网站运营商面临的一个主要数据保护问题是遵守 GDPR 第 13 条规定的向用户提供信息义务。由于不清楚谷歌收集哪些数据,因此很难充分履行这一义务。
reCAPTCHA 数据传输至美国
网站运营商还需要注意的是,使用 reCAPTCHA 会与 Google 的服务器建立连接。尽管该服务的提供商是爱尔兰谷歌子公司“Google Ireland Limited”,但根据谷歌的说法,数据是以缩写形式传输到美国。因此,运营商必须遵守向第三国传输的要求,特别是通过标准数据保护条款的形式签订适当的保障措施,以便为网站用户提供适当级别的数据保护。
2023年7月,欧盟与美国 达成数据隐私框架(DPF)。该协议为欧盟作出充分性决定奠定了基础,即美国确保了足够的数据保护水平。它引入了新的具有约束力的保障措施来解决欧洲法院提出的所有担忧。现在,来自欧盟的个人数据可以转移到参与该框架的美国公司,而无需额外的数据保护保障措施。谷歌也已批准了 DPF。然而,跨大西洋数据保护协 台湾号码资料 议已经受到批评。
reCAPTCHA 也使用 Google 字体。 Google Fonts 是一项负责在网站上加载字体和排版元素的服务。 reCAPTCHA 激活字体并传输用户的 IP 地址。
因此,Google 字体也应包含在隐私政策中。
由于网站非法集成 Google 字体,该服务已引发多波警告。这是基于慕尼黑地方法院的一项裁决(2022 年 1 月 20 日判决,3 O 17493/20),该裁决认定整合 Google 字体需要获得同意。在此项判决中,地区法院认定,根据《德国民法典》(BGB)第823条第1款,信息自决权形式侵犯了一般人格权。
结论
使用 Google reCAPTCHA 与使用大多数 Google 服务一样,在数据保护法方面存在问题。 “免费”的安全解决方案收集了大量数据。虽然透明地描述服务并获得同意是迈向数据保护合规的一步,但为了安全起见,应该选择其他提供商。