Fast jede Website setzt es ein: Google reCAPTCHA schützt Kontaktformulare, Login-Bereiche und Bestellprozesse vor automatisierten Angriffen und Spam.

Was viele Betreiber dabei bislang kaum auf dem Schirm hatten, ist die datenschutzrechtliche Dimension dieses Dienstes – und die hat sich zum 2. April 2026 grundlegend verändert.

Google hat angekündigt, künftig beim Betrieb von reCAPTCHA nicht mehr als eigenständiger Verantwortlicher aufzutreten, sondern als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Für Websitebetreiber klingt das zunächst nach einer Vereinfachung. Tatsächlich entsteht dadurch jedoch ein konkreter Handlungsbedarf – den viele unterschätzen.

Was steckt hinter Google reCAPTCHA?

Google reCAPTCHA ist ein Schutzmechanismus, der automatisierte Zugriffe von menschlichen Nutzern unterscheidet. Während ältere Versionen sichtbare Aufgaben wie Bilderrätsel verwendeten, arbeiten neuere Varianten – insbesondere reCAPTCHA v3 – vollständig im Hintergrund. Das System analysiert dabei Nutzerverhalten, Geräteinformationen, IP-Adressen und Interaktionsmuster, um eine Risikobewertung vorzunehmen.

Aus datenschutzrechtlicher Sicht handelt es sich damit eindeutig um eine Verarbeitung personenbezogener Daten. Wer reCAPTCHA einsetzt, verarbeitet Nutzerdaten – und trägt die datenschutzrechtliche Verantwortung dafür.

Wie war die Situation bisher?

Bis zur Änderung betrachtete sich Google beim Betrieb von reCAPTCHA als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Das bedeutete: Google entschied selbst über Zwecke und Mittel der Datenverarbeitung – und konnte die erhobenen Daten potenziell auch für eigene Zwecke nutzen.

Für Websitebetreiber war diese Konstellation seit Jahren problematisch. Die rechtliche Grundlage für die Einbindung blieb unklar, Transparenzpflichten gegenüber Nutzern ließen sich nur schwer erfüllen, und die Frage nach Datenübermittlungen in die USA stellte eine zusätzliche Unsicherheit dar.

Was ändert sich ab April 2026?

Google stellt reCAPTCHA auf ein Auftragsverarbeitungsmodell um. Die Verarbeitung erfolgt künftig auf Grundlage des Google Cloud Data Processing Addendum (DPA). Damit gilt ab dem 2. April 2026:

Der Websitebetreiber bleibt Verantwortlicher im Sinne der DSGVO. Google verarbeitet die Daten ausschließlich als Auftragsverarbeiter nach Weisung. Auch die Darstellung innerhalb des Dienstes wird angepasst: Verweise auf Googles allgemeine Datenschutzbestimmungen werden durch Verweise auf die Google-Cloud-Vertragsbedingungen ersetzt.

Das klingt nach mehr Klarheit – und das ist es grundsätzlich auch. Doch die neue Rollenverteilung bringt zugleich neue Pflichten für Websitebetreiber mit sich.

Was bedeutet das konkret für Ihren Handlungsbedarf?

Wer reCAPTCHA auf seiner Website einsetzt, sollte jetzt aktiv werden. Die folgenden Punkte stehen im Vordergrund:

  • Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
    Websitebetreiber müssen prüfen, ob die vertragliche Grundlage mit Google den Anforderungen der DSGVO entspricht und ob alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO abgedeckt sind.
  • Rechtsgrundlage nach Art. 6 DSGVO
    Auch mit dem neuen Modell entfällt nicht die Pflicht, die Datenverarbeitung auf eine geeignete Rechtsgrundlage zu stützen. In der Praxis kommt häufig das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht – etwa zum Schutz der Website vor missbräuchlichen Zugriffen. Hierfür ist jedoch eine dokumentierte Interessenabwägung erforderlich. Alternativ ist in bestimmten Fällen eine Einwilligung der Nutzer einzuholen.
  • Datenschutzerklärung aktualisieren
    Die neue Rollenverteilung muss sich in den Datenschutzhinweisen widerspiegeln. Wer bisher auf Googles Datenschutzerklärung verwiesen hat, muss diese Angaben anpassen und transparent über Art, Zweck und Umfang der Verarbeitung informieren.
  • Drittlandübermittlungen prüfen
    Soweit Daten in die USA oder andere Drittländer übermittelt werden, gelten weiterhin die Anforderungen der Art. 44 ff. DSGVO. Geeignete Garantien – etwa Standardvertragsklauseln – müssen vorliegen und dokumentiert sein.
  • Verhaltensbasierte Analyse besonders berücksichtigen
    reCAPTCHA v3 arbeitet ohne sichtbare Nutzerinteraktion und bewertet kontinuierlich das Verhalten auf der Website. Diese intensivere Form der Datenverarbeitung sollte in der datenschutzrechtlichen Bewertung gesondert betrachtet werden.

Textvorschlag für Ihre Datenschutzerklärung

Google reCAPTCHA

Art und Umfang der Verarbeitung

Wir haben auf unserer Website Komponenten von Google reCAPTCHA integriert. Google reCAPTCHA ist ein Dienst der Google Ireland Limited und schützt uns vor Spam und automatisiertem Missbrauch. Wenn Sie auf diese Inhalte zugreifen, stellen Sie eine Verbindung zu Servern der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland her. Die von Google reCAPTCHA verarbeiteten Daten umfassen Ihre IP-Adresse, Browserinformationen, Betriebssystem, von Google gesetzte Cookies sowie Nutzerinteraktionen, die erforderlich sind, um Menschen von Bots zu unterscheiden.

Zweck und Rechtsgrundlage

Der Zweck der Datenverarbeitung ist der Schutz unserer Webseite vor Spam, Cyberangriffen und Missbrauch durch nicht-menschliche Besucher. Der Einsatz von Google reCAPTCHA erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Wir haben einen Vertrag zur Auftragsverarbeitung (https://cloud.google.com/terms/data-processing-addendum) mit Google geschlossen, der gewährleistet, dass personenbezogene Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.

Wir können nicht ausschließen, dass hierbei personenbezogene Daten an Drittländer außerhalb des Europäischen Wirtschaftsraums, insbesondere die USA, übermittelt werden, in denen ein geringeres Datenschutzniveau als in der EU gegeben sein kann. Die Datenübermittlung in die USA erfolgt nach Art. 45 Abs. 1 DSGVO auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission sowie auf Grundlage der Standardvertragsklauseln (https://cloud.google.com/terms/sccs/eu-c2p). Die beteiligten US-Unternehmen und/oder deren US-Unterauftragnehmer sind nach dem EU-U.S. Data Privacy Framework (https://www.dataprivacyframework.gov/) zertifiziert.

Speicherdauer

Die konkrete Speicherdauer der verarbeiteten Daten ist abhängig von der Art der gespeicherten Daten. Weitere Hinweise finden Sie in der Datenschutzerklärung für Google reCAPTCHA: https://policies.google.com/privacy?hl=en-US.

Fazit

Die Umstellung von Google reCAPTCHA auf ein Auftragsverarbeitungsmodell ist ein Schritt in die richtige Richtung – schafft mehr Transparenz in der Rollenverteilung und erleichtert die rechtliche Einordnung. Gleichzeitig bedeutet sie: Websitebetreiber tragen künftig noch deutlicher die alleinige Verantwortung für eine datenschutzkonforme Implementierung.

Wer jetzt nicht handelt, riskiert eine veraltete Datenschutzerklärung, eine fehlende Vertragsgrundlage und im Zweifelsfall den Vorwurf eines DSGVO-Verstoßes. Das muss nicht sein.

Wir unterstützen Sie dabei, Ihre Website-Einbindung von reCAPTCHA datenschutzkonform zu gestalten – von der Prüfung der Vertragsgrundlagen über die Aktualisierung Ihrer Datenschutzhinweise bis hin zur Rechtsgrundlagenbestimmung und Interessenabwägung.

Vereinbaren Sie jetzt ein kostenloses Erstgespräch mit unseren Experten.

Philipp Herold

Über Philipp Herold

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen