SiDIT Logo
    Zurück zum Blog
    Aktuelles21. April 2026

    Wird Google reCAPTCHA jetzt DSGVO konform?

    Wird Google reCAPTCHA jetzt DSGVO konform?

    Google reCAPTCHA ist seit Jahren ein beliebtes Tool, um Webseiten vor Spam und Bots zu schützen – sei es beim Login, im Kontaktformular oder bei der Registrierung. Technisch unterscheidet der Dienst Menschen von automatisierten Zugriffen; rechtlich war der Einsatz in der EU jedoch lange ein Balanceakt.

    Denn Google trat bislang als eigener Verantwortlicher auf und konnte die gewonnenen Daten auch für eigene Zwecke nutzen. Seit 2. April 2026 hat Google nun aber einen Rollenwechsel zum Auftragsverarbeiter vollzogen. Was dieser Rollenwechsel für Ihr Unternehmen bedeutet, erklären wir Ihnen in diesem Beitrag.

    Grundlegende Infos „Rund um den Vertrag zur Auftragsverarbeitung“ finden Sie zudem in folgendem Artikel: Rund um den Vertrag zur Auftragsverarbeitung.

    Vom Verantwortlichen zum Auftragsverarbeiter: Was ändert sich bei reCAPTCHA?

    Bislang behandelte Google die im Rahmen von reCAPTCHA erhobenen Daten als eigener Verantwortlicher. Damit konnte Google selbst bestimmen, zu welchen Zwecken diese Daten genutzt werden. Genau das führte zu massiver Kritik seitens Aufsichtsbehörden und Datenschutzexperten, da ein Einsatz im Einklang mit DSGVO und TDDDG nur schwer sauber zu begründen war.

    Zum 2. April 2026 stellte Google reCAPTCHA nun um. Google wird damit Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Übermittlungsgrundlage an Google wird das Google Cloud Data Processing Addendum (DPA), reCAPTCHA wird in die Google Cloud Platform Service Specific Terms integriert. Die bislang üblichen Hinweise im Widget auf die allgemeinen Google-Datenschutzbestimmungen sollen entfallen und durch Verweise auf die Cloud-Bedingungen ersetzt werden.

    Damit gilt künftig: Die Websitebetreiber bleiben Verantwortliche und Google verarbeitet die reCAPTCHA-Daten „nur“ weisungsgebunden zur Bereitstellung des Dienstes.

    Wird reCAPTCHA damit automatisch datenschutzkonform?

    Die Umstellung ist ein wichtiger Schritt in Richtung DSGVO-Konformität und schafft zumindest formell mehr Klarheit. Dennoch bleiben offene Punkte.

    Es ist weiterhin nicht vollständig transparent, welche Daten in welcher Tiefe verarbeitet und wie lange gespeichert werden. Die Drittlandübermittlung in die USA bleibt ein Thema und der Blick auf geeignete Garantien wie Standardvertragsklauseln und zusätzliche Maßnahmen inklusive eines Transfer Impact Assessment (TIA) ist weiterhin relevant.

    Für den Einsatz wird weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO benötigt. In manchen Fällen kann ein berechtigtes Interesse gegebenenfalls argumentiert werden. Je nach konkreter Verwendung und Datenverarbeitung ist jedoch weiterhin eine Einwilligung des Nutzers erforderlich, insbesondere bei reCAPTCHA-Versionen, die umfangreiche Hintergrundanalysen vornehmen.

    Der bloße Rollenwechsel macht reCAPTCHA damit nicht automatisch risikofrei, verbessert aber die Argumentationsbasis für einen rechtssicheren Einsatz.

    Was sollten Unternehmen jetzt konkret tun?

    Wenn Sie bisher reCAPTCHA nutzen oder den Einsatz planen, sollten Sie zunächst die vertragliche Basis prüfen und sicherstellen, dass das Cloud Data Processing Addendum von Google abgeschlossen ist.

    Anschließend sollten Sie insbesondere folgende Punkte prüfen:

    • Datenschutzhinweise aktualisieren: Die Datenschutzerklärung ist um die neue Rolle Googles als Auftragsverarbeiter zu ergänzen.
    • Verweise anpassen: Manuelle Verlinkungen auf die allgemeinen Google Privacy Policies im Zusammenhang mit reCAPTCHA sind zu entfernen oder anzupassen.
    • Consent Banner prüfen: Die Einbindung im Cookie- oder Consent-Banner sollte sichergestellt werden, insbesondere wenn reCAPTCHA im Hintergrund Nutzersignale auswertet.
    • Interessenabwägung dokumentieren: Falls ein Rückgriff auf das berechtigte Interesse im Einzelfall möglich sein sollte, ist eine dokumentierte Abwägung sinnvoll.
    • Alternativen bewerten: Es sollte geprüft werden, ob der Einsatz angesichts der verbleibenden Unsicherheiten akzeptabel ist oder ob europäische Captcha-Anbieter vorzuziehen sind.

    Im Rahmen einer generellen Prüfung ist zu bewerten, ob der Einsatz angesichts der verbleibenden Unsicherheiten – etwa zur Transparenz der Verarbeitung und zur Übermittlung in die USA – akzeptabel ist oder ob Alternativen, etwa europäische Captcha-Anbieter, vorzuziehen sind.

    Haben Sie Fragen zum Datenschutz bei reCAPTCHA? Wenden Sie sich jederzeit gerne an unsere Datenschutz-Experten unter info@sidit.de.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO
    Aktuelles31. März 2026

    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO

    Nach Ende der Auftragsverarbeitung müssen Daten gelöscht oder zurückgegeben werden. Was Art. 28 DSGVO und das BGH-Urteil vom 11.11.2025 von Verantwortlichen fordern.

    Weiterlesen
    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht
    Aktuelles24. März 2026

    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht

    Aktueller Fall aus NRW zeigt: WhatsApp im Unternehmen kann teuer werden. Was Sie über Risiken, Bußgelder und datenschutzkonforme Alternativen wissen müssen.

    Weiterlesen
    Rechtssicher durch den Datenschutzdschungel: Webseitenbetreiber
    Aktuelles4. März 2026

    Rechtssicher durch den Datenschutzdschungel: Webseitenbetreiber

    Ob Online-Shop, Unternehmensseite oder Blog – Nutzerinteraktionen bergen datenschutzrechtliche Herausforderungen. Ein Leitfaden.

    Weiterlesen