News

Zurück zur Übersicht

Zurück

Suche

Archiv

Tags

16. Dezember 2024 | Datenschutzrecht | von Mag. Christine Burgstaller BA/Dr. Peter Burgstaller LLM

BVwG bestätigt: Google reCAPTCHA verstößt ohne Einwilligung gegen die DSGVO

Wie das Bundesverwaltungsgericht (BVwG) mit Urteil vom 13.09.2024 zur Geschäftszahl W298 2274626-1/8E entschieden hat, stellt die Verwendung von Google reCAPTCHA auf Websites ohne vorherige Einwilligung der Nutzer eine Verletzung der Datenschutz-Grundverordnung (DSGVO) dar.

Die Entscheidung betrifft die Einbindung des Google-Dienstes reCAPTCHA, welcher zur Abwehr von Bots eingesetzt wird. Dabei werden personenbezogene Daten wie die IP-Adresse und Browserinformationen automatisch an Google übertragen, ohne dass der Website-Besucher informiert wird oder der Nutzung aktiv zugestimmt hat.

Der konkrete Sachverhalt

Ein Beschwerdeführer besuchte die Website einer politischen Partei, um eine Mitgliedschaft anzumelden. Obwohl er Google reCAPTCHA in den Datenschutzeinstellungen deaktiviert hatte, wurde Google reCAPTCHA dennoch ausgeführt und Daten an Google-Server in den USA übertragen.

Das BVwG stellte fest, dass hierbei mindestens die IP-Adresse und ein Cookie mit einer zufallsgenerierten Kennung (GRECAPTCHA) verarbeitet wurden. Eine Möglichkeit zur Verweigerung der Einwilligung war nicht gegeben.

Rechtliche Einordnung

Das Gericht bestätigt, dass die Einbindung von Google reCAPTCHA eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt. Die zentrale rechtliche Beurteilung stützte sich auf folgende Punkte:

  1. Fehlende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):
    Der Dienst reCAPTCHA wurde ausgeführt, ohne dass die betroffene Person ihre vorherige Zustimmung gegeben hatte. Eine stillschweigende Einwilligung ist nach der DSGVO unzulässig.
  2. Kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):
    Die Implementierung von Google reCAPTCHA war laut BVwG nicht zwingend notwendig, um die Funktionalität der Website zu gewährleisten. Ein berechtigtes Interesse der Betreiber wurde abgelehnt.
  3. Verantwortlichkeit der Website-Betreiber (Art. 4 Z 7 DSGVO):
    Auch wenn die technische Umsetzung von externen Dienstleistern vorgenommen wird, bleiben die Website-Betreiber datenschutzrechtlich verantwortlich.

Weichenstellung durch das BVwG

Mit diesem Urteil schafft das BVwG in Österreich Klarheit hinsichtlich der Nutzung von Google reCAPTCHA, nachdem bereits die CNIL (Commission Nationale Informatique & Libterés) als französische Datenschutzbehörde im Dezember 2023 (SAN-2023-023) ein gleichlautendes Urteil fällte. Während der Dienst technisch vorteilhaft sein mag, darf er nicht auf Kosten der Datenschutzrechte der Nutzer eingesetzt werden. 

Die Entscheidung reiht sich in die bestehende Rechtsprechung ein und verdeutlicht, dass die Anforderungen an Einwilligung und Transparenz unter der DSGVO strikt auszulegen sind.

Praktische Auswirkungen für Website-Betreiber

Für die Praxis ist hervorzuheben, dass der Einsatz von Google reCAPTCHA nur dann rechtmäßig ist, wenn:

  1. Eine Einwilligung der Nutzer vor der Datenerhebung eingeholt wird (z.B. durch ein Opt-in-Banner, Checkbox beim gesicherten Formular).
  2. Eine Datenschutzerklärung klar über die Nutzung von reCAPTCHA und die Datenübermittlung an Google informiert.

Das Urteil bestätigt erneut, dass Website-Betreiber nicht auf externe Dienstleister verweisen können, um ihre Verantwortlichkeit zu umgehen.

Zurück