FROM CACHE - de_header
Diese Community hat auf Peer-to-Peer-Support umgestellt. Der Shopify Support wird diese Community nicht mehr betreuen. Wir empfehlen dir, dich mit anderen Händler:innen und Partner:innen in Verbindung zu setzen, um Unterstützung zu erhalten und Erfahrungen auszutauschen. Bitte melde weiterhin alles, was gegen unseren Verhaltenskodex verstößt, oder Inhalte, die deiner Meinung nach entfernt werden sollten.

Betreff: Google reCAPTCHA & DSGVO

Google reCAPTCHA & DSGVO

anja-hh
Entdecker
36 0 5

Hallo zusammen,

um nicht massig Spam über Kontaktformulare oder fake Registrierungen zu haben, gibt es im Shopify Standard ja aktuell nur das recaptcha von Google. Leider ist das ja nicht DSGVO konform.

Hat jemand eine Empfehlung / "Anleitung" für die Integration in Shopify einer DSGVO-konformen Alternative (honeypot, friendly captcha...)?

Danke und viele Grüße

Anja

23 ANTWORTEN 23

Gabe
Shopify Staff (Retired)
19233 3006 4433

Hi Anja! @anja-hh 

Danke für die Angaben und hast du dazu die Online Literatur die bestätigt, dass der Google Recaptcha v3 nicht DSGVO-konform ist? Wenn du mir diese hier verlinkst kann ich das an unsere Entwickler weiterleiten so dass wir das verbessern können. Aber von dem was ich sehe ist die Jury noch unentschieden in dieser Sache.

Das Problem mit dem reCAPTCHA v3 ist, dass es im Shop dazu dient, Bots daran zu verhindern Fake Accounts im Shop zu erstellen. Es funktioniert so, dass wenn ein Bot drei Versuche macht ein Fake Account in deinem Shop zu erstellen dann triggert das den reCAPTCHA anti-bot Mechanismus. Dieser verlangt dann dass das "I'm not a bot" Kreuzfeld angekreuzt wird, oder ein paar Strassen-Bilder angeklickt werden. Was daran nicht DSGVO-konform sein soll, dein Shop gegen Bots zu schützen würde mich interessieren. Eine Bedingung ist aber, dass der reCAPTCHA nur an einer Form angebunden und nicht überall im Shop angezeigt wird.

Viel wichtiger ist, dass man eine gute Cookie Banner App im Shop eingerichtet hat, die dem Kunden eine "granulare" Kontrolle bietet bestimmte nicht-essentielle oder Session Cookies usw. abzuschalten oder auszuwählen. Mit der GDPR App von Beeclever bist du damit gut aufgehoben da Einwilligungen auch bedeutungsvoll sein sollen. Diese App ist best-of-breed und der Entwickler ist sehr support-freundlich. Weitere reCAPTCHA Apps findest du auch hier.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

anja-hh
Entdecker
36 0 5

Hallo @Gabe , sorry für die späte Antwort. Online gibt es diverse Seiten, die vom Google reCaptcha abraten und die Alternativen empfehlen. 

Die App GDPR legal cookie haben wir im Einsatz, auch beeclever rät vom Einsatz ab.

bei der Verwendung von ReCaptcha werden tatsächlich Cookies gesetzt, aber leider bekommt man nicht alle Informationen welche Cookies alles gesetzt werden, da vereinzelt Cookies nur für wenige Millisekunden gesetzt werden. Derzeit raten wir der Verwendung von ReCaptcha ab.

LG Anja

Karl-B
Entdecker
14 0 6

Die Anzeichen mehren sich, dass Google reCaptcha nicht DVSGO-Konform ist.

 

Es gibt dazu ein Gerichtsurteil aus Frankreich, das wird hier erwähnt: https://dr-dsgvo.de/google-recaptcha/

Auch die Behörden in Bayern (Bayrisches Landesamt für Datenschutzaufsicht) werten die Thematik als nicht zulässig, bzw. nicht DVSGO-Konform ( nicht GDPR-konform)

siehe hier: https://www.lda.bayern.de/de/faq.html 

=> siehe "Darf Google reCAPTCHA auf der Website eingebunden werden?"

 

Bitte leiten Sie das Thema an die Entwickler weiter, es wäre schön, eine Möglichkeit zu haben, eine Open Source-Variante einzubinden.

 

Beispiele sind hier:

https://mcaptcha.org/ 

https://captchas.net/ 

https://github.com/NikolaiT/SVG-Captcha  PHP

https://github.com/sequentialread/pow-captcha 

https://github.com/dapphp/securimage  PHP

http://jcaptcha.sourceforge.net/ 

 

Welche Einbindung technisch möglich ist (ob z.B. auch PHP/Java möglich ist) kann ich nicht beurteilen, es wäre jedoch schön möglichst bald eine Lösung zu haben,

da dies !!alle Europäischen Shops betrifft.

Karl-B
Entdecker
14 0 6

@Gabe @anja-hh vergessen 😉

Karl-B
Entdecker
14 0 6

@Gabe   Ach ja und es heißt in der Überschrift: "1 akzeptierte Lösung"

Dazu eine Frage: Wer akzeptiert diese Lösung, bzw. wer veranlasst, dass in die Überschrift obige Überschrift steht?

Ein Shopify-Mitarbeiter oder ein Kunde? 

 

Aus der Antwort von @anja-hh  vom 05-28-2021 05:27 AM entnehme ich, dass es seitens Kunde nicht unbedingt akzeptiert wurde.

 

Ich bitte dringend, das Thema aufzugreifen, da es wie oben schon beschrieben alle Shopify-Kunden mit einem Europäischen Shop betrifft

anja-hh
Entdecker
36 0 5

Könnte sein, dass ich das versehentlich als Lösung anerkannt habe 😉 Aber super, dass das Thema nochmal aufgegriffen wird. 

Gabe
Shopify Staff (Retired)
19233 3006 4433

Hey @Karl-B 

 

Danke für die ausführliche Recherche aber das Problem wurde im Grossen und Ganzen durch Apps wie die GDPR App von Beeclever (die ich oben bereits erwähnt habe), gelöst. Diese App kann alle formen der Datenübertragung eines Shops an Dritte wie Google unterbinden und die Entwickler von Beeclever helfen dir gerne diese App richtig einzustellen denn da gibt es ein paar wichtige Dinge zu berücksichtigen.

 

Mein Rat

 

Viele Ladeninhaber beschäftigen sich so sehr mit solchen "rechtlichen" Themen, dass man die wesentlichen Themen (das Aufbauen und Wachsen eines erfolgreichen Online Business) oft in den Hintergrund rutschen lässt und dann im schlimmsten Fall oder letztendlich das Shop schließen muss aufgrund verpasster Opportunities.

 

Mein Rat: konzentriert euch auf euer Kerngeschäft statt sich mit solchen "auxiliaren" Themen zu sehr rumzuschlagen. Es führen immerhin 30,000 Händler erfolgreiche Shopify Shops in Deutschland und  für diese Händler werden solche Themen entweder durch Experten oder durch Apps wie die von Beeclever auf cleverer Weise gelöst. Falls das nicht für euch ausreichend sei, dann bleibt nur noch übrig euch mit einen Rechtsberater zusammenzutun oder euer Shop ganz zu schließen.

 

Tut mir leid keinen besseren Rat geben zu können ¯\_(ツ)_/¯.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Gabe
Shopify Staff (Retired)
19233 3006 4433

Verwandtes Thema hier.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Karl-B
Entdecker
14 0 6

Hallo @Gabe ,

 

diese Antwort finde ich etwas komisch und sehr sehr marketing-getrieben.

 

Du möchtest doch sicher auch, dass Dein Pilot vor Deinem Flug die rechtlichen Rahmenbedingungen einhält und eine Rundum-Sicherheitscheck macht (wie gesetzlich vorgeschrieben), damit Du sicher reisen kannst und nicht abstürzt.

Ach nein, der soll einfach nur fliegen und die Flughafen-(=Shopify-)-Gebühren zahlen und zusehen, dass er einfach mehr fliegt und seine Flüge ausbaut und mehr Kunden erreicht.

 

Auch beim Führerschein (z.B. Pkw/Lkw/Bus) ist immer ein vorheriger Check des Fahrzeugs (Luft in den Reifen, Nummernschild vorhanden, alles in Ordnung am Fahrzeug) fest verankert und damit könn(t)en Unfälle verhindert werden.

