BVerwG Österreich:

Google reCAPTCHA ohne Einwilligung verboten BVerwG Österreich: Google reCAPÖsterrTCHA

Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem Autor Artikel als PDF laden

Obwohl die Entscheidung weitreichende Bedeutung für das gesamte Internet in Europa hat, schlug das österreichische Urteil bisher relativ wenig Wellen. Vermutlich hat die breite Öffentlichkeit die Entscheidung noch gar nicht zur Kenntnis genommen. Dabei ist die Tragweite des Urteils nicht zu unterschätzen. Denn es hat über den Einzelfall hinaus eine ganz grundsätzliche Bedeutung für den Betrieb einer Website. Das Ganze geht weit über den Einzelfall Google reCAPTCHA hinaus, sondern steht für ein ganz grundsätzliches Problem, das Website-Betreiber bei der Implementierung solcher Tools haben. Im vorderen Teil des Artikels diskutieren wir das aktuelle Urteil und erläutern die praktischen Konsequenzen. Im hinteren Teil gehen wir auf die damit verbundene grundsätzliche Problematik ein und skizzieren mögliche und sinnvolle Lösungsansätze.

1. BVerwG Österreich: Google reCAPTCHA ohne Einwilligung verboten

Der Digital Service Act (DSA) hat zDie um Ziel, die Verbreitung illegaler Inhalte auf digitalen Plattformen umfassend zu kontrollieren und einzuschränken. Er richtet sich an eine Vielzahl von Unternehmen im Online-Bereich, insbesondere Suchmaschinen, (große) Plattform-Anbieter oder Webhosting-Unternehmen.

a. Der Sachverhalt

Vor einigen Monaten hat das österreichische Bundesverwaltungsgericht¹ entschieden, dass das Tool Google reCAPTCHA nur mit ausdrücklicher Zustimmung des Nutzers auf einer Website eingesetzt werden darf.

Welcher Sachverhalt lag dieser Entscheidung zugrunde?

Ein Nutzer hatte die Website einer politischen Partei besucht, um eine Mitgliedschaft zu beantragen. Dabei wurden auf seinem Endgerät Cookies, unter anderem von Google reCAPTCHA, gespeichert, ohne dass der Nutzer darüber informiert oder um Einwilligung gebeten wurde.

Der Betroffene beschwerte sich darüber bei der zuständigen Datenschutzbehörde und machte geltend, dass Google reCAPTCHA im Hintergrund Daten wie die IP-Adresse und Browserinformationen des Nutzers an Google-Server übermittle.

Die Datenschutzbehörde schloss sich dem Vorwurf an und beanstandete den Datenschutzverstoß.

Dagegen wehrte sich der Website-Betreiber gerichtlich und erhob Klage.

Das BVerwG wies die Klage des Website-Betreibers jedoch ab und teilte die Einschätzung der Datenschützer.

Das eingesetzte Tool sei für den Betrieb der Website technisch nicht erforderlich. Auch ein berechtigtes Interesse an der Speicherung der Daten sei nicht erkennbar, sodass es einer ausdrücklichen Einwilligung bedürfe, so die Richter. Diese habe im vorliegenden Fall jedoch gefehlt:

Der Betroffene beschwerte sich

„Nach Ansicht des erkennenden Senats sind Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich, weshalb kein berechtigtes Interesse der Beschwerdeführer:innen gegeben ist, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben für Betreiber:innen der Website vorteilhaft sind.

Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre.“

Es stellt daher eine Verletzung des Datenschutzes dar, wenn solche Werkzeuge ohne Einwilligung online verwendet werden.

b. Praktische Konsequenzen und Lösung: Aufnahme in Cookie-Banner

Die praktischen Auswirkungen des Urteils liegen auf der Hand.

Website-Betreiber dürfen Google reCAPTCHA nur noch verwenden, wenn zuvor eine Einwilligung eingeholt wurde. Dies ist in der Praxis problemlos möglich. So kann ein Unternehmen das Hilfsmittel einfach in seinen Cookie-Banner (oder ein anderes CMP-Tool) integrieren und dort die Einwilligung einholen.

