Follow

Die lokale Impf-Voranmeldungsseite verwendet Google Recaptcha. Toll.

Wie seht ihr die Chance dass Google tatsächlich personenbezogene Daten, die auf der Seite auf der das eingebunden ist massenhaft eingegeben werden müssen. über recaptcha abgreift?

@murks Die eingegebenen Daten wird Google wohl nicht abgreifen. Aber dass eine bestimmte Person (identifiziert durch ihre Ad-ID) diese Website genutzt hat, wird Google sicherlich in das Schattenprofil eintragen, dass Google über uns alle führt.

@chpietsch Danke.
Aber kann ich da mehr machen als zu hoffen? Sind datenschutzfreundliche Captchas wirklich so viel schlechter? Gibt es da Empfehlungen die ich den Verantwortlichen zukommen lassen kann?

Die Seite, falls es jemanden interessiert, ist übrigens: kaernten-impft.ktn.gv.at/

@murks

Es gibt gute Alternativen zu #reCaptcha. Als Drop-in-Ersatz scheint hcaptcha.com immer beliebter zu werden, aber ich habe noch nicht geprüft, wer dahinter steckt.

Weitere Alternativen sammle ich hier: pad.foebud.org/google-alternat

Da stehen:

· MTCaptcha: mtcaptcha.com/

· ReMAPTCHA: wiki.hsr.ch/StefanK phpcaptcha.org/https://www.php

· textcaptcha.com/

· scorchsoft.com/blog/recaptcha- honeypot forms

· checking IP addresses against RBLs

· captcha.com/ - BotDetect, a CAPTCHA implementation

· akismet.com/ Akismet, known spammer API -> de.wikipedia.org/wiki/Akismet#

· drupal.org/project/botcha Botcha "anti-captcha" (the technique used is very easy to implement elsewhere but also very effective)

· pluscaptcha.com

· keycaptcha.com

· solvemedia.com

· geetest.com (Website only Chinese but captcha is multi-language)

· coinhive.com/#captcha

@chpietsch Danke! Ich habe ihnen vorerst diese Seite als Vorschlag geschickt: switching.software/replace/goo

Bin gespannt ob und was da zurückkommt.

@murks @chpietsch Schlechter sind sie nicht unbedingt, aber die meisten Webmaster wissen nicht, daß es auch noch was anderes als Google reCaptcha gibt.

So, wie auch die meisten Internetnutzer nicht wissen, daß es auch andere Suchmaschinen als Google gibt. Oder andere Kartendienste als Google Maps.

Deswegen sind auch proprietäre Mobil-Apps randvoll mit Google- und Facebook-Abhängigkeiten: "Geht ja nicht anders, gibt ja nix anderes, machen ja alle so."

@MartinG @chpietsch Genau aus dem Grund habe ich in meiner Email klargestellt dass es zur Spam- / Botvermeidung andere Möglichkeiten gibt und gleich ein paar Beispiele mitgeliefert.
Die Email ging an die technisch zuständige Abteilung und den Datenschutzbeauftragten.
Ich hoffe die Email einfach und klar genug formuliert zu haben dass sie auch ein eventuell technisch nicht versierter Datenschutzbeauftragter versteht, in der Hoffnung daß so eher etwas passiert.

@chpietsch @murks Lieber Christian, Google kann noch längst nicht über uns alle Schattenprofile anlegen und somit auch nicht jedem Mensch seine Werbe-ID aufdrücken. 😉

@archetyp @murks

Ja doch. Alle, die das Web benutzen, begegnen irgendwann einer Google-Website oder einer Website, die Werbung von Google eingebunden hat, und bekommen eine Werbe-ID und ein Profil bei Google. Alles, was man erreichen kann, ist, sein Online-Verhalten über mehrere Werbe-IDs zu verteilen und hoffen, dass Google es nicht schafft, die alle demselben Profil zuzuordnen.

Das kann man z.B. in den Studien von Wolfie Christl nachlesen: crackedlabs.org/

@murks Abgesehn vom Daten abgreifen ist allein die Tatsache, dass und wann man auf so einer Seite n captcha ausfüllt n mehr oder weniger interessanter Datenpunkt.
@murks Vor allem, wenn man den über cookies/IP Adresse/Browser fingerprint mit anderen Daten kombinieren kann.

@baschdel @murks Glückskekse werden hier nach dem Schließen des Webbrowsers gelöscht, außerdem verweigert mein Browser die Annahme der Kekse von Dritten, überdies zerstören die sich noch während längerer Webnutzung quasi von selbst.

Google erhält nur falsche IP-Adressen sowie Fehlinformationen über Browser und Betriebssystem. Canvas Fingerprinting wird wirksam unterbunden und Werbung erfolgreich blockiert.

Ansonsten: Kein Smartphone, kein Facebook, kein Twitter etc.

@murks Die Chance ist imho sehr sehr hoch, denn nicht nut das Fratzenbuch greift ab, was nicht bei 3 auf den Bäumen ab. Google ist genauso evil. 🤬

@Cyb3rrunn3r Zutrauen würde ich es ihnen auch, ich vertraue Google nicht.
Die Frage ist ob man es feststellen kann. Unterbinden werde ich es wohl nicht können wenn ich die Seite nutzen möchte.

Hilfreich wäre es vielleicht wenn man den Verantwortlichen eine Alternative nahelegen könnte, auch wenn das den rund 100000 Menschen die diese Seite schon genutzt haben sollen nicht mehr hilft.

@murks Ich vertraue Google auch nicht, daher ist bei NextDNS "NoGoogle" aktiviert. Dass das funktioniert sehe ich daran, dass die ganze Recaptcha-💩 nicht funktioniert.

@murks
Fahr doch einfach mal mit dem #traecktor drüber, vielleicht hilfts.

träcktor.de/#/

@ck Interessante Seite, muss ich mir erst genauer ansehen, danke!

@murks ich wäre überrascht wenn google von einem eingebunden captcha aus zugriff auf andere textfelder auf der seite oder der gleichen hätte, lasse mich aber eines besseren belehren ggf.

@matrixsasuke Soweit ich weiß hat jedes Javascript das auf einer Seite eingebunden ist vollen Zugriff auf die Seite. Zumindest ist mir da kein Schutzmechanismus bekannt. Lasse mich da aber auch gerne eines besseren belehren.

@murks Letztendlich interessante Frage für mich: Sind das nicht per definitionem Patientendaten? Und wenn ja, unterliegen diese nicht der DSGVO?

@schurig Es sind ersteinmal personenbezogene Daten und sie unterliegen der DSGVO. Google ist auch in der Datenschutzerklärung erwähnt, wobei es schwammig formuliert ist welche Daten an Google gehen, wohl weil sie es selbst nicht genau wissen.

"Für die Analyse werden verschiedene Informationen, wie etwa die IP-Adresse, die Verweildauer, oder die Mausbewegungen herangezogen."

Aber da es sich um die Voranmeldung zu einer Impfung handelt sehe ich da auch einen Gesundheitsbezug.

@murks @Welchering @lfdi
Hallo, nochmal zum Thema "Eine Online-Terminvergabe bei Ärzten generiert Gesundheitsdaten, die durch Googles ReCaptchas (siehe Screenshot) nicht mehr durch die DSGVO geschützt sind":
Wenn ich die Definition von „Gesundheitsdaten“ der Bundesärztekammer (s.u.) durchlese, komme ich laienhaft zu der Auffassung, dass Recaptchas auf Arzttermin-Vergabeseiten (Beispiel unten) Patientendaten aggregieren, oder?

„Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person (Patienten), einschließlich der Er-bringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Die Datenschutzgrundverordnung sieht für die Verarbeitung solcher Daten besondere Regelungen mit erhöhten Rechtmäßigkeitsanforderungen vor: Die Verarbeitung von Gesundheitsdaten ist unter den in Art. 9 Abs. 2 DSGVO genannten Voraussetzungen erlaubt.“

Quelle: bundesaerztekammer.de/fileadmi

@schurig @Welchering @lfdi
Hallo! Laut dieser Definition würde ich das auch so sehen, ich weiß aber nicht ob das die gültige ist. Der Grund weshalb ich das als Gesundheitsdaten sehe ist, dass man mit der Impfanmeldung implizit sagt dass man nicht geimpft ist, und das ist eine Information über den Gesundheitszustand.

Eine weitere Frage die ich mir stelle ist, ob man den Hostingprovider in der Datenschutzerklärung angeben muss.

Ich bin auch schon auf die Antwort auf meine Email gespannt.

@murks @chpietsch
Danke für die Warnung. Da ich alles was mit #Google anfängt im Browser auf die Blockliste gesetzt habe, sehe ich die #Captchas noch nicht mal. Wenn ich nicht drauf komme, dass die so was verwenden, bin ich dann regelmäßig verwundert, warum zum Teufel sich auf der Seite nix tut ...

@murks
Wir haben google analytics und amazon Cloud Dienste,.Cookies ohne Information und fehlendes Impressum auf der Terminseite in #magdeburg.

Mail an die Datenschutzbeauftragte ist raus. Bin gespannt auf ihre Antwort.

@joerg Das ist ja noch schlimmer.

Auf's hosting hatte ich nicht gedacht. Hab aber den SSL-Check (ssllabs.com/ssltest/) drüberlaufen lassen (zum Glück ein A) und da was von *.azurewebsites.net gelesen.
Mittels traceroute lande ich bei fra21.ntwk.msn.net, dürfte also wohl tatsächlich in der MS cloud liegen. Danke für's drauf aufmerksam machen.

@murks Laut Google sehr wahrscheinlich 😎 Üblicherweise setzt Google ReCaptcha das NID-Cookie, sobald man die Checkbox geklickt hat. Und das wird genutzt, um Werbung zu personalisieren.
policies.google.com/technologi

Sobald du das festgestellt hast, könntest du tatsächlich mit unserem Beschwerde-Generator-Tool Träcktor (bald "Tracktor.it!") dagegen vorgehen. Allerdings funktionieren die Texte noch nicht für Ö, du müsstest es also etwas umschreiben, hier gabs so einen Fall:
forum.kuketz-blog.de/viewtopic

@rufposten @murks
@chpietsch
Mir war Mal vor Jahren ein Captcha untergekommen, wo man neben Verifizierung als Mensch gleichzeitig beim Digitalisieren von eingescannten Büchern (?) geholfen hat. Ist nicht geeignet für Screenreader, klar - aber gibt's das noch?

@murks
Ups. Danke für die Aufklärung. Eigentlich schade, aber Scan-Software wird ja immer besser, da brauchen sie das vielleicht sowieso nicht mehr.
@rufposten @chpietsch

@blueplanetslittlehelper @rufposten @chpietsch Das erschien mir auch sinnvoller. Stattdessen hilft man ihnen jetzt offenbar ihre Objekterkennung für selbstfahrende Autos zu trainieren.
Mir waren die Bücher lieber.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!