. Die betroffene Person fühlte sich in ihrem Grundrecht auf Datenschutz verletzt und reichte daraufhin eine Datenschutzbeschwerde bei der zuständigen Behörde ein.

Die Datenschutzbehörde stimmte dem Vorbringen zu und erließ einen Bescheid, in dem sie die Datenverarbeitung als rechtswidrig qualifizierte. Die Webseite habe gegen die Vorgaben der DSGVO verstoßen, insbesondere gegen die Grundsätze aus Art. 5 Abs. 1 lit. a, b und c DSGVO (Rechtmäßigkeit, Transparenz und Datenminimierung) sowie gegen die Pflicht zur Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Gegen diesen Bescheid legte die Betreiberin der Website – vertreten durch eine Anwaltskanzlei – Beschwerde beim Bundesverwaltungsgericht ein.

2. Die Entscheidung des BVwG: reCAPTCHA ist nicht „technisch notwendig“

Das Bundesverwaltungsgericht hat die Beschwerde der Webseitenbetreiberin vollumfänglich abgewiesen und die Rechtsauffassung der Datenschutzbehörde bestätigt.

Zentrale Feststellungen des Gerichts:

• reCAPTCHA ist nicht „technisch notwendig“ im Sinne von Art. 5 Abs. 1 DSGVO.
• Die Funktionalität der Webseite sei auch ohne reCAPTCHA vollständig gewährleistet.
• Das Tool verhindere lediglich automatisierte Eingaben (Bots), was aus Sicht der Betreiber vorteilhaft, aber nicht zwingend erforderlich sei.
• Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) scheide daher aus.
• Für eine rechtmäßige Nutzung wäre eine informierte und freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erforderlich gewesen – die im vorliegenden Fall nicht vorlag.

„Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat […]. Ein berechtigtes Interesse ist daher zu verneinen und die Einwilligung der betroffenen Partei wäre zwingend einzuholen gewesen.“ – BVwG, 13.09.2024

3. Warum die Entscheidung so bedeutsam ist

Diese Entscheidung bringt Rechtssicherheit für eine Vielzahl von Webtechnologien, die in der Praxis häufig ohne ausreichende Prüfung eingebunden werden – vor allem Tools von Drittanbietern wie:

• Google Fonts
• YouTube-Videos
• Social Media Plugins
• Analytics- und Marketingdienste

Das BVwG macht mit diesem Urteil deutlich: Alle Dienste, die nicht für das reine Funktionieren einer Webseite notwendig sind, dürfen nur mit Einwilligung eingesetzt werden. Selbst wenn sie die Sicherheit oder das Nutzererlebnis verbessern – etwa durch SPAM-Schutz wie bei reCAPTCHA –, sind sie nicht automatisch legitim.

4. Die Rolle der berechtigten Interessen – ein Trugschluss?

Viele Webseitenbetreiber verlassen sich bei der Integration von Tools wie reCAPTCHA auf das Argument des „berechtigten Interesses“. Das BVwG widerspricht dieser Praxis deutlich:

• Ein berechtigtes Interesse muss zwingend, notwendig und verhältnismäßig sein.
• reCAPTCHA mag zwar Bots abwehren, aber es ersetzt keine grundlegende Sicherheitsmaßnahme.
• Eine Sicherheitsmaßnahme, die mit einer umfangreichen Datenweitergabe an Google einhergeht, ist nicht verhältnismäßig, wenn es auch datensparsame Alternativen gäbe.

5. Praktische Konsequenzen für Webseitenbetreiber

Für Webseitenbetreiber bedeutet dieses Urteil:

a) Consent Management muss angepasst werden

• Google reCAPTCHA darf nicht vor Einwilligung geladen werden.
• Der Dienst muss in der Kategorie „Marketing“ oder „Drittanbieter“ einsortiert werden – nicht unter „essentiell“ oder „funktional“.

b) Transparente Information ist Pflicht

• Nutzer müssen klar erfahren, dass durch reCAPTCHA Daten an Google übertragen werden.
• Eine genaue Aufschlüsselung, welche Daten verarbeitet und wohin sie übermittelt werden, ist erforderlich.

c) Alternative Lösungen prüfen

• Open-Source-Alternativen wie z.B. hCaptcha oder serverseitige Prüfmechanismen sind datenschutzfreundlicher.
• Auch einfache mathematische Aufgaben oder Zeitelemente zur Formularabsicherung sind legitime Alternativen.

6. Fazit: Ein Urteil mit Signalwirkung

Das Urteil des BVwG vom 13.09.2024 ist ein Meilenstein im digitalen Datenschutzrecht. Es stellt klar: Die rein technische Bequemlichkeit von Website-Betreibern rechtfertigt keine datenschutzrechtlichen Abkürzungen.

Was Webseitenbetreiber jetzt tun sollten:

✅ Alle eingesetzten Drittanbieter-Tools analysieren
✅ Consent-Banner überprüfen und anpassen
✅ reCAPTCHA erst nach aktiver Einwilligung laden
✅ Alternative Lösungen in Betracht ziehen
✅ Datenschutzinformationen überarbeiten