hCaptcha & Änderung der Datenschutzerklärung

Hallo werte D1strict-Mitglieder,

wir deaktivieren hCaptcha!

Warum deaktivieren wir hCaptcha?

Der Grund ist recht einfach: Die Rechtslage ist aktuell unsicher, was bspw. das EU-Privacyshield angeht. Da auch hCapcha keine rechtssichere Lösung/Alternative zu reCaptcha ist, haben wir entschlossen die Captchas komplett zu deaktivieren. Wir möchten da nicht eine lange Diskussion darüber führen. Wir wissen selbst, dass das EU-Privacyshield (noch) nicht gilt.

Einen guten Beitrag hat der Plugin-Entwickler des CMS "WoltLab Suite™" verfasst, welcher auch Gründe für unser Handeln liefert.:

Zitat von SoftCreatR

[...]

Für Datentransfers in Drittländer außerhalb der EU fordert die DSGVO geeignete Garantien. Mögliche Garantien sind:

- Angemessenheitsbeschlüsse der EU-Kommission (die Kommission beschließt die Datensicherheit bei Datenübermittlungen in ein konkretes Land)

- Datenschutzübereinkommen zwischen der EU und Drittländern (wie mit den USA das nunmehr ungültige Privacy Shield)

- Standarddatenschutzklauseln nach EU-Vorlage zwischen

Datenimporteur (im Drittland) und Datenexporteur (in der EU)

Die meisten US-amerikanischen Diensteanbieter stützten Verarbeitungen von EU-Daten aus US-Servern bisher auf eine Zertifizierung nach dem Privacy Shield. Durch die nunmehr gerichtlich beschiedene Ungültigkeit dieses Schildes fällt es als "Garantie" für Datenübermittlungen in die USA weg. Anbieter, die sich bisher nur auf das Privacy Shield verließen, haben nun keine datenschutzrechtliche Grundlage für Datenverarbeitungen auf US-Servern mehr. Webseitenbetreiber, die Daten an diese Dienste übermitteln, laufen Gefahr, widerrechtlich internationale Datentransfers anzustoßen.

Das Vorhandensein von Datenschutzgarantien ist eine objektive Voraussetzung für die Zulässigkeit internationaler Datentransfers. Erst, wenn diese Voraussetzung erfüllt ist, kommt es für die Rechtmäßigkeit der Verarbeitung auf eine Rechtfertigung nach DSGVO (Einwilligung, berechtigte Interessen etc.) an. Eine Einwilligung kann eine fehlende internationale Garantie nur im Einzelfall ersetzen (Art. 49 DSGVO).

Webseitenbetreiber sollten bei Diensten, die vom Wegfall des Privacy Shield betroffen sind, unbedingt nach anderen geeigneten Garantien, insb. Standarddatenschutzklauseln, anfragen. Liegen diese in geeigneter Weise vor, wären Datentransfers in die USA wieder rechtssicher möglich.

Werden Dienste mit Verarbeitungsaktivitäten in den USA ohne geeignete Garantien nach Wegfall des Privacy Shield weitergenutzt, besteht ein Risiko für den Websitebetreiber. Dieses ist nach Meinung vieler Rechtsanwälte aber überschaubar, weil es behördlich meist nicht verfolgt wird.

Im Falle von Google ist es wohl so, dass diese mittlerweile auch Standardvertragsklauseln nutzen, dies aber wohl nicht ausreichend ist. Siehe dazu auch https://www.it-recht-kanzlei.d…ragsklauseln-was-nun.html

Am Ende muss jeder für sich selbst wissen, was er tut. Ich für meinen Teil setze bis auf weiteres keine Google-Dienste auf meinen Webseiten ein. hCaptcha übrigens auch nicht - Wir haben sogar das Produkt aufgrund der unklaren Rechtslage aus unserem Store entfernt.

Aber um das klar zu stellen: Ich habe kein Problem mit Google und deren Services. Ich nutze sie selbst bei meiner täglichen Arbeit. Ich will nur vermeiden, dass jemand auf die Idee kommt zu glauben, man müsse bei der Nutzung der Google-Dienste, vor allem bei der Übertragung von Daten, auf nichts achten, weil Google sich ja bestimmt weltweit an geltendes Recht hält. Auch möchte ich vermeiden, Google-Services als alternativlos anzusehen. Denn es gibt nun mal Alternativen, sei es nun für Analytics oder für reCaptcha. Ob die nun rechtlich besser, oder technisch schlechter sind, steht auf einem anderen Blatt

Alles anzeigen

Wird es dadurch mehr Spam auf unseren Seiten geben?

Das lässt sich aktuell noch nicht genau sagen. Allerdings sind unsere Regulationen sehr streng, was neuen Benutzern angeht.

Bspw. kann ein neuer Nutzer 2Tage lang nicht sofort neue Beiträge, Kommentare veröffentlichen, sondern muss erst eine Freischaltung seitens der Moderation abwarten. So lässt sich im voraus erkennen, ob der jeweilige Nutzer sich mit böser Absicht registriert hat oder eben nicht.

Änderung in der Datenschutzerklärung:

Nun zum wirklich wichtigen Teil dieser Neuigkeiten. Da wir hCaptcha von unserer Seite entfernt haben, wird die Datenschutzerklärung ebenso kürzer.

Entfernt haben wir folgenden Passus:

Zitat

9.3 hCaptcha

Auf dieser Website verwenden wir auch die hCaptcha Funktion von Intuition Machines, Inc., 350 Alabama St, #10, San Francisco, CA 94110, USA („Intuition Machines“). Diese Funktion dient vor allem zur Unterscheidung, ob eine Eingabe durch eine natürliche Person erfolgt oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt. Der Dienst umfasst den Versand der IP-Adresse und ggf. weiterer von Intuition Machines für den Dienst hCaptcha benötigter Daten an Intuition Machines und erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Feststellung der individuellen Eigenverantwortung im Internet und der Vermeidung von Missbrauch und Spam.

Viele Grüße,

Felix