Seit einigen Tagen beschäftige ich mich wieder voll mit dem Thema DSGVO (Datenschutz Grundverordnung). Dabei sind mir einige Sache aufgefallen, die allgemein als DSVGO konform gelten, die ich aber für zumindest zweifelhaft empfinde. Ich starte heute eine Reihe zur DSGVO mit dem FriendlyCaptcha Tool.
Das kostenpflichtige „Friendly Captcha“ Tool wird auf der friendlycaptcha.com Webseite angeboten. Es gibt auch eine kostenlose Version mit starken Einschränkungen. Allgemein gilt, dass dieses Tool Datenschutzkonform ist.
Ich erspare mir nun eine genaue Aufzählung, was das Tool ist und wie es funktioniert. Bei der Integration des Skripts bei einem bekannten Unternehmen ist mir Folgendes aufgefallen. Dies ist vielleicht nicht allgemein der Fall, aber in diesem speziellen Fall war es so. Es wird die kostenpflichtige Version des Tools verwendet. Dazu baut das Tool bei der Aktivierung und Überprüfung eines Zugangs eine Verbindung zu eu-api.friendlycaptcha.eu auf. Dabei werden der API-Schlüssel und andere Daten übertragen. Eine Analyse zeigte, dass die IP von eu-api.friendlycaptcha.eu beim deutschen Hoster Hetzner liegt. Das Script speichert keine Cookies. Alles super!
Dann habe ich mir die Einbindung des Scripts angeschaut. Es wurde in meinen Fall ein Script eingebunden.
https://cdn.jsdelivr.net/npm/[email protected]/widget.module.min.js
Die JS Datei wird von Cloudflare geladen. Die verweisende IP ist in den USA registriert. Und damit fangen die Zweifel der DSGVO Konformität bei mir an. Mit den USA gibt es zum Zeitpunkt des Artikels kein Datenschutzabkommen. Selbst wenn die IP in Europa gehostet wird, besteht zumindest ein Bezug zu den USA und ein Datentransfer kann nicht ausgeschlossen werden. Damit wäre für mich die DSGVO Konformität hinfällig.
Ich weise darauf hin, dass dies in meinem Fall so passiert ist und man jeden Fall neu bewerten muss. Man könnte das Skript wahrscheinlich auch auf der eigenen Website speichern und hätte damit eine sehr gute Lösung. Man sollte jedoch nicht vergessen, einen AV-Vertrag mit Friendly Captcha abzuschließen und den Dienst in seiner Datenschutzerklärung zu erwähnen.
Ich werde Euch über die Entwicklung von Friendly Captcha und des Kunden auf dem Laufenden halten.
Nachtrag
Ab sofort biete ich Prüfungen nach DSGVO Konformität an.
Update
Ich wollte nun Friendly Captcha selbst testen. Das Skript mit EU Endpoint ist jedoch kostenpflichtig. Das bedeutet, dass jeder, der Friendly Captcha in Deutschland DSGVO-konform nutzen möchte, ein Abonnement abschließen muss. Ich gehe davon aus, dass man mit 9 Euro (pro Monat!) dabei ist.
Im Account habe ich keine Möglichkeit gefunden, den Account zu löschen.
Ich glaube, eine eigene Lösung muss her…
Neueste Kommentare