Anmeldung nur mit Google reCaptcha gültig? Tickets zum Neujahrskonzert

Hallo liebe Sachkundige!

Alljährlich findet im Februar die Anmeldung zur Verlosung der Karten für die drei Neujahrskonzerte der Wiener Philharmoniker statt. Die Karten kann man nicht direkt kaufen, man muss sie bei dieser Lotterie gewinnen, bzw. man gewinnt die Option die Karten zu kaufen. Wenn man einer der auserwählten Gewinner ist kann man sich bis Ende März entscheiden ob man die gewonnenen Karten wirklich kaufen möchte.

Hier ist der Link, die Anmeldung ist noch bis 29. Februar möglich.
https://verlosung.wienerphilharmoniker.at/de/

Wie man erkennen kann, ist der Anmeldeprozess durch Googles reCaptcha Version 3 gegen Bots oder sonstige unerwünschte Mehrfachanmeldungen „abgesichert“.

Jetzt zu meiner Frage:

Wie seriös oder eben unseriös ist der Einsatz von Google reCaptcha, zu dessen Einsatz man keine Zustimmung erteilt. Im Cookie Banner wird nur auf den Datenschutz und Cookies bezüglich Google Analytics hingewiesen, die man auch deaktivieren kann. Auf das Thema reCaptcha wird in den AGBs zwar hingewiesen, allerdings wird verschwiegen was Google mit den Daten tatsächlich macht und das können sie auch nicht, denn google verrät dies schlicht weg nicht.

Meiner Meinung nach, und nicht nur meiner Meinung nach ist daher der Einsatz von Google reCaptcha nicht DSGVO konform, weil die sensibelsten persönlichen Daten die über einen Browser und auch meine Mausbewegung, Tastatureingaben, Adressdaten etc. ohne meiner Zustimmung an Google in Amerika gesendet werden. Das ist völlig inakzeptabel und es wird in den Teilnahmebedingungen nicht darauf hingewiesen was in höchstem Maße unseriös ist.

Ich verstehe die Absicht dahinter unerwünschte Mehrfachanwendungen zu unterbinden. Das ist gerade auch ganz besonders in meinem Sinne bzw im Sinne eines jeden ehrlichen Teilnehmers der nicht konkurrenzieren möchte mit irgendwelchen Hackern aus Russland oder Amerika. In der Vergangenheit haben dort Leute mit bestimmten automatisierten Skripts mehrere tausend Anmeldungen im Monat gemacht und ihre Chancen zum Gewinn der Karten extrem unfair erhöht. Erst seit kurzem ist auch endlich eine gültige E-Mail-Adresse und das Anklicken des Bestätigungslinks erforderlich. Das muss man sich einmal vorstellen, das war bis vor zwei drei Jahren nicht notwendig. Damit war dem Betrug Tür und Tor geöffnet.

Soweit mir bekannt gäbe es genug seriöse Alternativen zu Google reCaptcha 3 und auch Alternativen die sich auf europäischen Servern befinden.

Eine weitere Problematik die sich aus der Anwendung von Google reCaptcha ergibt ist gerade für uns Datenschutz Freaks essentiell. Man kann die ganze Anmeldung auch abschließen mit blockiertem Google reCaptcha, also das JavaScript ist einfach blockiert und der blaue reCaptcha Banner erscheint auch auf der Website rechts unten nicht. Mit höchster Wahrscheinlichkeit ist so eine Anmeldung dann ungültig weil sie mit einem Rating von 0 getagt wurde, auch wenn Google reCaptcha gar nicht aktiv war.

Damit ist jeder Spielteilnehmer der auf Sicherheit achtet, vielleicht auch noch einen VPN-Dienst oder den Tor Browser verwendet und zusätzlich no script uBlock Origin, Privacybadger und was es nicht alles gibt, praktisch von der Verlosung ausgeschlossen und zwar ohne dass er es weiß, weil es keinen Hinweis darauf gibt. Er hat gut gläubig das Formular ausgefüllt vielleicht sogar mehrere für seine Familienmitglieder und war von vornherein chancenlos. Das ist vollkommen inakzeptabel dass gerade der sicherheitsbewusste Teilnehmer bestraft wird. Meiner Meinung nach sind hier absolute Laien am Werk die diese Webseite betreiben.

Mir fehlen in den AGBs eindeutige Hinweise, dass die Verwendung von VPN-Diensten, Tor Browser und Skriptblockern nicht erlaubt sind - oder eben doch. Das gibt es aber nicht. Daher werden hier viele zigtausende Leute weltweit, die an der Verlosung teilnehmen wollen, ihre Lebenszeit verschwenden weil das Ausfüllen des gesamten Formulars von vornherein ungültig ist, aber ohne dass der User es wusste.

Auch gibt es auf Anfrage keine klare Antwort dazu, wie viel Anmeldungen ich von einem Rechner in einem Haushalt mit einer IP machen darf. Viele Teilnehmer werden auch ihren Ehepartner Freund Freundin Bruder Schwester Onkel Tanten anmelden und nur deshalb nicht gewinnen weil sie zu viel anmeldungen unter einer IP-Adresse machten. Aber auch zu diesem Thema lässt man den Teilnehmer dumm sterben und riskiert somit fahrlässig dass unzählige Anmeldungen weltweit ungültig sind. Wie unseriös kann so ein Veranstalter sein wenn er dazu keine klaren Hinweise in seinen Geschäfts- und Teilnahmebedingungen veröffentlicht?

Was sagt ihr dazu und wie seriös haltet ihr diese Website mit seinen Teilnahmebedingungen und der Verwendung der Datenkrake Google reCaptcha 3? Interessant wäre es auch wenn sich jemand mit Google reCaptcha 3 sehr gut auskennt und hier seine Ansichten beiträgt.

Danke schon mal!

Sorry wegen des langen Textes gleich in meinem ersten Beitrag

Der Einsatz von Captchas ist zumindest fragwürdig. Schau Mal hier:
https://www.kuketz-forum.de/t/apple-als-e-mail-anbieter-icloud-mail/6800/29
https://www.kuketz-forum.de/t/koennen-bots-captchas-loesen/2239/4
Ich würde Beschwerde einreichen, die österreichische Aufsicht (wie andere auch) wird es Dir aber leider schwer machen.

Wieso soll man suchen (und glauben), ob der Seitenanbieter etwas in seinen AGB, Datenschutzinformationen usw. als zulässig deklariert? Objektiv wird es meist unzulässig sein.

Weil man mit dem Einbinden des Dienstes eine Übermittlung von Besucherdaten dorthin aushlöst. Der würde die IP-Adresse erfahren, Zeitpunkt der Nutzung, durch die Verbindung mit dem Auftritt auch das Thema herausbekommen können, für das sich jemand interessiert, evtl. mehr. Damit lassen sich Profile bilden und anreichern. Gerade bei Unternehmen, die mehrfache (auch eigene) Beziehgungen zu den Betroffenen haben, bzw. die sich solche Informationen dazukaufen können bzw. ihre Nutzungsdaten an Dienste verkaufen, die alles zusammenführen. Das trifft auf Google zu. Andere, die diese Möglichkeiten nicht haben und sie glaubhaft ausschließen, könnte man nehmen.

Das Einbinden solcher Dienste geht weit über den legitimen Zweck des Internetauftritts hinaus, z. B. mit Captchas Roboter abzuwehren. Durch seine Übermittlung hat der Betreiber des Auftritts die zusätzlichen Aktivitäten der Datenempfänger ausgelöst und mit zu verantworten. Rechtfertigen lässt sich das meistens nicht.

Art. 25 DSGVO zwingt zur Auswahl der datenschutzfreundlichsten Möglichkeit. Gibt es Dienste, die diese Funktion auch ohne unterwünschte Nebeneffekte erbringen, bzw. lässt sich die Funktion leicht selbst abdecken, hat man sich dafür zu entscheiden.

Z. B. Google (und andere externe) Fonts: Schriften selbst hosten und man muss sich gar keine Gedanken machen. (Ich find’s süß, wenn in der Datenschutzerklärung steht, welche Zwecke man mit dem Einbinden selbst gehosteter Schriften verfolgt, und auf welcher Rechtsgrundlage. Überflüssig, weil es keine (im Vergleich zum Hauptzweck Inhaltsdarstellung zusätzlichen) Zwecke wären und dazu nichts zu beschreiben ist. Wahrscheinlich sind solche Abschnitte ein Relikt, nachdem dort früher versucht wurde, Google Fonts zu rechtfertigen.)