 

Leider nennst Du zwar schön marketinggerecht die Zahl 30K Kunden, aber Du weißt nicht, wieviele schon eine Abmahnung bekommen haben und was die Kosten dahinter waren.

und gleichzeitig verweist Du auf ein von jemand anderem (also nicht von Shopify) gelöstes Problem.

 

Die App GDPR Legal Cookie habe ich installiert, die behandelt meines Wissens (wie im Namen angegeben) die Cookie-Thematik.

 

Ich habe aber noch nicht gefunden, wie diese App Google ReCaptcha ersetzen kann.

Da bitte ich um ein eingehendere Beschreibung.

 

Kennst Du den Unterschied zwischen Cookies und ReCaptcha nicht (Deiner Antwort nach) oder hab ich noch zu wenig wissen dazu? (oder beschäftigst Du dich nur mit Marketing für Deinen Arbeitgeber und nicht mit den legalen Themen, die einzuhalten sind; ach ja, Ich vergaß, die Rechnungen wenn was legales nicht in Ordnung ist erhält ja Dein Arbeitgeber)

 

Konkret möchte ich eine html-Seite mit Recaptcha-ähnlicher Absicherung (Vorbeugung gegen Bots/Spam) einfügen, auf der man Dropdown-Felder ausfüllen kann, um direkt in die richtige Support-Warteschlange zugewiesen zu werden.

(Es steht alles, bis auf die ReCaptcha-Alternative)

 

Ich wüsste nicht, wie das mit der angesprochenen App funktionieren sollte.

 

Eine Rechtsberatung hilft da auch nicht zwingend weiter, Meiner Meinung nach sollte Shopify eine Lösung vorschlagen, da alle 30K Kunden betroffen sind, nur geschätzte 95% haben es ggf. noch nicht bemerkt, wenn sie so vorgehen wie oben von Dir vorgeschlagen.

 

Was schlägst Du / schlägt Shopify konkret zur Lösung dieser Thematik vor? 

 

Beste Grüße,

Karl

Gabe
Shopify Staff (Retired)
19233 3006 4433

@Karl-B 

 

Danke für die Analogies und ich verstehe was du meinst. Es ist aber wie ich gesagt habe und wir haben versucht dir so viel zu helfen wie wir es nur können, so dass du die Ziele erreichen kannst die du erzielen möchtest.

 

Mein sog. "Marketing"

 

Die Zahl 30k ist eine von mir genommene "Ballpark" Zahl, ist aber nicht ganz ungenau und du findest diese Zahlen im Internet. Ich empfehle, dass wir uns nicht zu sehr bzgl. diesen "Marketing" Zahlen (wie du sie nennst) hier beschäftigen. Viel besser wäre es deine wichtige und kostbare Zeit, wie gesagt, mit dem Erfolg deines Geschäfts und Business zu konzentrieren.

 

  • Konkret möchte ich eine html-Seite mit Recaptcha-ähnlicher Absicherung (Vorbeugung gegen Bots/Spam) einfügen, auf der man Dropdown-Felder ausfüllen kann, um direkt in die richtige Support-Warteschlange zugewiesen zu werden.

Was ich hier empfehle ist einen unserer Experten und Shopify Partner anzuheuern die das für dich gegen eine kleine Spende einbauen können. Der Mario ( @r8r ) und der Jonathan ( @Finer ) sind zwei Partner die sehr gute Arbeit leisten und die ich sehr dafür empfehle.

 

  • aber Du weißt nicht, wie viele schon eine Abmahnung bekommen haben und was die Kosten dahinter waren

Wenn eins unserer Händler eine Abmahnung bekommt dann ist die Community oder unser Kern Support der First-port-of-call wo der Händler geht um das zu melden und somit haben wir sowohl konkrete Statistiken was das betrifft also auch kompetente Advisors die bei solchen Fällen helfen können. Die Zahlen sind aber wie ich gesagt habe relativ niedrig.

