Google-Dienste auf Webseiten: Wann eine Einwilligung zwingend erforderlich ist
Ein Urteil des Bundesverwaltungsgerichts (13.09.2024, GZ: W298 2274626-1) schafft Klarheit: Die Einbindung von Google reCAPTCHA auf Webseiten ist ohne vorherige Einwilligung der Nutzerinnen und Nutzer nicht zulässig. Der Dienst, der Bots abwehren soll, setzt automatisch Cookies und überträgt Daten an Google – auch ohne Zustimmung. Genau das ist laut BVwG unzulässig.
Hintergrund: Im konkreten Fall wurde einem Webseitenbesucher bereits beim Aufruf einer Parteiseite der Cookie “_GRECAPTCHA” gesetzt. Dabei erfolgte keine aktive Auswahl durch die betroffene Person. Die Datenschutzbehörde sah darin einen Verstoß gegen das Recht auf Geheimhaltung und bekam vor Gericht Recht.
Die Kernaussagen des Urteils: – Verantwortlich bleibt der Betreiber der Website, auch wenn externe Dienstleister beauftragt wurden. – Eine automatische Datenverarbeitung ohne vorherige Einwilligung ist rechtswidrig. – Der Verweis auf “berechtigtes Interesse” greift nur, wenn der Dienst für den Betrieb technisch notwendig ist – das ist bei reCAPTCHA nicht der Fall.
Was Websitebetreiber nun beachten müssen: – reCAPTCHA darf erst geladen werden, nachdem die Nutzerin oder der Nutzer dem Einsatz zugestimmt hat. – Dies muss über ein DSGVO-konformes Consent-Tool gesteuert werden. – Alternativ sollten datenschutzfreundlichere Captcha-Lösungen prüft werden.
Fazit: Das Urteil zeigt deutlich: Datenschutz beginnt bereits bei der Auswahl scheinbar kleiner Tools. Wer personenbezogene Daten verarbeitet, muss dafür die volle Verantwortung übernehmen – Einwilligung inklusive.