Nur bei unverfänglichen Empfängern dürfte man die Einbindung auf die Basis „berechtigter Interessen“ (z. B. an Sicherheitsprüfung, Verbindungsstabilität, optische Gestaltung) stellen. Wenn dem eingebundenen Dienst zu vertrauen wäre, dass er lediglich die beabsichtigte Leistung bringt, z. B. das Captcha zur Verfügung stellt und die notwendigerweise erhaltenen Daten nicht für sich selbst verwertet. Also sofort nach Erledigung löscht.

Auftragsverarbeitungsverträge (dass der Dienstleister nicht mehr vorhat als beauftragt) wären gut; Nachvollziehbarkeit aller technischen Folgen und größere Bekanntheit datenschutzkonformer Alternativen wären besser.

D., der an den meisten eingebundenen Elementen etwas auszusetzen hat. Geht auch sauber, sieht man aber selten. Viele Entwickler bzw. Agenturen haben einfach keine Ahnung, welche Eier sie ihren Kunden ins Nest legen.

Das ist in meinen Augen nicht mehr korrekt, mit dem Data Privacy Framework gibt es wieder eine Rechtsgrundlage um Daten in die USA zu übertragen Link zum BfDI

Das wären z.B. ?

Ja das Internet ist kaputt aber ich kann schon verstehen, dass man sich vor Missbrauch schützen möchte.

Ich schlage bei sowas immer gerne vor, mit den Verantwortlichen zu reden. Wenn diese spüren, dass hier ihre Ausenwa-rnehmung leidet, werden sie handel. Das kann auch mal ein bisschen dauern (und man sollte Alternativen nennen können)

Die Drittlandabsicherung kommt bei mir ziemlich weit hinten. Und die wackelt. Viel wichtiger wäre zu klären, dass Google (die so großzügig ihre Dienste unter die Leute bringen) über das Ausliefern der Captcha-Funktion hinaus nichts mit den Daten anstellen.

Das darf dann nicht heißen „Keine Angst, wir verkaufen Ihre Daten nicht für Werbung.“ (Nicht für 375,50 EUR, sondern vielleicht für 377 EUR. Oder tauschen, oder verschenken, oder andere kreative Widmungen.) Man bräuchte einen kategorischen Ausschluss aller weiteren Zwecke. (Nicht für „bestimmte legitime Zwecke“, nicht für irgendwas an verbundene Unternehmen, nicht zur Qualitätskontrolle, nicht zum KI-Lernen…) Weil das viel einfacher zu formulieren wäre als bestimmte Sachen aufzuzählen und viel Ungenanntes erwartbar bleibt.

Dann müsste man ihnen noch trauen können. Kann man nicht, weil Geschäftsmodell und Vergangenheit.

D., der eher einem unbekannten Anbieter eine Chance geben würde. Ist aber nicht nötig. Gibt Alternativen, die keine solchen Herausforderungen mit sich bringen. Die hat man zu nehmen.

Danke für eure zahlreichen Anregungen und Links. Beschwerde hab ich mittels einer genauen Sachverhaltsdarstellung gestern bereits bei der Datenschutzbehörde und dem Internet-Obmudsmann eingereicht. Ich habe auch eine Screenrecording Aufzeichnung des Anmeldeprozesses angefertigt, dann ab Morgen ist die Anmeldeseite ja wieder weg, denke ich.

Ich werde berichten ob, und wenn ja, was sich getan hat. Spätestens zur nächsten Verlosung müssen sie etwas ändern. So unprofessionell, illegal (wegen DSGVO), intransparent und unfair den Sicherheitsbewussten Internetusern gegenüber kann und darf eine Verlosung zu einem großen Event nicht ablaufen. Hier geht es ja nicht um ein paar Tickets für ein Konzert einer Dorffeuerwehr, sondern zum weltweit meistgesehenen klassischen Konzertes. Dort spielen die Besten der Besten. Die Veranstalter dieser Ticketlotterie sind aber - freundlich ausgedrückt - höchstens engagierte Laien, zumindest bekommt man diesen Eindruck.

Die Verwendung von Google Recaptcha ist NICHT illegal - dem EU-Parlament sei dank - vielleicht unangemessen aber auf keinen Fall illegal oder unproffessionell.

Wie du selber geschrieben hast wäre es viel znproffessioneller eine solche Verlosung ohne Spamschutz anzubieten.
Azs Datenschutzsicht ist Google Recaptcha natürlich nicht die beste Wahl.

