Skip to main content
Logo von MKM LEGAL
Finger tippen auf einem Laptop

Google reCAPTCHA – neue Verantwortung, neue Regeln

Was Webseitenbetreiber nun tun müssen

Mit einem eher unscheinbaren Beitrag auf seinem „Google Cloud Security Community“ kündigte Google eine grundlegende Veränderung zu reCAPTCHA an. Diese hat für alle Unternehmen, die reCAPTCHA auf ihrer Webseite einbinden, datenschutzrechtliche Auswirkungen, die nicht ignoriert werden sollten. Was hat sich geändert und was müssen Webseitenbetreiber nun tun? 

1. Was ist Google reCAPTCHA und was hat das mit Datenschutz zu tun? 

Captchas allgemein sind Webseiten-Tools, die automatisierte Zugriffe auf Webseiten durch Bots und Co. erkennen und unter anderem Online-Formulare vor Spam-Angriffen schützen. Man begegnet den Captchas beim Ausfüllen von Online-Formularen, wenn Ampeln oder verzerrte Buchstaben auf Bilder erkannt werden müssen. Auch das Häkchen für die Bestätigung „Ich bin ein Mensch“ wird von Captchas abgefragt. Immer mehr laufen die Tools unsichtbar im Hintergrund und versuchen anhand der Analyse von Nutzerverhalten wie Mausbewegungen, gesetzten Cookies und IP-Adresse (also personenbezogenen Daten) festzustellen, ob man Mensch oder Maschine ist. Das am weitesten verbreitete Captcha-Tool ist Googles kostenloses reCAPTCHA. 

Wie bei Google-Produkten häufig der Fall, gibt es auch bei reCAPTCHA viel Kritik bezüglich der (unzureichenden) Einhaltung des Datenschutzes. Denn es ist auch hier nicht klar, welche personenbezogenen Daten in welchem Umfang durch das Tool verarbeitet werden und ob Google die Daten noch zu anderen Zwecken verwendet. Auch eine Datenweiterleitung in die USA ist anzunehmen. Bisher handelte Google hierbei als datenschutzrechtlicher „Verantwortlicher“, sodass Webseitenbetreiber wenig rechtliche Handhabe hatten, hier für Datenschutz zu sorgen. Für Unternehmen und Organisationen, die reCAPTCHA auf ihrer Webseite einsetzen, führte dies zu rechtlichen Unsicherheiten. 

2. Was hat sich geändert?

Ob aufgrund von zunehmendem regulatorischem Druck oder anderen Gründen – Google hat jedenfalls zum 2. April 2026 das Vertragswerk um reCAPTCHA herum geändert, sodass 

  • Google nun als weisungsgebundener Auftragsverarbeiter die Datenverarbeitungen von reCAPTCHA durchführt, 
  • Google diese Daten ausschließlich zum Schutz der Webseite verarbeiten darf und nicht mehr für eigene, andere Zwecke, und 
  • der Webseitenbetreiber im Sinne der DSGVO Verantwortlicher für alle Datenverarbeitungen von reCAPTCHA ist

Denn nun ist auch reCAPTCHA als professioneller Google-Cloud-Service in den Nutzungsbedingungen von Googles Cloud-Services und dem dazugehörenden Auftragsverarbeitungsvertrag (das sogenannte Cloud Data Processing Addendum) enthalten. Damit werden datenschutzrechtliche Unsicherheiten bezüglich des Einsatzes von reCAPTCHA verringert, beispielsweise ob man für Googles eigenständige Datenverarbeitung mitverantwortlich ist. 

Es bleiben jedoch Risiken, denn technisch hat sich am Tool wenig geändert und die Datenverarbeitungen und -flüsse durch Google sind für die Verantwortlichen weiterhin wenig nachvollziehbar. 

3. Was ist nun zu tun? 

Mit den veränderten Rollen und Verantwortungen kommen nun einige Pflichten und Aufgaben auf die Webseitenbetreiber zu: 

  • die Datenschutzerklärung muss angepasst werden:
    • Google darf nicht mehr als Verantwortlicher beschrieben werden
    • Zweck der Verarbeitung als Schutz der Webseite vor Angriffen, u.a. durch Bot-Erkennung sowie die Verhinderung von Spam und Missbrauch beschreiben,
  • eigene manuelle Hinweise (z.B. Verlinkungen) auf die Datenschutzerklärung und Nutzungsbedingungen im Zusammenhang mit reCAPTCHA müssen gelöscht werden,
  • die aktualisierten Verträge von Google (Nutzungsbedingungen und Auftragsverarbeitungsvertrag) müssen zwecks Dokumentation abgelegt werden,
  • das Verzeichnis der Verarbeitungstätigkeiten (VVT) muss aktualisiert werden (Google als Auftragnehmer),
  • das berechtigte Interesse zum Einsatz von reCAPTCHA, sofern als Rechtsgrundlage herangezogen, muss durch eine Interessensabwägung begründet und dokumentiert werden.

Als Datenschutzberater und Datenschutzbeaufragte unterstützen wir Sie gerne bei der Umsetzung dieser Aufgaben. Falls Sie Bedenken bezüglich des weiteren Einsatzes von reCAPTCHA haben, helfen wir Ihnen zudem bei der Auswahl einer datenschutzkonformen Alternative.  

 

Autorin: Esther Sheldrick Weiß

 

Rechtssichere Datenschutzerklärung für Ihre Website

Für mehr Rechtssicherheit bei der laufenden Pflege Ihrer Datenschutzerklärung bieten wir Ihnen unser Compliance-Tool WhiteColibri an: es erstellt eine rechtssichere Datenschutzerklärung und aktualisiert diese dank künstlicher Intelligenz automatisch, wenn dies aufgrund von Veränderungen wie – etwa bei reCAPTCHA – erforderlich ist. 

Zu White Colibri

Weitere Insights zum Thema

article
4. Mai 2026
Was Unternehmen jetzt wissen müssen
Datenschutz bei KI-Telefonassistenten
article
29. April 2026
Was ist im Datenschutz mit "Standardvertragsklauseln" gemeint?
Verwechslungsgefahr – Standardvertragsklauseln im Überblick
article
1. April 2026
Praxistipps für den Umgang mit dem Auskunftsrecht
Auskunftsersuchen nach Art. 15 DSGVO: Wie schnell muss geantwortet werden?
article
20. März 2026
Worauf Unternehmen beim betrieblichen Eingliederungsmanagement achten sollten
Datenschutz-Tipps fürs BEM
article
9. Januar 2026
Cookie-Vorschriften, Meldefristen und Pseudonymisierung
Der Digital Omnibus: Im Januar nichts Neues?
article
22. Dezember 2025
Die Umsetzung eines Speicher- und Löschkonzepts in der Praxis
Der Mensch – ein Jäger und Sammler von Daten!?
article
2. Dezember 2025
Auswirkungen auf die Datenschutzarbeit
Neue Perspektive – EuGH-Urteil zum relativen Personenbezug
article
1. Dezember 2025
Datenschutzrelevante Änderungen des Reformpakets
Der Digital Omnibus
Logo von MKM LEGAL
Rechtliches

Impressum

Datenschutzerklärung

AGB

Hinweisgebersystem

Kontakt

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Adressen

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Martin-Albert-Str. 1
90491 Nürnberg

Bernburger Str. 30-31
10963 Berlin

Newsletter-Anmeldung