#BBA21 Die Game Changer ... ja nur keine Krise ungenützt verstreichen lassen

In der Kategorie "Behörden und Verwaltung" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

Google Recaptcha auf oesterreich-testet.at (Sozialministerium)

Alle Jahre wieder tauchen, von unseren Steuergeldern bezahlten Websites [1] auf, die Google ReCaptcha [2] in die Seite einbauen und damit die Benutzerinteraktion an den US-Konzern verraten.

Als Steuerzahler könnte man sich freuen, wenn dies die einzige kostenlose Alternative wäre, um sich vor Spam und Bots zu schützen - aber nicht nur, dass es zahlreiche kostenfreie Open Source Software als Alternativen gibt, stellt sich in diesem Fall ganz besonders die Frage, ob nicht ein einfacher Datenbankabgleich Bots verhindert hätte - sind doch alle diese Daten Pflichtfelder:

  • Vorname,
  • Familienname,
  • Geschlecht,
  • Geburtsdatum,
  • Straße,
  • Hausnummer,
  • PLZ,
  • Ort,
  • Telefonnummer

Mit diesen Daten kann man ganz einfach und treffsicher überprüfen, ob die, in das Formular eingegebenen Daten eine Person beschreiben, die im österreichischen ELGA-System gemeldet ist, die auch zum COVID-19 Schnelltest berechtigt ist - übrigens eine Information die Google nicht zum Verifizieren nutzen kann.

Das SpamBots genau diese Daten erraten könnten erscheint als völlig unmöglich, womit das Risiko, dass ein SpamBot diese WebSite missbrauchen könnte, um einen fehlerhaften Eintrag zu produzieren ausgeschlossen werden kann.

Da es also kein Risiko eines Missbrauchs gibt stellt sich die Frage, warum alle, die sich zu einem Schnelltest via Website anmelden wollen, gezwungen werden sich zu outen, indem sie den Dienst ReCaptcha von Google [3] nutzen müssen - geht es doch um die Anmeldung zum COVID-19 Schnelltest - also um Gesundheitsdaten, die zumindest in der DSGVO als besonders schützenswert gelten.

Spätestens seit 2009 als Google ReCaptcha gekauft hat weiß man, dass diese Daten dem Konzern zur Verfügung stehen. “Google will die Technik für Zugangskontrollen und für das Einscannen von Büchern verwenden.” [4]

Die Qualität der Benutzererkennung dürfte jedoch nicht an den zur Auswahl stehenden Bildchen sein, sondern das zum Zeitpunkt des Aufrufs der Website Google nicht nur den Inhalt der Seite in der reCaptcha eingebaut ist, sondern bereits einiges über den aufrufenden Internetnutzer weiß (wie die IP-Adresse, die vom Konzern gesetzten Cookies und alle im Head übertragenen Informationen über den User). [5]


  1. Österreichischer Parlamentsserver vernadert Petitionsunterzeichner Die Parlamentsdirektion begründete den Einsatz des Google-Captcha-Programms auf Anfrage damit, dass dieses von mehr als 200.000 Websites weltweit verwendet werde, unter anderem auch von Facebook. ↩︎

  2. <script src="https://www.google.com/recaptcha/enterprise.js?render=6LdzR_kZAAAAANRrWxRv-zsFtxV7QOnn7wlBvYkA"></script>
    ↩︎

  3. Wikipedia
    Privacy
    The current iteration of the system has been criticized for its reliance on tracking cookies and promotion of vendor lock-in with Google services; administrators are encouraged to include reCAPTCHA tracking code in all pages of their website to analyze the behavior and “risk” of users, which determines the level of friction presented when a reCAPTCHA prompt is used. Google stated in its privacy policy that user data collected in this manner is not used for personalized advertising. It was also discovered that the system favors those who have an active Google account login, and displays a higher risk towards those using anonymizing proxies and VPN services.
    Concerns were raised regarding privacy when Google announced reCAPTCHA v3.0, as it allows Google to track users on non-Google websites. ↩︎

  4. ZDNet
    Google kauft ReCaptcha

    ReCaptcha bietet unter anderem Captchas an, die Spam-Bots den Zugang zu Websites verwehren sollen. Dabei handelt es sich um deformierte Schrifttypen, die Nutzer entziffern und eingeben müssen, um Zugriff auf bestimmte Webbereiche zu erhalten. Die Idee hinter diesen Captchas ist, dass nur Menschen sie lesen können, nicht aber Computer. Google will die Technik für Zugangskontrollen und für das Einscannen von Büchern verwenden. ↩︎

  5. Captchas: Es muss nicht immer reCAPTCHA sein
    Was viele nicht wissen: Die Zuverlässigkeit kommt nicht nur von den gut ausgewählten Rätseln. Im Hintergrund erhält jede Benutzerin und jeder Benutzer einen Fingerabdruck, der eine grosse Rolle bei Googles Turing-Test spielt. Jede Anfrage erhält einen Score mit undurchsichtigem Ranking, bei dem viele Faktoren mitspielen. Das könnten die IP-Adresse oder auch google.com-Cookies sein. Grundsätzlich vermute ich, dass Google hier möglichst viele verfügbare Daten hinzuzieht, weil das den Dienst zuverlässig macht. ↩︎