BVwG 奥地利：Google reCAPTCHA 需要同意

fabiha01

我们每天都会遇到它们：在识别扭曲的字母和数字序列时，在恼人的图片拼图中识别公交车或交通信号灯时。我们正在讨论验证码：完全自动化的公共图灵测试，以区分计算机和人类。验证码是为了区分计算机（机器人）和人类而进行的测试，最终举例来说。 B. 保护网站运营商免受机器人输入数据/查询。奥地利联邦行政法院（BVerwG）指出：

reCAPTCHA 帮助网站运营商保护其网站免受欺诈活动、垃圾邮件和滥用的侵害。Google reCAPTCHA 的基本功能是通过加入验证步骤，使网站运营商能够尽可能准确地区分输入是由自然人完成的，还是由机器和自动化处理滥用而完成的。

如果网站中嵌入了第三方验证码，这可能会导致网站访问者的个人数据（例如作为个人身份数据的 IP 地址）转移给第三方提供商。奥地利联邦行政法院（BVerwG）现已处理此举是否可以基于同意或网站运营商根据数据保护法的合法利益的问题（案件编号 W298 2274626-1）。

事实
数据主体访问了一个政党的网站，注册成为党员。网站运营商在其网站上集成了 Google 服务 reCAPTCHA，即使数据主体已停用所有 cookie，该服务也会在访问网站时在数据主体的设备或浏览器中设置 cookie“_GRECAPTCHA”。数据主体向主管监督机构投诉未获得其同意、将数据传输给谷歌以及缺乏有关数据处理的信息。

监管机构同意数据主体的意见，并发现网站运营商违反了《奥地利数据保护法》（DSG）第 1（1）条规定的保密权，并对此提出了投诉。

联邦行政法院驳回了网站运营商的投诉，理由如下：
网站上使用的 Google reCAPTCHA 服务设置了一个 cookie（_GRECAPTCHA），巴西商业传真列表 其中包含唯一的用户识别号，该号码标记数据主体的设备，允许将其识别为网站访问者，并且可以明确地进行个性化。因此，个人数据的处理必须基于法律依据。

BVerwG 进一步指出：
“根据经 2009/136/EC 指令 [关于电子通信领域的个人数据处理和隐私保护（电子通信隐私指令）] 修订的 2002/58/EC 指令第 5(3) 条，成员国必须确保，只有在相关用户根据其根据 95/46/EC 指令（数据保护指令）收到的关于处理目的的清晰、全面的信息主动表示同意的情况下，才允许存储信息或访问已存储在用户终端设备中的信息。”

然而，数据主体从未同意使用 reCAPTCHA，也没有被告知该网站使用了 reCAPTCHA。因此，数据主体不可能给予有效同意。

关于根据第 14 条获得合法利益的法律依据。 6（1）（f） GDPR，BVerwG 指出，除了指出数据主体未被告知网站运营商的任何合法利益外，还表示：

参议院认为，谷歌 reCAPTCHA 服务设置的 Cookie对网站运行并非必要，因此投诉人不具备合法权益，尽管阻止机器人程序登录对网站运营商有利。从技术角度来看，reCAPTCHA 的实施对网站运行并非必要，因为它不会影响网站的功能。因此，必须否认其合法权益，并应征得相关方的同意。 （作者强调）

结论
我们邻国最高法院的裁决应该被视为一个机会，让我们严格审查自己对 reCaptcha 的使用，同时也要审查其他第三方功能，例如外部字体，并额外考虑德国 TDDDG。虽然在使用验证码时，网站运营商确实可以引用一定的安全利益，但这是否可以成为规避可能需要的同意程序的理由，这一点值得怀疑。处理的网站访问者的个人数据越多，尤其是在使用人工智能支持的服务时，就越有可能需要同意此类数据处理。同时，基于自愿同意使用验证码可能会被视为荒谬，因为网站访问者，甚至在有疑问的情况下机器人都不会同意使用验证码。例如，如果机器人通过 cookie 横幅发出全面拒绝，则在有疑问的情况下验证码甚至不会存在。

基于兴趣且数据保护友好的解决方案例如是：B. 在网站本地集成的验证码或由受指令约束的服务提供商提供的验证码。我们很乐意帮助您以数据保护友好的方式设计您的网站。