Grundsätzlich kann man ja vermutlich an allen Googel Tools datenschutzrechtlich seine Vorbehalten haben. Manche Tools sind aber (leider) auch sehr praktisch. Fakt ist aber, dass gerade Google reCAPTCHA auch von den Aufsichtsbehörden nicht unbedingt empfohlen wird, was für sich genommen erstmal nichts heissen mag, aber man muss sich natürlich auch nicht unbedingt das Leben schwer machen. In einem CNIL-Fall zu NS CARDS FRANCE wird u. a. ein fehlender Consent für reCAPTCHA thematisiert; die CNIL beschreibt dabei auch, dass reCAPTCHA u. a. Hardware-/Softwareinformationen erhebt und dass die fehlende Einwilligung potentiell viele Betroffene betreffen konnte. Das Bayerische Landesamt für Datenschutzaufsicht schreibt in seinen FAQ zu Google reCAPTCHA, Betreiber sollten Alternativen prüfen; wer nicht darlegen kann, wie Google Nutzerdaten verarbeitet, könne weder transparent informieren noch den rechtmäßigen Einsatz nachweisen. Außerdem weist das BayLDA auf mögliche Drittlandübermittlungen (USA) und die dafür zu erfüllenden Anforderungen hin (was im Prinzip ja heute lösbar ist).
Warum ist reCAPTCHA datenschutzrechtlich seit Jahren umstritten?
reCAPTCHA wird in Websites eingebunden, um automatisierte Zugriffe (Bots) zu erkennen und z. B. Missbrauch von Formularen zu verhindern. Das kann sichtbar (z. B. Aufgaben) oder im Hintergrund durch Auswertung von Signalen wie IP-Adresse und Nutzerverhalten erfolgen. Grundsätzlich braucht man auch einen solchen SPAM-Schutz, da man andernfalls zu 99% nur SPAM-Nachrichten erhält, bei denen meist noch nicht mal klar ist, welchen Nutzen die überhaupt haben sollen.
Datenschutzrechtlich relevant ist das, weil dabei personenbezogene Daten an Google übermittelt werden. Kritisiert wurde u. a., dass (aus Sicht von Behörden/Kritikern) unklar war, zu welchen weiteren Zwecken Google die Daten verarbeitet, und dass es datenschutzfreundlichere Alternativen gibt.
Was Google ab dem 2. April 2026 ändert – der Überblick
Google kündigt an, reCAPTCHA zum 2. April 2026 von einem Modell, in dem Google als (datenschutzrechtlich) Verantwortlicher agiert, auf ein Modell umzustellen, in dem Google als Auftragsverarbeiter (Data Processor) agiert. Websitebetreiber, die reCAPTCHA einsetzen, werden dabei (allein) Verantwortliche (Data Controller). Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Der Rollenwechsel: Vom „Controller“ zum „Processor“
Was sich rechtlich ändert (laut Google)
- Websitebetreiber bestimmen Zweck und Mittel der Verarbeitung (Controller). