Einbindungen von reCaptcha und Google Maps nicht DSGVO konform?

  • Wir arbeiten aktuell an einer Zwei-Klick-Lösung für die Karten-Funktion.

    Bei reCaptcha wäre eine Zwei-Klick-Lösung nicht praktikabel, da die Zustimmung immer optional sein müsste, was bei einer solchen Sicherheitsfunktion natürlich nicht sinnvoll wäre. Mit den Captcha-Fragen unterstützen wir bereits eine Alternative, die ohne Datenübertragung an Drittseiten auskommt, weshalb ich hier keinen Handlungsbedarf sehe.

  • Wäre es evtl. möglich bei reCaptcha wenigstens einen Hinweistext einzublenden dass für einen DSGVO konformen Betrieb weitere Schritte notwendig sind, die nicht im Standardumfang enthalten sind?

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Wenn jemand die Zustimmung zu reCaptcha verweigert, dann sehe ich eigentlich nur zwei Optionen.

    1. man fällt, wenn vorhanden, auf Frage und Antwort zurück
    2. man deaktiviert die Registrierung komplett

    Option Eins wäre Ok, wenn sie den Konfiguriert wäre, Option Zwei wäre eher kontraproduktiv.

    Linux: Born to Frag 8) :D

  • Wir arbeiten aktuell an einer Zwei-Klick-Lösung für die Karten-Funktion.

    Bei reCaptcha wäre eine Zwei-Klick-Lösung nicht praktikabel, da die Zustimmung immer optional sein müsste, was bei einer solchen Sicherheitsfunktion natürlich nicht sinnvoll wäre. Mit den Captcha-Fragen unterstützen wir bereits eine Alternative, die ohne Datenübertragung an Drittseiten auskommt, weshalb ich hier keinen Handlungsbedarf sehe.

    Wäre das zusätzliche hervorheben der Captcha-Fragen auf der Anti-Spam Seite im ACP eine Option?

    Man bekommt meiner Meinung nach zuerst den Eindruck, als könnte man nur reCaptcha nutzen, da ja auch direkt die Eingabefelder da sind.

    Die Sicherheitsfragen sollte man auf der Seite besser hervorheben.

    xBlackEye

  • man fällt, wenn vorhanden, auf Frage und Antwort zurück

    Das kann keine Option sein. Man nutzt reCAPTCHA ja deswegen, weil es einen wirksamen Schutz darstellen soll. Entweder:

    • reCAPTCHA ist besser. Dann könnte ein solches Fallback dazu genutzt werden, die beste Schutzstufe bewusst zu umgehen.
    • reCAPTCHA ist nicht besser. Dann stellt sich die Frage, wieso das Fallback nicht gleich das primäre Mittel ist.


    So oder so ist es nicht zielführend, von reCAPTCHA auf eine Alternative zurückzufallen.

  • Cadeyrn es ging mir dabei eigentlich um die Aussage hier

    Irgendeinen Consent Banner z.B., falls ausreichend.

    Und darum das wenn man erst die Zustimmung zum laden von reCAPTCHA braucht ein Spammer einfach die Zustimmung dazu verweigert und somit ohne Fallback oder eben das abschalten der Registrierung einfach durch wäre.

    Linux: Born to Frag 8) :D

  • Das habe ich verstanden. Aber die Ablehnung soll ja kein Mittel sein, die beste Schutzmaßnahme zu umgehen. Insofern wäre die Nicht-Funktionalität des entsprechenden Formulars das zielführendere Mittel als ein Fallback auf eine schlechtere Maßnahme.

    Wenn ein Formular reCAPTCHA erfordert, ist man nicht „einfach durch“, wenn reCAPTCHA nicht geladen werden kann. Sonst würde einfach jeder Spammer reCAPTCHA blockieren. Das wäre zu einfach. Deswegen sieht reCAPTCHA auch noch eine serverseitige Validierung vor.

  • reCAPTCHA ist ziemlich alternativlos, wenn es um Captcha-Lösungen geht, die mehr als nur Fragen und Antworten verarbeiten. Daher dürfte das unter das berechtigte Interesse des Anbieters fallen, diesen Dienst zu verwenden, und daher auch datenschutztechnisch nicht problematisch sein, sofern entsprechend in der Datenschutzerklärung angegeben.

    Das Laden von reCAPTCHA nur nach Einwilligung dient dabei eher der Verminderung von Datenverarbeitungen, wenn sich der Benutzer doch noch entscheidet, sich nicht zu registrieren o. ä.

    Ich habe das bei mir damals in meinem Demo-System entsprechend umgesetzt, weil es für mich als Anbieter an dieser Stelle wichtig ist, unnötige Last auf dem System zu vermeiden, ich aber dennoch so wenig Daten wie möglich weitergeben will.

  • Daher dürfte das unter das berechtigte Interesse des Anbieters fallen

    Wenn ich das bisher richtig gelesen habe kann man das nicht so sagen weil man als Websitebetreiber genau nachweisen muss wie die Nutzerdaten von Google verarbeitet werden. Weil man das aber in diesem Fall nicht kann ist auch eine Abwägung von dem Interesse des Betreibers mit den Grundrechten/Interessen des Nutzers nicht möglich (Quelle).

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Dito. Abgesehen davon stimme ich dieser Aussage so nicht zu:

    Wenn ich das bisher richtig gelesen habe kann man das nicht so sagen weil man als Websitebetreiber genau nachweisen muss wie die Nutzerdaten von Google verarbeitet werden. Weil man das aber in diesem Fall nicht kann ist auch eine Abwägung von dem Interesse des Betreibers mit den Grundrechten/Interessen des Nutzers nicht möglich.


    Wenn ich alleine an den Mehraufwand durch Spam bei meinen Hotelkunden denke, dann sind die offensichtlichen Interesses des Nutzers davon ganz klar betroffen. Denn der Nutzer möchte üblicherweise möglichst schnell eine Reaktion erhalten, um seinen Urlaub planen zu können, was deutlich beeinträchtigt ist, wenn hunderte Spam-Anfragen pro Tag im Buchungssystem des Hotels landen. Und da lässt sich aus meiner Sicht sehr wohl eine Abwägung bezüglich des dominierenden Interesses vornehmen.

    Nachweisen, wie genau ein Dritter Daten verarbeitet, kann man grundsätzlich nicht. Ginge man danach, dürfte man überhaupt kein Drittanbieter-Tool mehr einsetzen, ganz egal, wo es gehostet wird.

    Ich find's nur bitter, dass reCAPTCHA seinereits Google Fonts lädt. Vielleicht macht's das aus Datenschutz-Sicht eh nicht schlimmer, weil beides der gleiche Anbieter ist, das weiß ich nicht, aber es ist technisch einfach vollkommen unnötig und behindert die Bestrebung, seine Website davon zu befreien.

  • Die Frage ist nur wie das bei Vorhandensein einer DSGVO freundlicheren Alternative (Captcha-Fragen) zu bewerten ist. Ich gab aber nur den Text wieder und kann das nicht einschätzen.

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Wir arbeiten aktuell an einer Zwei-Klick-Lösung für die Karten-Funktion

    Wird diese Zwei-Klick-Lösung in allen aktuell unterstützten Versionen (5.3+) zur Verfügung stehen? Wenn ich es richtig lese wird diese Funktion in den Core integriert so dass sie auch bei allen Endanwendungen/Plugins automatisch angewendet wird ohne dass Pluginhersteller eine Anpassung ihrer Erweiterungen vornehmen müssen?

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!