Und was passiert jetzt als Nächstes? (Der weitere Text kann sarkastisch gefärbt sein)

„Vielen Dank für Ihre Anfrage … Wir haben unsere ganzen tollen Erklärungen auf unserer Seite um noch mehr Absätze und tolle juristische Erläuterungen ergänzt. Um an der Verlosung teilzunehmen stimmen Sie ab sofort explizit zu, dass Dienste von Alphabet/Google/egal wem verwendet werden. Wenn Sie damit nicht einverstanden sind, senden sie doch bitte eine Postkarte bis übermorgen an unser Postfach in Vorarlberg . Hier klicken. bitte danke“

Also macht euch da nicht zu viele Hoffnungen, dass etwas anderes als mehr geschätztes Papier rauskommt.

Vielleicht nicht illegal, aber trotzdem nicht „erlaubt“ weil, wie Kollege Domasla oben schrieb, verpflichtete Art. 25 DSGVO zur datenschutzfreundlichsten Variante. Und das ist reCaptcha 3 wohl ganz bestimmt nicht. Da sind wir uns wahrscheinlich alle einig. Wenn man Alternativen zu RC3 googelt erhält man Ergebnisse mit Alternativen, auch mit Servern in der EU. RC3 ist nur wahrschienlich am einfachsten zu installieren, selbst für die Laien bei den Philharmonikern. Die „Kollateralschäden“ und dass sie gegen Artikel 25 DSGVO verstoßen, ist ihnen egal oder, was ich noch eher vermute, sie wissen das gar nicht.

Als Advokat des Teufels behaupte ich jetzt, dass nur reCaptcha 3 einen ausreichenden Schutz bietet und die Alternativen nicht. Dies WEIL reCaptcha 3 die größte Sammlung an Daten hat zur Betrugsprävention und damit den State of the Art darstellt. Außerdem war nur diese Technik unter zumutbarem Aufwand zu installieren.

Das könnte selbst ein mittelbegabter Rechtsgelehrter so zusammen basteln, damit es am Ende „durchgeht“… nicht schön, aber da hilft auch keine noch so komplizierte Regulierung.

Ich glaube nicht, dass uns eine staatliche Regelung retten wird. Wir können nur selbst aktiv werden und bspw. hier die Philharmoniker anschreiben und Alternativen konstruktiv aufzeigen („wir in Europa sollten doch auf europäische Sachen setzen statt alle Daten in die USA zu geben“ oder ähnlich).

Mit der Verbotskeule schafft das immer wieder nur Ablehnung oder einfach nur noch mehr Blablabla-Geschwätz in irgendwelchen "Datenschutz"erklärungen – nur damit am Ende dann auf der Google Analytics durchseuchten Seite, ein Mailchimp-Formular unter den Facebook- und LinkedIn-Buttons als Alternative zum WhatsApp-Link wartet zur Verabredung der Zoom-Konferenz. Oder war es doch Calendly für ein Teams-Meeting?
Wobei wir machen das ja jetzt ernsthaft und nutzen Cisco Webex wie die Bundesregierung für die Absprache mit den Ministerpräsidenten [1]. Aber keine Angst Cisco würde da nie reinschauen, weil Abhören unter Freunden und so Ach ne.

Sorry für den Ausbruch, aber das musste mal aus mir raus.

Also freundlich(!!) schreiben und sinnvolle Alternativen bieten - einfach ohne Verbotskeule und Klugscheißerei.

[1] https://www.swp.de/panorama/corona-gipfel-bund-lander-treffen-regeln-runde-minister-ministerpraesidentenkonferenz-merkel-tag-10-august-themen-reiserueckkehrer-rki-impfen-corona-welle-58444261.html - gibt noch unzählige weitere Bilder aus der Zeit. Auch die ganze EU lief häufig über WebEx-Räume… und große Corporates eh

Alternativen „googelt“ man doch nicht.

D., der auf die aktuellen Diskussionen zu Suchmaschinenempfehlungen verweist.

Haha stimmt, was sind denn eure SE Alternativen der ersten Wahl?

@ Schreiben an die Philharmoniker.
Das habe ich schon einmal gemacht also sogar direkt an den Webadmin, den kann man im Kontaktformular anwählen. Es kam aber nie eine Antwort. Die werden sich gedacht haben, da melden sich Hunderttausende Leute an und der eine jammert herum. Wozu dem was schreiben.

Z. B.
https://www.kuketz-forum.de/t/tabelle-suchmaschinen-gibt-es-eine-vergleichstabelle-in-der-datenschutzfreundliche-suchmaschinen-verglichen-werden/7190

(Bitte dort diskutieren.)