Dabei darf Google reCAPTCHA jedoch nicht dem Bereich der sogenannten zwingend erforderlichen Tools zugeordnet werden, da dies eine Umgehung der gerichtlichen Entscheidungsgründe darstellen würde. Vielmehr darf die Einholung der Einwilligung nur als optionales Feld ausgestaltet werden, das heißt, es muss dem Willen des Nutzers überlassen bleiben, ob er hier seine Einwilligung erteilt oder nicht.

Erteilt der Nutzer seine Zustimmung nicht, darf Google reCAPTCHA nicht aktiv auf der Website verwendet werden.

2. Das dahinterstehende grundsätzliche Problem: das Dilemma mit den berechtigten Interessen

Nun wird mancher Leser denken, dass die aktuelle Entscheidung gar nicht so schlimm ist, da ja nicht alle Website-Betreiber Google reCAPTCHA verwenden und es ja auch Alternativen dazu gibt.

Eine solche Betrachtung ignoriert jedoch das dahinterstehende, sehr grundsätzliche Problem.

Denn das Urteil des BVerwG Österreich offenbart weit über die Grenzen von Google reCAPTCHA hinaus, dass hier aus Sicht der DSGVO und der Datenschützer etwas im Argen liegt.

Um diese Problemlage zu verstehen, vergegenwärtigen wir uns ganz kurz, wann auf Basis der DSGVO personenbezogene Daten verarbeiten werden dürfen. Das Gesetz sieht hier bekanntlich drei Möglichkeiten vor:

Möglichkeit: Es gibt eine entsprechende gesetzliche Norm, auf die sich für die Datenverarbeitung gestützt werden kann.
Möglichkeit: Der User hat eine Einwilligung erteilt.
Möglichkeit: Es liegt ein Fall der sogenannten berechtigten Interessen vor.

In der von uns geschilderten Konstellation scheiden die erste und die zweite Möglichkeit logischerweise von vornherein aus. Es bleibt also nur die Möglichkeit 3, nämlich die sogenannten berechtigten Interessen (Art. 6 Abs. 1 f) DSGVO).

Danach darf ein Website-Betreiber bestimmte Daten verarbeiten, wenn seine eigenen Interessen die Interessen des betroffenen Verbrauchers überwiegen.

Die Rechtsprechung ist hier sehr, sehr restriktiv und nimmt ein Überwiegen des jeweiligen Unternehmers nur sehr zurückhaltend an.

Bislang ist in Deutschland noch nicht höchstrichterlich entschieden, was genau unter die berechtigten Interessen fällt. In der Praxis hat sich ein dreistufiges Prüfungsschema etabliert:

1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Da es – wie erwähnt – bisher nur vereinzelt Rechtsprechung deutscher Gerichte gibt, ist die Rechtsunsicherheit entsprechend groß.

Ein prominentes Beispiel für die Problematik der berechtigten Interessen geisterte in den Jahren 2023 und 2024 auf breiter Front durch das Internet: die Abmahnung wegen Google Fonts.

Denn aus juristischer Sicht ist es egal, ob es sich um Google Fonts oder Google reCAPTCHA handelt. In beiden Fällen werden personenbezogene Daten (zum Beispiel die IP-Adresse oder der http-Header) an Google übertragen.

Für eine solche Übermittlung bedarf es, wie bereits ausgeführt, einer gesetzlichen Grundlage. Neben der Einwilligung kommt hier der Rückgriff auf die berechtigten Interessen in Betracht.

In der Praxis zeigt sich die Problematik auf der zweiten Stufe, nämlich der Erforderlichkeit der Datenverarbeitung. Im Fall von Google reCAPTCHA machte das BVerwG kurzen Prozess und stellte sich auf den Standpunkt, dass das Tool für den Betrieb der Website technisch nicht erforderlich sei, da es keinen Einfluss auf die Funktionalität der Seite habe.

Natürlich kann man hier völlig anderer Meinung sein und genau das Gegenteil vertreten. Ob diese Rechtsauffassung des österreichischen BVerwG tatsächlich fachlich richtig ist, kann man durchaus mit guten Argumenten bezweifeln.

Fakt ist aber: Die Entscheidung ist in der Welt, stammt von einem Bundesgericht und ist kaum mehr wegzudiskutieren.

