CAPTCHA, die Unterscheidung zwischen Mensch und Maschine, ist für Formulare essentiell, aber schwer.
Problem mit der DSGVO
Die "Datenschutz Grundverordnung" (DSGVO) gepaart mit der Tatsache, dass die Europäische Union das Safe Harbor Abkommen mit den USA nicht mehr weiterführt, hat für das Thema "Formular-Spam" eine neue Herausforderung gebracht. Von den großen IT-Unternehmen, allen voran Google mit Re-Captcha, werden diverse Funktionen angeboten, die aber in der EU so nicht genutzt werden dürfen.
Wer sich an die Datenschutz-Grundverordnung hält, muss die Zustimmung der User zur Anwendung von CAPTCHA-Systemen wie dem von Google erfragen. Das ist in sich ein Problem, weil natürlich ein Spammer einfach nicht zustimmen wird. Damit ist aber der Schutz der Formulare dann ausgehebelt.
Da damit keine Daten verarbeitet werden, keine Marketing-Möglichkeiten dahinter stecken und Datenvernetzungen nicht stattfinden dürfen, werden in der Europäischen Union natürlich diese Systeme für CAPTCHA nicht kostenlos angeboten. Das Geschäftsmodell mit dem Verschnitt von Daten für Werbung und Marketingmaßnahmen - wer ein Google Re-Captcha nutzt, informiert den Konzern auch darüber, auf welcher Seite er welches Formular ausgefüllt hat - gibt es so in Europa nicht. Darum kostet europäischer Spam-Schutz für Formulare einfach Geld.
Zwingen? Rechtlich nicht möglich.
Die Nutzenden auf einer Webseite einfach zur Zustimmung für solche kostenlosen (und damit daten- und marketingfinanzierten) Dienste zu zwingen oder danach gar nicht erst zu fragen - und das wäre die einzige Möglichkeit den Formular-Spam abzuhalten - ist rechtlich nicht zulässig. Das widerspricht der DSGVO schon aus dem Prinzip der Datensparsamkeit und niemand kann argumentieren, dass der Dienst notwendig ist, damit das Formular überhaupt funktioniert. Formular-Spam betrifft schließlich nicht die Menschen vor dem Computer, es bertrifft nur jene, die die Webseite betreiben, weil sie viele eingehende Nachrichten, die eben Spam sind, löschen müssen.
Lösung: DSGVO-Konformes CAPTCHA
Um barrierefrei zu bleiben - auch das ist kein "Nice to have" - dürfen Formulare nicht am altmodischen Weg des "Schreiben Sie die Buchstaben in dieser Grafik ab!" agieren. Abgesehen davon, dass die Technolgie von Spam-Unternehmen, die anbieten, solche Nachrichten zu einem Tarif von etwa 300 € für 1 Million Formulare zu senden, inzwischen auch ganz gut lesen kann. Diese Technologie reicht daher nicht mehr aus, um Spam zu verhindern.
echonet hat nun im Programm eine Dienstleistung aufgenommen, bei der das Absenden von Formularen per CAPTCHA geprüft werden kann. Es ist ein maschinenlernendes System mit Crypto-Challenges, die allerdings für den Menschen vor dem Computer keinerlei Herausforderung darstellen, von einem Softwareunternehmen in der Europäischen Union (Standort Österreich), das wir hier einsetzen werden.
Kosten für Spam-Abwehr in Formularen
Die Kosten werden pro Domain (auch pro Subdomain) und für die Zahl der Anfragen abgerechnet. Eine Anfrage ist dann gegeben, wenn das Formular wirklich abgeschickt wird. Der Aufruf der Seite, auf der sich das Formular befindet, verursacht keine Kosten, erst wenn die Challenge und die Prüfung ausgeführt werden müssen, um zu prüfen, ob das Fomular tatsächlich von einer Person oder von einer Maschine abgeschickt wurde, wird die Zählung ausgelöst.
Spam-Schutz-Kosten für Formulare pro Domain
Für die Integration eines solchen Spam-Schutzes für Formulare ist das externe System im Zuge unserer Cloud-Dienste nötig. Die Paket-Lösungen sind immer auf Basis von Formular-Prüfungen berechnet, allerdings muss pro Domain (auch pro Subdomain) eine eigene Vereinbarung gemacht werden, weil die Abrechnung der Dienste aktuell nur so funktioniert.
Hier geht es zu den Infos und Bedingungen für die DSGVO-konformen CAPTCHA-Funktionen. Diese Funktionen können nicht nur für E-Mail-Formulare verwendet werden sondern auch um Login-Formulare vor entspechenden Bot-Systemen zu schützen, die tausende Login-Versuche mit häufigen Passwort-Kombinationen austesten um in einen Account einzubrechen.