Einbindungen von reCaptcha und Google Maps nicht DSGVO konform?

Welche weiteren Schritte?

Nö.

Wenn jemand die Zustimmung zu reCaptcha verweigert, dann sehe ich eigentlich nur zwei Optionen.

1. man fällt, wenn vorhanden, auf Frage und Antwort zurück
2. man deaktiviert die Registrierung komplett

Option Eins wäre Ok, wenn sie den Konfiguriert wäre, Option Zwei wäre eher kontraproduktiv.

Quote from Marcel Werk

Wir arbeiten aktuell an einer Zwei-Klick-Lösung für die Karten-Funktion.

Bei reCaptcha wäre eine Zwei-Klick-Lösung nicht praktikabel, da die Zustimmung immer optional sein müsste, was bei einer solchen Sicherheitsfunktion natürlich nicht sinnvoll wäre. Mit den Captcha-Fragen unterstützen wir bereits eine Alternative, die ohne Datenübertragung an Drittseiten auskommt, weshalb ich hier keinen Handlungsbedarf sehe.

Wäre das zusätzliche hervorheben der Captcha-Fragen auf der Anti-Spam Seite im ACP eine Option?

Quote from xBlackEye

Man bekommt meiner Meinung nach zuerst den Eindruck, als könnte man nur reCaptcha nutzen, da ja auch direkt die Eingabefelder da sind.

Die Sicherheitsfragen sollte man auf der Seite besser hervorheben.

Quote from netrix64

man fällt, wenn vorhanden, auf Frage und Antwort zurück

Das kann keine Option sein. Man nutzt reCAPTCHA ja deswegen, weil es einen wirksamen Schutz darstellen soll. Entweder:

• reCAPTCHA ist besser. Dann könnte ein solches Fallback dazu genutzt werden, die beste Schutzstufe bewusst zu umgehen.
• reCAPTCHA ist nicht besser. Dann stellt sich die Frage, wieso das Fallback nicht gleich das primäre Mittel ist.

So oder so ist es nicht zielführend, von reCAPTCHA auf eine Alternative zurückzufallen.

Cadeyrn es ging mir dabei eigentlich um die Aussage hier

Quote from Afox

Irgendeinen Consent Banner z.B., falls ausreichend.

Und darum das wenn man erst die Zustimmung zum laden von reCAPTCHA braucht ein Spammer einfach die Zustimmung dazu verweigert und somit ohne Fallback oder eben das abschalten der Registrierung einfach durch wäre.

Das habe ich verstanden. Aber die Ablehnung soll ja kein Mittel sein, die beste Schutzmaßnahme zu umgehen. Insofern wäre die Nicht-Funktionalität des entsprechenden Formulars das zielführendere Mittel als ein Fallback auf eine schlechtere Maßnahme.

Wenn ein Formular reCAPTCHA erfordert, ist man nicht „einfach durch“, wenn reCAPTCHA nicht geladen werden kann. Sonst würde einfach jeder Spammer reCAPTCHA blockieren. Das wäre zu einfach. Deswegen sieht reCAPTCHA auch noch eine serverseitige Validierung vor.

reCAPTCHA ist ziemlich alternativlos, wenn es um Captcha-Lösungen geht, die mehr als nur Fragen und Antworten verarbeiten. Daher dürfte das unter das berechtigte Interesse des Anbieters fallen, diesen Dienst zu verwenden, und daher auch datenschutztechnisch nicht problematisch sein, sofern entsprechend in der Datenschutzerklärung angegeben.

Das Laden von reCAPTCHA nur nach Einwilligung dient dabei eher der Verminderung von Datenverarbeitungen, wenn sich der Benutzer doch noch entscheidet, sich nicht zu registrieren o. ä.

Ich habe das bei mir damals in meinem Demo-System entsprechend umgesetzt, weil es für mich als Anbieter an dieser Stelle wichtig ist, unnötige Last auf dem System zu vermeiden, ich aber dennoch so wenig Daten wie möglich weitergeben will.

Quote from Marcel Werk

Mit den Captcha-Fragen unterstützen wir bereits eine Alternative, die ohne Datenübertragung an Drittseiten auskommt,

Und ausgehend von meiner Erfahrung funktioniert diese Alternative sehr gut.

Der wichtigste Satz für mich ist hier dieser:

Quote

Wo auf diesem Spektrum Google reCAPTCHA nun zu verorten ist, bleibtjedoch letztlich Spekulation.

Ich spekuliere einfach in eine andere Richtung.

Dito. Abgesehen davon stimme ich dieser Aussage so nicht zu:

Quote from Afox

Wenn ich das bisher richtig gelesen habe kann man das nicht so sagen weil man als Websitebetreiber genau nachweisen muss wie die Nutzerdaten von Google verarbeitet werden. Weil man das aber in diesem Fall nicht kann ist auch eine Abwägung von dem Interesse des Betreibers mit den Grundrechten/Interessen des Nutzers nicht möglich.

Wenn ich alleine an den Mehraufwand durch Spam bei meinen Hotelkunden denke, dann sind die offensichtlichen Interesses des Nutzers davon ganz klar betroffen. Denn der Nutzer möchte üblicherweise möglichst schnell eine Reaktion erhalten, um seinen Urlaub planen zu können, was deutlich beeinträchtigt ist, wenn hunderte Spam-Anfragen pro Tag im Buchungssystem des Hotels landen. Und da lässt sich aus meiner Sicht sehr wohl eine Abwägung bezüglich des dominierenden Interesses vornehmen.

Nachweisen, wie genau ein Dritter Daten verarbeitet, kann man grundsätzlich nicht. Ginge man danach, dürfte man überhaupt kein Drittanbieter-Tool mehr einsetzen, ganz egal, wo es gehostet wird.

Ich find's nur bitter, dass reCAPTCHA seinereits Google Fonts lädt. Vielleicht macht's das aus Datenschutz-Sicht eh nicht schlimmer, weil beides der gleiche Anbieter ist, das weiß ich nicht, aber es ist technisch einfach vollkommen unnötig und behindert die Bestrebung, seine Website davon zu befreien.

Quote from Afox

Wird diese Zwei-Klick-Lösung in allen aktuell unterstützten Versionen (5.3+) zur Verfügung stehen?

Neue Funktionen gibt es nie in bereits bestehenden Versionen.

Quote from Black Rider

Neue Funktionen gibt es nie in bereits bestehenden Versionen.

Wobei es da bei wichtigen Funktionen auch Ausnahmen gab (ich glaube beim DSGVO-Export war das so).