 

Möchtest du aber mit mehr Pushback gegen meine Vorschläge hier um der Argumentation willen gegen-argumentieren dann werde ich diesen Thread für weitere Kommentare schliessen und werde dich an unsere Community Richtlinien verweisen

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

+1 für eine datenschutzrechtlich safe Alternative zu Google ReCaptcha im Shopify Core Umfang. #FeatureRequest @Gabe 

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Gabe
Shopify Staff (Retired)
19233 3006 4433

Danke @r8r 

 

Und gebe hier ruhig Vorschläge bzgl. einer Alternative hier und ich werde das an unsere Produktteams weiterleiten. Eine Lösung wäre vielleicht der hCaptcha (mehr dazu weiter unten) der anscheinend die Anforderungen von GDPR, CCPA, LGPD, PIPL und anderen globalen Datengesetzen erfüllt.

 

80% unserer globalen/weltweiten Händler bevorzugen derzeit den reCaptcha. In Deutschland ist, wie gesagt, das Thema etwas problematisch aufgrund Google und der Gang zum Rechtsberater ist hier sehr zu empfehlen. In allen anderen Länder und Märkte wird aber nicht viel darüber geredet, da der reCAPTCHA für die Kundenanmeldung bevorzugt wird, international gesehen. Derzeit sieht es so aus, dass unsere Investment Plans und Budgets eine Alternative zum reCaptcha nicht vorsehen, was ihr wahrscheinlich euch denken könnt.

 

Das derzeitige Behaviour des ReCaptcha

Derzeit ist es so, dass wenn man den reCaptcha im Adminbereich aktiviert, wird es sowohl zum Kunden-Login als auch zum Kontakt-Formular hinzugefügt. Es ist derzeit nicht möglich, nur das Login-Recaptcha zu deaktivieren. Händler können also den reCAPTCHA deaktivieren, aber das kann dazu führen, dass es zu viele Spam-Accounts kommt, die man wieder löschen muss was die Domain-Rating und Performance beeinträchtigen kann. Unsere hauseigene Fraud Filter App kann hier aber Abhilfe schaffen.

 

Wir haben Captchas an mehreren Stellen auf der Storefront:

  • Erstellung, Wiederherstellung und Anmeldung von Kundenkonten.
  • Checkout (veraltet).
  • Formulare, einschließlich Newsletter-Anmeldung, Kontaktformulare und Blog-Kommentare.
  • Messenger - Kit, Ping, Shopify Chat, Apple Business Chat (ReCaptcha V2).
  • Identity (Händlerkonto-Anmeldung und Login).

 

Etwas weitere Terminologie

  • Captcha: ein Programme oder System, die menschliche von maschinellen Eingaben unterscheiden sollen, um Spam und automatisierte Datenextraktionen von Websites zu verhindern.
  • ReCaptcha: reCAPTCHA ist ein von Google betriebener Dienst, der das Verhalten der Besucher deines Onlineshops analysiert, um Spam von Bots zu verhindern.
  • ReCaptcha V2: Das "Ich bin kein Roboter"-Kontrollkästchen fordert den Benutzer auf, ein Kontrollkästchen anzuklicken, das angibt, dass der Benutzer kein Roboter ist. Dadurch wird der Nutzer entweder sofort weitergeleitet (ohne CAPTCHA) oder er muss bestätigen, ob er ein Mensch ist oder nicht.
  • Recaptcha V3: Im Gegensatz zu v2 ist reCaptcha v3 für Website-Besucher transparent. Es gibt keine Herausforderungen zu lösen. Stattdessen überwacht reCaptcha v3 kontinuierlich das Verhalten des Besuchers, um festzustellen, ob es sich um einen Menschen oder einen Bot handelt.
  • hCaptcha: hCaptcha ist eine Alternative zu reCaptcha, von der wir in Zukunft vielleicht mehr sehen werden. 

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

@Gabe ich hab die letzten Jahre wirklich viel mit Datenschutzthemen zu tun gehabt – bin nach wie vor nur ein juristischer Laie, kann hier also keine rechtsgültigen Informationen geben, aber ich kann Dir meine Einschätzung aus der Erfahrung sagen und aus dem raus, was wir mit Jurist*innen zu tun hatten und haben:

 

ReCaptcha (egal welche Version zum aktuellen Zeitpunkt) ist sehr convenient in der Benutzung. Darum versteh ich auch, dass das sehr gerne und häufig eingesetzt wird. Dass es 80% Eurer Händler einsetzen kann ich schon verstehen – zum einen aus dem genannten Komfortgrund, zum anderen aber auch, weil es an integrierten Alternativen mangelt.

Das ändert aber nichts an der Tatsache, dass ich ReCaptcha in den seltensten Fällen datenschutzkonform eingesetzt sehe. Konkret muss ich – zumindest in der EU (nicht nur in Deutschland, wie Du das erwähnt hast) – die aktive Zustimmung der Besucher*innen einholen, bevor ich ReCaptcha lade. Warum? Weil es zu Google gehört, von der EU als personenbezogen definierte Daten für Google Server einsehbar macht und Google ein Unternehmen mit Sitz in einem unsicheren Drittland ist; nämlich den USA. Und als solches unterliegt es US-Recht und muss diese aus der EU stammenden personenbezogenen Daten gegebenenfalls an US-Behörden abliefern; ob sie das nun wollen oder nicht. Und das ist auch der Grund, warum ich als Webseitenbetreiber meinen Besucher*innen die Wahl geben muss, ob sie dem auch zustimmen wollen und das auch dokumentieren. (Selbe Logik wie bei der Google Fonts Thematik.) Wenn sie nun die Zustimmung verweigern, dann darf ich den Dienst auch nicht einbinden.

Das bringt uns zu der einen Variante, in der wir ReCaptcha auch schon einmal datenschutzkonform konfiguriert haben:

  1. Zustimmung abfragen und dokumentieren – z.B. über privacy consent Checkbox
  2. Wenn zugestimmt – ReCaptcha 
  3. Wenn nicht zugestimmt: Alternativimplementierung notwendig; wir haben das mit Magento z.B. via systemnativen Captcha gelöst. Elegant? vielleicht. Praktikabel? naja … viel Aufwand halt. Bei Shopify fehlt mir ein wenig die Fantasie, wie das technisch gelöst werden könnte.

ReCaptcha funktioniert super, ist relativ angenehm in der Verwendung (v.a. wenn gar kein Captcha gelöst werden muss) – aber ist nicht datenschutzfreundlich und in der Shopify Implementierung noch schwieriger DSGVO-konform zu bekommen als es das auch so schon ist. Soweit ich GDPR‑Legal‑Cookie von Beeclever kenne, löst die App dieses Problem auch nicht.

 

hCaptcha gehört zwar nicht zur google'schen Datenkrake, hat aber auch den Sitz in den USA, ist also meinem Verständnis nach 1:1 so zu behandeln wir das, was ich für ReCaptcha geschrieben habe.

 

Ich wünsche mir, dass Shopify eine datenschutzkonforme Lösung anbietet. Spam möchte keiner gerne haben. Was gibt es für Alternativen?

  1. native und lokale Captcha Lösung von Shopify. Vielleicht dann nicht so komfortabel, wie die Services etablierter Dienste, aber dafür safer.
  2. Datenschutzsensibles Fremdservice wählen: ich kenne hier nur FriendlyCaptcha, was auch das eine Service ist, das mit bisher immer und immer wieder empfohlen worden ist, wenn es um die datenschutzrechtliche Komponente geht. Der Betrieb ist nicht billig, aber es findet sich alles an Datentraffic auf Servern in der EU, was das Ganze ziemlich entschärft. Bin jetzt auch beim Suchen nach der URL über diesen Artikel gestolpert … wenn ich den vorher gesehen hätte, hätt ich mir viel Schreibarbeit sparen können … ¯\_(ツ)_/¯ 

Liebe Grüße,

Mario

 

PS: addendum:


@Gabe  schrieb:

Derzeit sieht es so aus, dass unsere Investment Plans und Budgets eine Alternative zum reCaptcha nicht vorsehen, was ihr wahrscheinlich euch denken könnt.

Das ist nicht die erste und bei weitem nicht die einzige Baustelle, in der Shopify mit dem one-size-fits-all Ansatz regionale Gesetze (ist halt dann Pech, wenn man als EU Händer*in da besonders stark betroffen ist) nicht einhält. Unter'm Strich kann es sich Shopify augenscheinlich leisten, diese Gesetze nicht zu befolgen. Ich geh davon aus, dass es Händler*innen gibt, die sich dessen nicht bewusst sind, wenn sie einen Shopify Store betreiben. Ob das auf Dauer gut gehen wird – only time will tell.

