Die Implementierung von reCAPTCHA ist für den Betrieb einer Website technisch nicht notwendig, weil es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen und die Einwilligung einzuholen ist.
Austria. Bundesverwaltungsgericht. Streitgegenstand ist die Nutzung des Google-Dienstes reCAPTCHA auf einer Website. Die betroffene Person hatte beim Besuch der Seite „optionale Cookies“ abgelehnt, stellte jedoch fest, dass dennoch Informationen automatisch an Google übermittelt wurden. Auch fehle eine transparente Information darüber, welche Daten konkret verarbeitet und an Google übermittelt würden. Die Betreiber der Website sahen darin kein Problem. Sie betonten, dass der Einsatz von Google-Diensten wie reCAPTCHA technisch notwendig sei, um die Funktionalität der Website zu gewährleisten. Man müsse die Website vor Bots schützen. Zudem wurde argumentiert, dass eventuell zuvor von der betroffenen Person erteilte Einwilligungen auf anderem Websites oder Diensten die Datenverarbeitung legitimieren könnten.
Die Aufsichtsbehörde schloss sich den Bedenken der betroffenen Person an. Die Betreiber der Website seien Verantwortliche, weil sie über die Nutzung und Einbindung der Cookies entscheiden, selbst wenn die technische Umsetzung ausgelagert wurde. Der Einsatz von reCAPTCHA mit dem Cookie „_GRECAPTCHA“ stelle keine technische Notwendigkeit dar. Es bedürfe deshalb der aktiven Einwilligung der Nutzer. Der Hinweis der Websitebetreiber, dass Cookies gelöscht werden könnten, reiche nicht aus.
Die gegen die Rechtsansicht der Aufsichtsbehörde erhobene Beschwerde drang auch nicht durch. Das Bundesverwaltungsgericht folgte der Aufsichtsbehörde und begründete dies wiefolgt:
- Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website kann ein digitaler Fußabdruck generiert werden, der es erlaubt, das Endgerät und in weiterer Folge den konkreten Nutzer eindeutig zu individualisieren.
- Der Cookie _GRECAPTCHA enthält einzigartige Kennnummern und wird auf dem Endgerät bzw im Browser abgelegt. Mit diesen Kennungen ist es möglich, Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher handelt.
- Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt werden, Personen zu individualisieren und auszusondern, erfüllen die Definition des Art 4 Z 1 EU-DSGVO.
- Die datenschutzrechtliche Verantwortlichkeit iSd Art 4 Z 7 EU-DSGVO iZm dem Cookie _GRECAPTCHA auf der eigenen Website beruht darauf, dass die Betreiber über die Zwecke und Mittel der Datenverarbeitung und über die von ihr gesetzten Cookies auf der von ihr betriebenen Website entscheiden.
- Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind für den Betrieb einer Webseite nicht erforderlich, weshalb kein berechtigtes Interesse von Websitebetreibern gegeben ist, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben vorteilhaft sind.
- Deshalb ist eine Einwilligung einzuholen.