Bei der Entwicklung der Complianz Privacy Suite stellen sich einige interessante Fragen. Eine davon, auf die ich heute gestoßen bin, ist: Sind Google ReCAPTCHA und die DSGVO auf Ihrer Website miteinander vereinbar?

WP Forms ist mit über 5 Millionen Installierungen das führende Kontaktformular-Plugin auf WordPress. Auch ich benutze es auf vielen Seiten. Es ist einfach, kostenlos und funktioniert einwandfrei. Wenn Sie in den letzten Jahren WP Forms (oder ein Kontaktformular auf Ihrer Website) verwendet haben, haben Sie möglicherweise festgestellt, dass Sie etwas gegen Spam unternehmen müssen.

Wenn Sie keinen Spam-Schutz haben, werden Sie mit lästigen Spam-E-Mails überrannt. Jahrelang bestand die am häufigsten verwendete Lösung darin, dem Formular ein hässliches Captcha hinzuzufügen, mit einigen schwer lesbaren Buchstaben, Zahlen usw. auf einem Bild. Diese musste der Anwender in ein Eingabefeld tippen. Die Spambots haben es schwer, diese Bilder zu lesen: Problem gelöst!

Aber diese Lösung ist nicht sehr benutzerfreundlich: Sie ist hässlich und ärgert die Benutzer so sehr, dass Sie Conversions verlieren könnten. Google ReCAPTCHA zur Rettung! Es ist in WP Forms integriert, einfach einzurichten, und Sie müssen (normalerweise) nur ein Kontrollkästchen aktivieren (ich bin kein Roboter). In der neuesten Version (Google Recaptcha v3) müssen Sie das nicht einmal tun: Es ist ein Hintergrundprozess.

Google ReCAPTCHA und personenbezogene Daten

Aber wir alle wissen: Alles hat seinen Preis, oder? Was ist also der Preis, den wir für dieses großartige Feature zahlen? Richtig: Es sind personenbezogene Daten.

Die Mischung aus Fingerabdruck und First-Party-Cookies ist allgegenwärtig, da Google ein sehr hohes Maß an Entropie aufweisen kann, wenn es darum geht, eine einzelne Person zu unterscheiden.

Ron Perona über businessinsider.com

Ein Teil der Daten, die Google mit ReCAPTCHA erhebt, ist:

• Ein vollständiger Schnappschuss des Browserfensters des Benutzers wird zu diesem Zeitpunkt Pixel für Pixel (!) festgehalten
• Browser-Plugins
• Alle Cookies, die von Google in den letzten 6 Monaten platziert wurden,
• Anzahl der Mausklicks/-berührungen, die Sie auf diesem Bildschirm vorgenommen haben
• CSS-Informationen für diese Seite,
• Javascript-Objekte
• Das Datum,
• Die Browsersprache

(siehe auch: businessinsider.com, gen.net.uk)

Diese Informationen können von uns nicht bestätigt werden, aber schauen Sie was Google zu diesem Thema sagt, wenn Sie einen neuen ReCAPTCHA-Schlüsselsatz erstellen:

Sie erkennen an und verstehen, dass die reCAPTCHA-API funktioniert, indem sie Hardware- und Softwareinformationen wie Geräte- und App-Daten sammelt und zur Analyse an Google sendet.

Und, sagt Google:

Sie erklären sich damit einverstanden, dass es bei der Nutzung der APIs in Ihrer Verantwortung liegt, die erforderlichen Benachrichtigungen anzuzeigen und die Erlaubnis einzuholen, diese Daten zu sammeln und mit Google zu teilen.

Sie benötigen auf jeden Fall ein Opt-in, wenn Sie DSGVO-konform sein möchten.

So verhindern Sie das Setzen von Cookies

Wenn Sie nur das in WP Forms integrierte ReCAPTCHA verwenden, ist es normalerweise schwierig, diese Skripte bedingt zu aktivieren. Complianz Privacy Suite hat dies (sowohl kostenlos als auch Premium) gelöst, indem es eine Liste von Skripten von Drittanbietern erstellt hat, die Tracking-Cookies platzieren, und alle diese Skripte deaktiviert hat, bis der Benutzer akzeptiert. Natürlich ist Google ReCAPTCHA in dieser Liste enthalten, genau wie Facebook, Youtube, Vimeo, Instagram und viele mehr.

Und hier können wir bereits die dunklen Wolken sehen: Wenn ReCAPTCHA opt-in ist (wie es die DSGVO verlangt), dann muss ein Spammer nur noch Keine Cookies akzeptieren, um Recaptcha zu umgehen, oder?

Und was jetzt?

Es sind Implementierungen möglich, die dieses Problem natürlich umgehen: Wenn Sie verhindern, dass das Formular gesendet wird, bevor Cookies akzeptiert werden, oder wenn ReCAPTCHA nicht aktiv ist, würde dies als Lösung funktionieren. So funktioniert die ReCAPTCHA V3 Integration in WP Forms: Das Absenden des Formulars ohne das Akzeptieren von Cookies ist nicht möglich.

Wenn das Akzeptieren der Cookies das ReCAPTCHA initialisieren würde, wäre dies eine praktikable Lösung. Da die Aktivierung des Skripts erfordert, dass das WP Forms-Skript wartet, bis das ReCAPTCHA-Skript vollständig geladen ist, führt dies in der aktuellen Version zu einem Wettrennen. In der Beta-Version wurde dies behoben: https://github.com/rlankhorst/complianz-gdpr. Diese wird mit dem nächsten Update veröffentlicht.

*Bearbeitung* Dieses Update ist jetzt veröffentlicht, wodurch V3 ReCAPTCHA in WP Forms GDPR-konform wird, wenn Sie es in Kombination mit dem Complianz-Plugin verwenden.

Bis zur Veröffentlichung dieser Version können Sie Google ReCAPTCHA nicht verwenden und gleichzeitig DSGVO-konform sein.

Aktualisierung

Ab Version 2.1.1 ist Complianz nun kompatibel mit WP Forms mit ReCAPTCHA V3. In dieser Implementierung wird ReCAPTCHA blockiert, bis der Benutzer zustimmt und der Benutzer kann kein Kontaktformular absenden. Sobald die Zustimmung erteilt wurde, ist ReCaptcha aktiviert und das Kontaktformular kann spamsicher eingereicht werden.

Damit bleiben uns zwei Methoden, um WP-Formulare (und z. B. Gravity Forms usw.) zu verwenden:

• Mit ReCAPTCHA V3 kann der Benutzer ein Formular absenden, wenn die Zustimmung zu Cookies erteilt wurde. Beispiel Integration
• Verwenden Sie den Hyperlink:

  < a class="cmplz-accept-cookies" href="#">Accept Cookies before sending the Form

  als Link oder Button vor dem bedingten Laden von ReCAPTCHA und/oder Submit-Button, so dass Cookies vor dem Absenden des Formulars akzeptiert werden müssen. Oder verwenden Sie es unter einem beliebigen Formular, damit die Benutzer wissen, warum das Senden des Formulars ohne Akzeptieren der Cookies nicht ordnungsgemäß funktioniert.

Dieser Beitrag erschien ursprünglich auf Complianz.io, unserem DSGVO- und Cookie-Compliance-Partner.