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Gabe
Shopify Staff (Retired)
19233 3006 4433

@r8r 

 

Ich stehe dir voll bei in dieser Sache und auch in den anderen Themen (Fonts, Chats, und jetzt sind auch angeblich alle Express Checkout Buttons DSGVO-widrig usw.) und kleinere wenn auch suboptimale Workarounds gibt es wie den Friendly Captcha. Apropos die Preise fangen mit einem Free Plan an wie man hier sieht:

 

image.png

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

Das stimmt, @Gabe – ich hab das aus Sicht von Shopify argumentiert … FriendlyCaptcha wird wahrscheinlich weniger preiswert anzubinden sein als Recaptcha.

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Gabe
Shopify Staff (Retired)
19233 3006 4433

@Karl-B @anja-hh @r8r 

 

Nach all den Hullabaloo wird der Google ReCaptcha als zulässiger Dienst von der IT-Rechtskanzlei eingestuft, wie du unten lesen kannst. Erst neulich hat die IT-Recht-Kanzlei genau dieses Thema aufgegriffen in diesem Beitrag (https://www.it-recht-kanzlei.de/google-fonts-recaptcha-youtube.html).

 

Da heißt es dazu:

 

Anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente innerhalb von Google reCAPTCHA (...) aber nicht eigenständig als datenschutzrechtliches Problem zu werten.

Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt.

Im Falle von reCAPTCHA geschieht dies über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und einer automatischen Entscheidung über weitere Legitimierungsanforderungen zur Abwehr automatisierter Seitenaufrufe und Distributed Denial of Service-Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Das liest sich so, dass die Einbindung von Google Fonts in Google reCAPTCHA insoweit nicht problematisch ist, wenn du den reCAPTCHA Dienst zur Spam-Abwehr benutzt, was einem berechtigten Interesse gleichkommt und Google Fonts hier nur dazu dient, das Design des reCAPTCHA Dienstes darzustellen. 

 

¯\_(ツ)_/¯

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

@Gabe ich lass Dir Deine Meinung.

Mein Standpunkt ist ein gänzlich anderer.

 

Ich hatte vor nicht einmal 24 Stunden im Rahmen eines Magento-Projektes einen interessanten Termin mit der Datenschutz-Kanzlei unseres Vertrauens; der wahrscheinlich prominentesten Kanzlei zu diesem Thema in Österreich, die auch ein eigenes Consent-Tool vertreibt. In dem Meeting wurde mir genau die Meinung bestätigt, die wir auch seit längerem unseren Kund*innen gegenüber vertreten.

Sukkus: es ist nicht praktikabel möglich, Google ReCaptcha einzusetzen. Es muss jedenfalls eine dokumentierte und informierte Einwilligung des Benutzers erfolgen bevor Google ReCaptcha rechtskonform geladen wird. Das ist bei ReCaptcha zwar technisch machbar, aber alles andere als praktikabel; vor allem in der Hinsicht, dass es ja eine Fallback Implementierung braucht, wenn diese Zustimmung nicht erfolgt. Möglicherweise wird es wieder einfacher, wenn Fr. von der Leyen und Hr. Biden sich zu einem neuen Abkommen durchringen; aber darauf würd ich langfristig auch nicht bauen.

 

Ich bin kein Jurist, wenn ich mich diesbezüglich irre, dann aber lieber in dem Sinne, dass wir vorsichtiger waren, als es in der Praxis notwendig gewesen wäre. Das ist meine Auffassung von verantwortungsvoller Dienstleistung. Das bedingt auch, dass wir in Projekten z.B. Google Services nur noch auf ausdrücklichen Kund*innenwunsch einsetzen.

 

Liebe Grüße,
Mario

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Gabe
Shopify Staff (Retired)
19233 3006 4433

Und ob IPs als PII gelten ist auch umstritten (siehe "city-wide IPs" oder "non-deterministic" bzw. "probabilistic identifiers" usw.)... 😉

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

MICH brauchst Du davon nicht zu überzeugen – ich bin im Lager "IP Adressen als personenbezogene Information zu definieren halte ich für zumindest schwer fragwürdig".

