Rechtssicherheit für Webseitenbetreiber: Bundesverwaltungsgericht bestätigt datenschutzrechtliche Verantwortung bei reCAPTCHA-Einsatz
Das österreichische Bundesverwaltungsgericht (BVwG) hat mit Erkenntnis vom 13. September 2024 (GZ: W298 2274626-1) ein wegweisendes Urteil zur datenschutzrechtlichen Einbindung von Google reCAPTCHA auf Websites getroffen. Im Zentrum steht die Frage, ob der Dienst ohne vorherige Einwilligung eingesetzt werden darf – die Antwort des Gerichts: eindeutig nein.
Was war passiert? Eine Person wollte sich über eine Website für eine Parteimitgliedschaft registrieren. Dabei wurde ohne ihre Zustimmung Google reCAPTCHA geladen. Das Tool, das automatisierte Zugriffe verhindern soll, setzte dabei den Cookie “_GRECAPTCHA” und übermittelte personenbezogene Daten wie die IP-Adresse direkt an Google – noch bevor die Nutzerin eine Entscheidung zu Cookies treffen konnte.
Die Entscheidung des Gerichts: Das BVwG stärkt die Rechte von Nutzerinnen und Nutzern und bestätigt die Auffassung der Datenschutzbehörde: Betreiber einer Website müssen auch dann für Datenschutzverstöße einstehen, wenn die technische Umsetzung ausgelagert wurde. Entscheidend ist, wer die Kontrolle über Zwecke und Mittel der Datenverarbeitung hat.
Zentral war dabei: – Die Setzung des Cookies “_GRECAPTCHA” erfolgte ohne Einwilligung. – Es lag kein berechtigtes Interesse vor, das diesen Eingriff rechtfertigen würde. – Der Dienst war nicht technisch notwendig für den Betrieb der Seite.
Was bedeutet das für die Praxis? Webseitenbetreiber dürfen Google reCAPTCHA nur dann einbinden, wenn die Nutzer vorher aktiv zugestimmt haben. Dies muss über ein technisch sauberes Consent-Banner geschehen. Ein Hinweis auf “berechtigtes Interesse” reicht nicht.
Fazit: Dieses Urteil schafft Klarheit: Auch scheinbar “kleine” Tools wie reCAPTCHA können tiefgreifende Datenschutzfolgen haben. Wer auf seiner Website personenbezogene Daten verarbeitet, muss dafür Sorge tragen, dass dies im Einklang mit der DSGVO geschieht – und das von der ersten geladenen Zeile an.