Mit der aktuellen Entscheidung wird also die Büchse der Pandora für eine Vielzahl von unterschiedlichen Tools, die auf einer Website eingesetzt werden, geöffnet.

3. Cookie-Banner nicht immer technisch möglich

Nun werden einige Leser denken, dass dieser Artikel die Situation etwas überdramatisiert. Dann binde ich eben jedes Tool in mein Cookie-Banner ein, wird der durchschnittliche Website-Betreiber argumentieren, dann bin ich auf der sicheren Seite.

Das ist im Prinzip richtig.

Allerdings werden dabei zwei wichtige Konstellationen ausgeblendet:

Erstens: Bei dem Teil der User, die nicht im Rahmen des Cookie-Banners ihre Einwilligung geben, darf ich keines dieser Tools einsetzen. Ganz wichtig ist, dass die Einwilligung nicht voreingestellt sein darf, sondern vom User aktiv angeklickt werden muss. Andernfalls liegt keine wirksame Einwilligung vor.

Zweitens gibt es in bestimmten Fällen Tools, die technisch vor dem Aufruf eines Cookie-Banners eingesetzt werden. Ein Beispiel hierfür ist der Google Tag Manager.

Bevor das Cookie-Banner erscheint und nach der Einwilligung fragt, findet bereits eine Datenverarbeitung durch den Google Tag Manager statt. Rechtsgrundlage kann hier also nicht die Einwilligung sein.

Verneint man, wie das BVerwG Österreich, ein berechtigtes Interesse für Google reCAPTCHA, so wird man dies zwangsläufig auch für Google Fonts und den Google Tag Manager tun müssen. Im Ergebnis bedeutet dies, dass nur solche Tools eingesetzt werden dürfen, die erst nach einer Abfrage des Cookie-Partners aktiv werden.

Dem kann entgegengehalten werden, dass es technische Alternativen gibt, wie etwa den Einsatz des Matomo Tag Managers. Diese Alternativen haben jedoch in der Regel ganz erhebliche wirtschaftliche Nachteile, insbesondere wenn der Website-Betreiber Google-Ads-Werbung schaltet. Hier ist eine deutlich bessere Analyse und Werbeaussteuerung in der Regel nur mit den Google-Tools möglich.

Auch der Einsatz von Server-Side-Tracking-Technologien hilft nicht weiter, da hierdurch die Weiterleitung an Google nur zeitlich verzögert, aber nicht gänzlich unterbunden wird.

Spätestens an dieser Stelle zeigt sich die enorme Tragweite des aktuellen Urteils. Offensichtlich hat es sich in der Online-Welt noch nicht überall herumgesprochen.

Der einzige Hoffnungsschimmer bleibt, dass der Bundesgerichtshof in Deutschland, wenn er sich denn eines Tages mit dieser Problematik beschäftigen muss, vielleicht eine andere Auffassung vertritt als das BVerwG in Österreich und die berechtigten Interessen doch noch als Rechtsgrundlage zulässt.

Bis zu einer endgültigen Klärung dieser Frage in Deutschland kann aber noch viel Zeit vergehen. Bis dahin ist jeder Website-Betreiber formal stark angreifbar, da es eben keine höchstrichterliche Entscheidung aus unserem Nachbarland zu dieser Frage gibt.

Es kann daher nur noch einmal jedem Unternehmen dringend empfohlen werden, seine Website auf diese Problematik hin zu überprüfen. Und wenn er fündig wird, noch einmal in sich zu gehen und zu überlegen, ob das damit verbundene Risiko in einem vernünftigen wirtschaftlichen Verhältnis zum Nutzen steht.

^{1 BVerwG Österreich, Urt. v. 13.09.2024 – Az.: W298 2274626-1/8E.}

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet.	3 Monate	HTML	Google
AMP_TOKEN	Enthält einen Token, der verwendet werden kann, um eine Client-ID vom AMP-Client-ID-Dienst abzurufen.	1 Jahr	HTML	Google
_dc_gtm_--property-id--	Wird von DoubleClick (Google Tag Manager) verwendet, um die Besucher nach Alter, Geschlecht oder Interessen zu identifizieren.	2 Jahre	HTML	Google