Einzig bin ich nicht die Instanz, die Gesetze verabschiedet und interpretiert. Und die Authoritäten sehen das aktuell augenscheinlich anders als ich.

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Karl-B
Entdecker
14 0 6

Hallo @Gabe 

 

für mich ist das ebenfalls ein klarer Feature Request.

Friendly Capture findet man nicht kostenlos für geschäftliche Nutzung (gibt es auch nicht-geschäftliche Online-Shops? - bitte um Erklärung)

 

Shopify bietet aktuell meines Wissens keine Möglichkeit, ein Chapta in der EU sinnvoll (=DSGVO-konform) einzubinden.

Die Investment Plans und Budgets sollten auch mit der Thematik "Neukunden-Aquise / Expansion in EU" korrelieren. EU-Expansion steht sehr sicher auch im Business Case.

aktuelle Einwohnerzahlen:

EU: ~450 Mio Einwohner, USA ~330 Mio Einwohner

 

Ein Neufahrzeug, das z.B. keine in EU zugelassenen Airbags hat (^ DSGVO-konformes Chaptcha) würde auch keine Zulassung in der EU bekommen (somit kein Verkauf in EU möglich)

 

Ich möchte nicht pushbacken (wie Du das nennst),

Ich möchte gerne eine sinnvolle Lösung seitens Core-Shopify, die es, so wie es aussieht momentan nicht gibt.

Ein Schliessen des Threads käme einer Ignorierung seitens Shopify gleich.

Ich schätze bis zu 80%-90% der Shopify-Händler (=Shopify-Kunden) in der EU sind sich dieses Themas nicht vollumfänglich bewusst

 

meinserseits also ebenfalls: (Danke für den Anstoß @r8r )

 

+1 für eine datenschutzrechtlich safe Alternative zu Google ReCaptcha im Shopify Core Umfang. #FeatureRequest

 

bzw. eine einfach anzuhakende Lösung (so wie aktuell ReCaptcha) für die EU zum implementieren (meinetwegen dann Friendly Capture, ggf. Verhandlungen zum Angeobtspreis für alle Shopify-Kunden)

Gabe
Shopify Staff (Retired)
19233 3006 4433

Hi @Karl-B 

 

Ich werde nochmal den oben-verlinkten Artikel von der IT Rechtskanzlei hier, FYI, verlinken um jeglichen "FUD" hier zu reduzieren. Siehe da insbesondere den Abschnitt III und auch den Fazit Abschnitt. 😉

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

r8r
Shopify Partner
2555 327 941

@Gabe der Artikel „Ist Shopify rechtswidrig? Datenschutzbehörde bringt Händler in Bedrängnis“ vom t3n heute Morgen ist dir wahrscheinlich schon bekannt.

Darin mag es nicht um Recaptcha konkret gehen, aber die folgende Aussage fasst den Eindruck gut zusammen, den wir bzw. von uns betreute Händler*innen gewonnen haben und was uns als Agentur davon abhält, Shopify als Lösung proaktiv zu pushen. Trotz dem extensiven Know-How, das wir in den letzten Jahren aufgebaut haben:

7F9CAAFB-2346-4122-983D-169BBD9EE544.png

FUD auf Seiten der Händler*innen, die letztenendes den Kopf hinhalten müssen, ist nicht verwunderlich. Und neiner Ansicht nach auch berechtigt. 

Auch nach Tobis Ausführungen fehlt mir leider nach wie vor der Glaube daran, dass in absehbarer Zeit eine Shopify-Version am Tisch liegt, die - inkl. ihrem Ökosystem - datenschutzrechtlich keine Sorgenfalten auf die Stirn der Händler*innen bringt. 

★ Ja, man kann mich buchen; schreib mir eine Nachricht!
★ Hinterlass gerne ein Like und markiere meine Antwort gegebenenfalls als Lösung. Ich freue ich mich immer über eine Spende an die (Kinder)krebshilfe oder eine kleine Aufmerksamkeit.
Studio Mitte
Gabe
Shopify Staff (Retired)
19233 3006 4433

Hey Mario! @r8r 

 

FYI, das Thema besprechen wir auch gerade hier.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog