Wird Google reCAPTCHA jetzt DSGVO‑konform?

Google reCAPTCHA ist seit Jahren ein beliebtes Tool, um Webseiten vor Spam und Bots zu schützen – sei es beim Login, im Kontaktformular oder bei der Registrierung. Technisch unterscheidet der Dienst Menschen von automatisierten Zugriffen; rechtlich war der Einsatz in der EU jedoch lange ein Balanceakt. Denn Google trat bislang als eigener Verantwortlicher auf und konnte die gewonnenen Daten auch für eigene Zwecke nutzen. Seit 2. April 2026 hat Google nun aber einen Rollenwechsel zum Auftragsverarbeiter vollzogen. Was dieser Rollenwechsel für Ihr Unternehmen bedeutet, erklären wir Ihnen in diesem Beitrag.

Vom Verantwortlichen zum Auftragsverarbeiter: Was ändert sich bei reCAPTCHA?

Bislang behandelte Google die im Rahmen von reCAPTCHA erhobenen Daten als eigener Verantwortlicher. Damit konnte Google selbst bestimmen, zu welchen Zwecken diese Daten genutzt werden. Genau das führte zu massiver Kritik seitens Aufsichtsbehörden und Datenschutzexperten, da ein Einsatz des Dienstes im Einklang mit DSGVO und TDDDG nur schwer sauber zu begründen war.

Zum 2. April 2026 stellte Google reCAPTCHA nun um. Google wird damit Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Übermittlungsgrundlage an Google wird das Google Cloud Data Processing Addendum (DPA), reCAPTCHA wird in die Google Cloud Platform Service Specific Terms integriert. Die bislang üblichen Hinweise im Widget auf die allgemeinen Google‑Datenschutzbestimmungen sollen entfallen und durch Verweise auf die Cloud‑Bedingungen ersetzt werden. Damit gilt künftig: Die Websitebetreiber bleiben Verantwortliche und Google verarbeitet die reCAPTCHA‑Daten „nur“ weisungsgebunden zur Bereitstellung des Dienstes.

Wird reCAPTCHA damit automatisch datenschutzkonform?

Die Umstellung ist ein wichtiger Schritt in Richtung DSGVO‑Konformität und schafft zumindest formell mehr Klarheit. Dennoch bleiben offene Punkte. Es ist weiterhin nicht vollständig transparent, welche Daten Google in welcher Tiefe verarbeitet und wie lange das Unternehmen sie speichert. Die Drittlandübermittlung in die USA bleibt ein Thema und der Blick auf geeignete Garantien wie Standardvertragsklauseln und zusätzliche Maßnahmen inklusive ein Transfer Impact Assessment (TIA) sind weiterhin relevant. Für den Einsatz benötigt man auch künftig eine Rechtsgrundlage nach Art. 6 DSGVO – in manchen Fällen kann man gegebenenfalls mit berechtigtem Interesse argumentieren. Je nach konkreter Verwendung und Datenverarbeitung ist jedoch eine Einwilligung des Users erforderlich, insbesondere bei reCAPTCHA‑Versionen, die umfangreiche Hintergrundanalysen vornehmen. Der bloße Rollenwechsel macht reCAPTCHA damit nicht automatisch risikofrei, verbessert aber die Argumentationsbasis für einen rechtssicheren Einsatz.

Was sollten Unternehmen jetzt konkret tun?

Wenn Sie bisher reCAPTCHA nutzen oder den Einsatz planen, sollten Sie zunächst die vertragliche Basis prüfen und sicherstellen, dass das Cloud Data Processing Addendum von Google abgeschlossen ist. Anschließend sollten Sie die Datenschutzhinweise und gegebenenfalls das Cookie‑ oder Consent‑Banner aktualisieren. Die Datenschutzerklärung ist um die neue Rolle Googles als Auftragsverarbeiter zu ergänzen, manuelle Verlinkungen auf die allgemeinen Google‑Privacy‑Policies im Zusammenhang mit reCAPTCHA sind zu entfernen oder anzupassen. Parallel dazu sollte die Einbindung im Consent‑Banner sichergestellt werden, insbesondere wenn reCAPTCHA im Hintergrund Nutzersignale auswertet.

Falls ein Rückgriff auf die Rechtsgrundlage des berechtigten Interesses im Einzelfall möglich sein sollte, ist es wichtig, eine Interessenabwägung zum Einsatz von reCAPTCHA zu dokumentieren, in der der Schutz vor Missbrauch und Spam der Eingriffsintensität gegenübergestellt wird. Im Rahmen einer generellen Prüfung ist zu bewerten, ob der Einsatz angesichts der verbleibenden Unsicherheiten – etwa zur Transparenz der Verarbeitung und zur Übermittlung in die USA – akzeptabel ist oder ob Alternativen, etwa europäische Captcha‑Anbieter, vorzuziehen sind.

Haben Sie Fragen zum Datenschutz bei reCAPTCHA? Wenden Sie sich jederzeit gerne an unsere Datenschutz-Experten unter info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Hiermit willige ich ein, dass mich die SiDIT GmbH per E-Mail kontaktieren darf, um mir auf meine persönlichen Interessen zugeschnittene Angebote im Zusammenhang mit ihren Waren/Dienstleitungen zu unterbreiten und mich über Neuigkeiten ihres Unternehmens und Waren/Dienstleistungen zu informieren. Erläuterungen zu Informationen auf Basis persönlicher Interessen erhalten Sie hier. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@sidit.de widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt wird. Weitere Informationen finden Sie in unserer Datenschutzerklärung.