Fast jedes Unternehmen betreibt eine eigene Website. Und ebenso fast jedes Unternehmen kennt das Problem. Spam-Bots senden unablässig und automatisiert Kontaktformulare ab, füllen Kommentarspalten oder versuchen, Logins zu knacken.
Die wohl bekannteste Abwehr dagegen sind die sogenannten Captchas („Completely Automated Public Turing test to tell Computers and Humans Apart“). Deren prominentester Vertreter ist Google reCAPTCHA. Dieses Werkzeug ist im Kampf gegen automatisierte Angriffe höchst effektiv. Datenschützern bereitete der Dienst jedoch seit Jahren massives Kopfzerbrechen.
Nun gibt es jedoch eine bedeutende Änderung. Zum 2. April 2026 hat Google seine Vertrags- und Produktstruktur grundlegend reformiert. Was dieser Rollenwechsel für Webseitenbetreiber bedeutet, ob das Tool damit endlich rechtssicher ist und welche Pflichten jetzt auf Sie zukommen, erfahren Sie in diesem Artikel.
Bisher stufte die DS-GVO Google beim Einsatz von reCAPTCHA als sogenannten „eigenen Verantwortlichen“ ein. Das bedeutet in der Praxis: Sobald ein Nutzer eine Website mit integriertem reCAPTCHA aufruft, laufen im Hintergrund weitreichende Prozesse ab. Das Nutzerverhalten wird ausgiebig analysiert. Mausbewegungen, Verweildauer, Klicks und IP-Adressen werden erfasst. Darüber hinaus werden Cookies ausgewertet.
Das eigentliche Problem: Google übermittelte diese personenbezogenen Daten nicht nur in die USA, sondern nutzte sie auch für eigene Zwecke. Dazu gehörte beispielsweise die Profilbildung und das geräteübergreifende Tracking. Für Websitebetreiber war es nahezu unmöglich, transparent nachzuvollziehen oder gar zu steuern, was mit den Daten ihrer Besucher geschah. Ein DS-GVO-konformer Einsatz stand damit rechtlich auf extrem wackligen Beinen.
Mit der Umstellung im April 2026 hat sich zwar die rechtliche Ausgangslage verbessert. Google hat reCAPTCHA in seine Google Cloud Services integriert und die Spielregeln neu definiert.
Google agiert nun als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO. Das bedeutet, dass Google die Daten der Webseitenbesucher nicht mehr für eigene Werbe- oder Trackingzwecke nutzen darf. Stattdessen verarbeitet der Tech-Riese die Daten streng weisungsgebunden und ausschließlich zu dem Zweck, für den das Tool gedacht ist: zur Erkennung von Bots und zur Sicherung der Website.
Die rechtliche Grundlage für diesen Datentransfer bildet das sogenannte Cloud Data Processing Addendum (CDPA). Obwohl die Daten nach wie vor in die USA fließen können, ist die Argumentationsbasis für einen legalen Einsatz durch diesen Schritt erheblich gestärkt worden.
Google reCAPTCHA ist das wohl am weitesten verbreitete System zur Abwehr von automatisiertem Spam.
Das Tool ist durch den Rollenwechsel deutlich sicherer geworden. Ein Selbstläufer ist die Integration deshalb noch lange nicht. Als Webseitenbetreiber bleiben Sie in der Verantwortung. Um Bußgelder oder Abmahnungen zu vermeiden, müssen Sie die folgenden drei Schritte zwingend umsetzen:
Den Auftragsverarbeitungsvertrag (CDPA) mit Google abschließen
Da Google nun als Auftragsverarbeiter tätig ist, sind Sie gesetzlich verpflichtet, einen entsprechenden Vertrag zu schließen. Das passiert glücklicherweise digital und mit wenigen Klicks:
- Loggen Sie sich in Ihre Google Cloud Console oder Google Admin Console ein.
- Navigieren Sie zum Bereich „Rechtliches / Compliance“ bzw. „IAM & Admin“.
- Suchen Sie nach dem Cloud Data Processing Addendum (CDPA), lesen Sie die Bedingungen durch und klicken Sie auf „Accept / Ich stimme zu“.
Die richtige Rechtsgrundlage wählen
Jede Verarbeitung personenbezogener Daten benötigt unter der DS-GVO ein rechtliches Fundament (Art. 6 DSGVO). Hier haben Sie zwei Optionen:
- Die Einwilligung (Der sichere Weg): Binden Sie reCAPTCHA über das Cookie-Consent-Tool („Cookie-Banner“) ein. Das Tool wird erst dann geladen und Daten an Google übermittelt, wenn der Nutzer explizit zustimmt (Opt-In).
- Das berechtigte Interesse (Der riskantere Weg): Alternativ können Sie sich auf Art. 6 Abs. 1 lit. f DSGVO berufen. Sie argumentieren, dass der Schutz Ihrer IT-Infrastruktur vor böswilligen Bot-Angriffen schwerer wiegt als das Datenschutzinteresse des Nutzers. Hierfür ist jedoch eine dokumentierte, sorgfältige Interessenabwägung im Einzelfall zwingend erforderlich.
Die Datenschutzerklärung aktualisieren
Ihre Datenschutzerklärung muss lückenlos auf den neuesten Stand gebracht werden. Der Passus zu Google reCAPTCHA muss zwingend folgendes enthalten:
- Welche konkreten Daten erfasst werden (z. B. IP-Adresse, Browserdaten).
- Den Zweck der Verarbeitung (Spam- und Botschutz).
- Die gewählte Rechtsgrundlage (Einwilligung oder berechtigtes Interesse).
- Den Hinweis auf die Auftragsverarbeitung durch Google und das CDPA.
- Informationen über den Datentransfer in ein Drittland (USA).
Mit der Version 2 von reCAPTCHA werden nahezu alle Nutzenden bereits einmal Bekanntschaft gemacht haben. Das klassische „Ich bin kein Roboter“-Kontrollkästchen und Bilderrätsel waren lange Zeit der Standard, um menschliche Nutzende zu identifizieren. Diese Methode war effizient, beeinträchtigte jedoch die Barrierefreiheit erheblich.
reCAPTCHA v3 arbeitet weitgehend unsichtbar im Hintergrund und bewertet Interaktionen über einen Risiko-Score (0,0 bis 1,0). Wie bereits erwähnt werden hierbei Interaktionen wie Mausbewegungen und Klicks analysiert.
Gemeinsam ist beiden Versionen die mangelnde Transparenz. Google gibt nicht bekannt, welche (personenbezogenen) Daten exakt erfasst und in die USA übertragen werden.
Google reCAPTCHA v3 läuft unsichtbar für den Nutzenden im Hintergrund.
Durch die intransparente Datensammlung ist es für Datenschützer immer noch ein Problem.
Der Rollenwechsel im April 2026 ist ein Meilenstein. Durch die Einstufung Googles als Auftragsverarbeiter ist reCAPTCHA aus der rechtlichen Grauzone herausgerückt und lässt sich nun mit überschaubarem Aufwand zumindest aus rechtlicher Sicht DS-GVO-konform einbinden.
Wenn Sie jedes Risiko vermeiden möchten, fahren Sie mit der Einholung einer expliziten Nutzer-Einwilligung via Consent-Banner am sichersten. Doch auch hier lauert eine Herausforderung.
Wer sich für den rechtlich sichereren Weg der Einwilligung (Opt-In) entscheidet, stößt oft auf ein technisches Problem. Lehnt ein Besucher alle Komponenten über das Consent-Banner ab, wird das reCAPTCHA-Skript nicht geladen. Versucht der Nutzer nun, das Kontaktformular abzusenden, wartet die Website auf das „OK“ von reCaptcha, was niemals kommen wird. Ergebnis: Das Formular lässt sich nicht absenden.
Um diesen Conversion-Killer zu verhindern, gibt es je nach System zwei bewährte Lösungen:
- Das Zwei-Klick-Verfahren (Visual Placeholder): Das reCAPTCHA wird nicht global gesperrt, sondern direkt über dem Formular-Button blockiert. Ein kurzer Textblock erklärt: „Um dieses Formular abzusenden, stimmen Sie der Aktivierung von Google reCAPTCHA zu.“ Per Klick lädt nur an dieser Stelle das Tool nach.
- CMS & Plugins (am Beispiel von WordPress): Ein Content-Management-System kann das Problem oft über spezialisierte Plugins (wie Borlabs, Real Cookie Banner oder systemeigene Script-Blocker in Shop-Systemen) lösen. Wichtig ist hierbei, dass das Formular-Plugin die reCAPTCHA-Skripte nicht hart im Code erzwingt, sondern dynamisch verarbeiten kann.
Noch ein Tipp für die Performance von reCAPTCHA 3
Wenn Google reCAPTCHA 3 aktiv ist, analysiert es das Verhalten auf allen Unterseiten. Das hat direkten Einfluss auf die Ladezeit der Website. Konfigurieren Sie Ihr System (oder das entsprechende Plugin) so, dass das Skript ausschließlich auf Seiten mit echten Formularen geladen wird.
Wenn Ihnen der technische und bürokratische Aufwand dennoch zu groß ist, lohnt sich ein Blick auf datenschutzfreundliche Alternativen aus Europa.
Friendly Captcha (wie auf dieser Website) ist im Gegensatz zu Google reCAPTCHA kostenpflichtig. Dafür bleiben die Daten jedoch in der EU. Außerdem verzichtet diese Lösung vollständig auf das Setzen von Cookies und die Nachverfolgung von Nutzerprofilen, wodurch sie von vornherein wesentlich unkomplizierter im Sinne der DSGVO zu handhaben ist.
Möchten Sie ganz sicher gehen, gibt es mit mCaptcha oder mosparo Alternativen zum Self-Hosting. In diesem Falle bleiben die Daten auf Ihrem Webserver.
Wie dürfen wir Ihnen helfen?