Google verkauft reCAPTCHA v3 als Sicherheits- und Anti-Bot-System.

----

Der „Google"-Wolf im "Bot-Schutz"-Schafspelz

Wer ein gehärtetes oder datensparsames System, wie GrapheneOS, Vanadium und anderen alternativen oder privacy-freundlichen Betriebssystemen und Browser verwendet, kennt das Problem oft bereits aus dem Alltag:

Webseiten funktionieren plötzlich nicht mehr richtig. Verifikationen schlagen fehl. QR-Codes lassen sich nicht verarbeiten. Bestimmte Funktionen bleiben gesperrt oder enden in endlosen Schleifen aus „Sicherheitsprüfungen“.

Und fast immer lautet die offizielle Erklärung: „Bot-Schutz“, „Sicherheit“ oder „Missbrauchs-prävention“. Doch genau diese Erklärung greift inzwischen zu kurz.

Google reCAPTCHA v3 ist längst kein klassisches CAPTCHA-System mehr. Es geht nicht mehr darum, ob ein Mensch ein paar Bilder anklicken oder verzerrte Zeichen erkennen kann. Moderne Vertrauenssysteme bewerten stattdessen den Nutzer selbst — anhand seines Geräts, seines Browsers, seines Verhaltens und seiner Plattformintegration.

Dort beginnt das eigentliche Problem.

Moderne Vertrauenssysteme prüfen damit nicht mehr primär, ob ein Mensch handelt. Bewertet wird vielmehr, ob die Interaktion aus einem technisch akzeptierten und ausreichend vertrauenswürdigen Plattform-Ökosystem stammt.

Denn Systeme wie GrapheneOS oder gehärtete Browser wie Vanadium reduzieren bewusst Telemetrie, Fingerprinting und Plattformabhängigkeit. Genau das ist schließlich ihr Zweck. Sie sollen Nutzer gerade davor schützen, umfassend beobachtet, klassifiziert oder wiedererkannt zu werden.

Moderne Vertrauens- und Risiko-Infrastrukturen scheinen jedoch zunehmend genau diese Beobachtbarkeit vorauszusetzen.

Wer möglichst „reibungslos“ durch reCAPTCHA v3 und ähnliche Systeme gelangen möchte, soll möglichst:

• standardisierte Plattformen nutzen,

• originale Google-Komponenten verwenden,

• Integritäts- und Attestierungsmechanismen akzeptieren,

• und ein technisch möglichst gut beobachtbares Gerät besitzen.

Damit entsteht schleichend ein struktureller Druck weg von unabhängigen oder privacyfreundlichen Systemen hin zu eng integrierten proprietären Plattform-Ökosystemen.

Formal bleibt das Web zwar offen. Praktisch entstehen jedoch erhebliche Nachteile für Nutzer alternativer Systeme.

Der eigentliche Skandal ist, dass es längst nicht mehr nur um Datenschutz oder Tracking geht.

Es geht um die Frage, wer zukünftig bestimmt, welche Geräte, Betriebssysteme und Browser noch problemlos am modernen Web teilnehmen dürfen.

Besonders problematisch ist dabei die Rolle der Webseitenbetreiber selbst.

Die tatsächliche technische und datenschutzrechtliche Tragweite dieser Systeme wird von den Verantwortlichen möglicherweise selbst unterschätzt, während zentrale Teile der Bewertungs- und Verarbeitungslogik Dritter öffentlich nur eingeschränkt nachvollziehbar bleiben.

Denn die eigentliche Verantwortung liegt nicht allein bei Google. Verantwortlich sind auch die Betreiber der Webseiten, die reCAPTCHA bewusst einbinden und damit ihre Nutzer dieser Infrastruktur aussetzen.

Besonders bemerkenswert erscheint dabei, dass Verantwortliche im Falle entsprechender Auskunftsersuchen gemäß Art. 12 Abs. 3 DSGVO grundsätzlich innerhalb eines Monats antworten müssen. Gerade wenn reCAPTCHA v3 als etablierter und produktiv eingesetzter „Sicherheitsstandard“ verwendet wird, müssten die hierfür erforderlichen datenschutzrechtlichen Bewertungen, Rollenklärungen, Transparenzinformationen und Dokumentationen bereits vor dem produktiven Einsatz der Infrastruktur belastbar vorgelegen haben.

Viele dieser Verantwortlichen dürften allerdings kaum belastbar erklären können:

• welche konkreten Geräte- und Browsersignale verarbeitet werden,

• welche Fingerprinting-Methoden beteiligt sind,

• welche Bewertungslogik angewendet wird,

• welche Rolle proprietäre Integritätsmechanismen spielen,

• oder warum genau diese Datentiefe überhaupt erforderlich sein soll.

Trotzdem setzen sie diese Systeme aktiv ein.

Genau hier liegt vermutlich auch der wirksamste Hebel.

Einzelne Beschwerden gegen Google werden wenig verändern. Der deutlich effektivere Ansatz könnte darin bestehen, die tatsächlichen Verantwortlichen mit präzisen DSGVO-Anfragen zu konfrontieren. Nicht als Angriff. Nicht als „Anti-Google-Kampagne“.

Sondern als konsequente Transparenzprüfung. Denn wenn plötzlich tausende Nutzer privacy-freundlicher Systeme beginnen zu fragen,

• warum reCAPTCHA konkret erforderlich sein soll,

• welche Daten verarbeitet werden,

• welche Rolle Google tatsächlich spielt,

• warum alternative Systeme benachteiligt werden,

• und ob hierfür überhaupt eine saubere datenschutzrechtliche Bewertung existiert,

entsteht ein reales organisatorisches Problem.

Nicht für einzelne Nutzer. Sondern für die Verantwortlichen selbst. Und genau dadurch könnte ernsthafter Druck auf moderne Vertrauens- und Integritätsinfrastrukturen entstehen.

Warum reCAPTCHA ein Problem für den Webseitenbetreiber ist...

"reCAPTCHA v3 ein Problem für Webseitenbetreiber, nicht für User" vollständig lesen

Drei Entwürfe, ein Gesamtbild der aktuellen Gesetzesinitiative

Der vorliegende Gesetzgebungskomplex besteht nicht aus einer einzelnen Maßnahme, sondern aus mehreren, inhaltlich eng miteinander verzahnten Entwürfen:

• dem Entwurf eines Gesetzes zur Änderung der Strafprozessordnung mit neuen
  Befugnissen wie dem automatisierten biometrischen Internetabgleich
  (§ 98d StPO-E) und der verfahrensübergreifenden Datenanalyse (§ 98e StPO-E),
• sowie parallelen Änderungen im Bundeskriminalamtgesetz (BKAG) und weiteren
  polizeirechtlichen Vorschriften, die vergleichbare Instrumente für die
  Gefahrenabwehr vorsehen.

Diese Entwürfe sind nicht isoliert zu betrachten. Sie verfolgen eine gemeinsame Zielrichtung, nämlich die systematische Nutzung, Verknüpfung und Auswertung großer Datenbestände durch automatisierte Verfahren.

Genau deshalb behandeln auch die im Verfahren abgegebenen Stellungnahmen – aus Anwaltschaft, Zivilgesellschaft, Technik und polizeilicher Praxis – diese Vorhaben als zusammenhängendes Gesamtpaket.

Wer den Regelungsgehalt verstehen will, muss sie gemeinsam lesen.

---

These

Dieser Gesetzgebungskomplex verschiebt die Logik staatlichen Handelns:
Nicht mehr der Verdacht begrenzt den Eingriff – sondern die technische Möglichkeit bestimmt, wann er erfolgt.

Das ist eine harte Aussage. Sie ist überprüfbar. Und sie ergibt sich – Schritt für Schritt – aus dem Material, das dem Gesetzgebungsverfahren selbst zugrunde liegt.

Der vorliegende Gesetzgebungskomplex zur Erweiterung digitaler Ermittlungsbefugnisse – insbesondere durch Änderungen der Strafprozessordnung (§§ 98d, 98e StPO-E) sowie flankierende Anpassungen im BKAG – zielt auf die automatisierte Auswertung und Verknüpfung großer Datenbestände.

Allen vorgelegten Ausführungen fehlt letztlich jede nachvollziehbar begründete Bestimmung dessen, was im Kontext dieser Gesetzesinitiative überhaupt noch als Unschuld gelten soll.

Der Amtseid bindet jeden Amtsträger an das Grundgesetz. Diese Bindung gilt nicht weniger, sondern in besonderem Maße dort, wo staatliches Handeln seine rechtlichen Grundlagen erst erhält.

Wenn jedoch zentrale Schutzwirkungen wie die der Unschuldsvermutung in ihrer praktischen Bedeutung relativiert werden, stellt sich die Frage, wie diese Verpflichtung im konkreten Fall verstanden wird.

---

1. Der Ausgangspunkt: Nicht zu wenig Daten – sondern zu wenig Auswertung

Die kriminalpolizeiliche Praxis beschreibt ihre Ausgangslage ungewöhnlich offen. Das zentrale Problem moderner Ermittlungsarbeit liege nicht im Mangel an Informationen, sondern in deren fehlender Auswertbarkeit (vgl. Stellungnahme des Bund Deutscher Kriminalbeamter).

Dieser Befund ist mehr als eine Beschreibung. Er markiert eine Verschiebung.

Er bedeutet: Der Staat verfügt bereits über große Datenmengen. Die Herausforderung besteht nicht mehr darin, Informationen zu erheben, sondern darin, sie zu verknüpfen, auszuwerten und daraus neue Erkenntnisse zu gewinnen.

Genau hier setzen die Entwürfe an. Sie schaffen die rechtliche Grundlage dafür, vorhandene Daten systematisch auszuwerten und Zusammenhänge sichtbar zu machen, die mit klassischen Methoden nicht erreichbar wären (vgl. BDK).

Damit verschiebt sich der Ausgangspunkt staatlichen Handelns:

Nicht mehr der konkrete Verdacht steht am Anfang,
sondern die Existenz auswertbarer Daten.

---

2. Der biometrische Abgleich: Ein Instrument zwischen Norm und Realität

Ein zentrales Element der Entwürfe ist der automatisierte biometrische Abgleich mit Internetdaten. Im Gesetzestext erscheint er als begrenztes Instrument: einzelfallbezogen, nachträglich, beschränkt auf öffentlich zugängliche Inhalte.

Diese Beschreibung ist präzise – aber sie bildet die Realität nur unvollständig ab.

Aus der kriminalpolizeilichen Praxis selbst wird festgestellt, dass ein eigenständiger umfassender Abgleich durch staatliche Stellen „aufgrund der Größe und Dynamik der verfügbaren Datenräume faktisch nicht realisierbar“ ist (vgl. Bund Deutscher Kriminalbeamter).

Gleichzeitig wird darauf hingewiesen, dass die erforderlichen technischen Fähigkeiten vielfach bei externen Anbietern liegen – teils außerhalb der Europäischen Union (vgl. Gewerkschaft der Polizei).

Damit wird ein struktureller Widerspruch sichtbar:

"Wo ist die Unschuld geblieben?" vollständig lesen

Digitale Überwachung ist keine Maßnahme - sie ist Machtstruktur!

Debatten über staatliche Überwachung werden in Deutschland und Europa meist entlang einzelner Instrumente geführt: IP-Adressdatenspeicherung, Verkehrsdatenspeicherung, Body-Cams, automatisierte Analyseplattformen. Jede Maßnahme wird für sich bewertet, rechtlich abgewogen, befristet legitimiert. Was dabei systematisch fehlt, ist der Blick auf das Ganze – auf die entstehende Überwachungsinfrastruktur als Machtfaktor.

Zwei internationale Beispiele machen diese Blindstelle besonders deutlich: der gezielte Ausbau digitaler Kontrollsysteme im Iran und die Ereignisse in Afghanistan nach der Machtübernahme durch die Taliban. Beide Fälle sind politisch, kulturell und historisch unterschiedlich. Ihre technische Lehre ist jedoch identisch.

In Afghanistan wurden über Jahre hinweg mit westlicher Unterstützung digitale Verwaltungs- und Sicherheitsinfrastrukturen aufgebaut. Biometrische Register, Personaldatenbanken, mobile Identitätsprüfgeräte und vernetzte Verwaltungsdaten sollten staatliche Stabilität, Sicherheit und Effizienz fördern. Mit dem Machtwechsel 2021 änderte sich nicht die Technik, sondern der Zugriff. Die Taliban mussten keine neuen Systeme entwickeln. Sie übernahmen vorhandene Daten, vorhandene Verknüpfungen, vorhandene Infrastruktur. Die daraus folgende Repression war nicht primitiv, sondern effizient, selektiv und datenbasiert. Entscheidend ist dabei nicht das afghanische Beispiel an sich, sondern die Erkenntnis, dass digitale Überwachungsinfrastruktur regimeagnostisch ist. Sie überlebt politische Systeme.

Der Iran zeigt das gleiche Prinzip in einer anderen zeitlichen Perspektive. Dort wurde Überwachung nicht übernommen, sondern systematisch aufgebaut. Nationale Identitätsnummern, biometrische Erfassung, SIM-Karten-Bindung, Fahrzeugregister und kamerabasierte Systeme werden miteinander verknüpft. Die Nutzung ist offen repressiv, doch auch hier liegt die eigentliche Gefahr nicht in der Ideologie, sondern in der Struktur. Die Infrastruktur schafft eine Form von Macht, die sich nicht mehr sinnvoll begrenzen lässt. Daten, einmal erhoben und verknüpft, bleiben verfügbar – unabhängig von ursprünglichen Zweckbindungen.

Das Ergebnis ist ein anderes...

"Digitale Vernunft" vollständig lesen

Die vier Winde

Warum die Berufung auf Consent-Management-Tools keine wirksame Einwilligung begründen kann

Wer heute eine Website aufruft, begegnet ihm fast unweigerlich: dem Consent-Banner. „Wir und unsere <Zahl> Partner verarbeiten Ihre Daten.“ Früher mal als Cookie-Banner entwickelt und genutzt, ist ein Consent-Banner (CMP-Tool) heute viel mehr.

Es geht schon lange nicht mehr nur um Cookies. Sicher auch noch darum, aber auch um vieles mehr. Im Tool von heute geht es um Cookies, Tracking-Scripte, Fingerprinting, Canvas-Fingerprinting, Audio/WebGL-Finerprinting, Standort- und Gerätedatenerfassung, Profilbildung, Datenverkauf, ...
Nicht jeder Anbieter macht alles, aber nahezu jedes CMP-Tool kann alles.

Und dann? Ein Klick – und die Sache scheint erledigt. Rechtmäßig. DSGVO-konform Eingewilligt.

Aber ist sie das tatsächlich?

Das in Europa weit verbreitete Transparency and Consent Framework (TCF) der IAB Europe dient vielen Diensteanbietern als technische Grundlage zur Einholung und Verwaltung von Einwilligungen. Das IAB Europe TCF ist ein Industrie-Standard, entwickelt im Kontext der Werbe- und AdTech-Industrie und genutzt von Marktteilnehmern, auch außerhalb der IAB-Mitgliedschaft, zur Umsetzung von Consent-Prozessen im internationalen Umfeld. Dabei werden sowohl IAB-Vendoren als auch nicht im Framework gelistete Drittanbieter in denselben technischen Einwilligungsprozess integriert.

Es stellt eine standardisierte Struktur bereit, um Nutzerentscheidungen zu erfassen und an eine Vielzahl beteiligter Akteure zu übermitteln. 

---

Das Problem...

"Die Fiktion einer Einwilligung" vollständig lesen

Souveränität ist nicht eine Erklärung

Immer wieder hört und liest man davon. Ganz besonders "digitale Souveränität" gehört zu den Buzz-Words dieser Zeit. Mit gehobenem Finger und gestrenger Stimme wird eingefordert und angemahnt. Das ist gut und es ist richtig. Und es ist wichtig. Souverän sein ist erforderlich.

Es genügt aber leider nicht, souverän sein zu wollen. Auch eine Erkenntnis, die noch recht einfach zu gewinnen ist. Noch einfacher ist es, sie eben aufzuschreiben. Sie zu lesen mag schon ein wenig unbehagen bereiten.

Die Aufgaben, die mit dem Streben einhergehen, sind alles andere als einfach. Zur Erreichung souveräner Lösungen in einer international verflochtenen Welt sind Dinge zu realisieren. Das ist das erste Mammutprojekt in diesem Bestreben. Hunderte und tausende von Menschen werden sich ein Jahrzehnt lang (oder noch länger) damit beschäftigen müssen.

Bestenfalls führt der Vorgang langrfristig zu einer Verinnerlichung dieser Sichtweise, wenn neue Technologien entstehen. Eine Blick, nicht nur auf das, was vordergründig und einfach zu erreichen ist. Vorzugsweise wird es Teil einer geänderten (neuene?) Entwicklungskultur, grundsätzlich in der Entstehung von Technologie schon den Aspekt der Unabhängigkeit als Kernelement zu betrachten.

Der Feind des Guten

Es gibt eine Falle, die so gut getarnt ist, dass man sie kaum als Falle erkennt. Sie nennt sich Gründlichkeit. Manchmal auch Qualitätsanspruch. Oder Verantwortungsbewusstsein. Im schlimmsten Fall heißt sie schlicht: Perfektion.

In kaum einem anderen Themenfeld zeigt sie sich so hartnäckig wie in der Debatte um digitale Souveränität. Seit Jahren wird diskutiert, konzipiert, evaluiert. Arbeitsgruppen tagen, Strategiepapiere entstehen, Konsultationsverfahren laufen. Und währenddessen läuft auch noch etwas anderes: die Uhr. Und die digitale Abhängigkeit Europas – von amerikanischen Hyperscalern, von proprietären Plattformen, von Ökosystemen, deren Spielregeln andere schreiben – bleibt, wo sie ist. Oder wird tiefer. Das ist kein Vorwurf. Es ist eine Beobachtung. Und sie verdient eine ehrliche Auseinandersetzung.

Was Perfektion kostet

Das Paradox der vollständigen Vorbereitung ist gut dokumentiert, wenngleich selten offen ausgesprochen: Je mehr Zeit in die Planung fließt, desto höher wird die innere Hürde, das Geplante auch tatsächlich umzusetzen. Wer ein Jahr konzipiert hat, kann sich kein mittelmäßiges Ergebnis mehr leisten – zu viel Erwartung, zu viel Aufmerksamkeit, zu viel investiertes Prestige. Also wird nachgebessert, verfeinert, abgestimmt. Nochmals. Und nochmals.

In der Softwareentwicklung kennt man dieses Phänomen unter dem etwas nüchternen Begriff „Analysis Paralysis". Die Diagnose ist ernüchternd: Projekte, die zu lange in der Planungsphase verharren, scheitern häufiger als solche, die früh mit einem unvollständigen, aber funktionierenden Kern beginnen und sich iterativ weiterentwickeln. Die Technologiegeschichte ist voll von Beispielen, die diese These stützen. Linux begann als studentisches Hobbyprojekt mit ausdrücklichem Hinweis auf seine Unvollkommenheit. Das Internet selbst war jahrzehntelang ein Flickwerk aus provisorischen Protokollen und notdürftigen Lösungen – und wurde trotzdem zur Grundlage der modernen Welt.

Dagegen steht eine lange Liste europäischer Digitalinitiativen, die mit großem Anspruch gestartet, aufwendig finanziert und sorgfältig geplant wurden – und dennoch nie wirklich in Betrieb gegangen sind. GAIA-X ist dafür das prominenteste, aber bei Weitem nicht das einzige Beispiel. Ein Vorhaben, das europäische Cloud-Infrastruktur souverän und interoperabel machen sollte, das heute vor allem als Lehrbeispiel für institutionelle Komplexität gilt. Zu viele Interessen, zu viele Anforderungen, zu wenig Bereitschaft, mit einer Version 1.0 in die Welt zu gehen, die noch nicht alle Versprechen einlöst.

Die Iteration als Haltung...

---

"Souveränität - Wollen und können" vollständig lesen

Bloggen... in meinem Alter?

Nun ist es soweit, ich habe einen eigenen Blog.

Eigentlich ist es mehr ein Interessenprojekt, bei dem ich mal ausprobieren möchte, welche "juornalistischen Fähigkeiten" ich entwickeln kann. Dieser erste Beitrag dient vermutlich hauptsächlich dazu, zu erkennen, wie die Software "funktioniert".

Aber sicher kann ich schon etwas zu allen folgenden Inhalten sagen:
Ich werde versuchen, sachlich zu bleiben. Ziemlich sicher bin ich aber auch, dass mir das nicht immer gelingen wird.

---

Mal sehen, eventuell richte ich noch eine Kategorie "politisch inkorrekt" ein, in der dann der Name auch mal Programm sein darf.

Personen des öffentlichen Interesses müssen sich dann auch mal ein wenig mehr aushalten, als Max Mustermann. Aber persönlich beleidigend zu sein ist mir fremd. Polemik, Satire und ab und zu ein wenig Schadenfreude... mal die eine oder andere bissige Frage... das ist schon 'drin'.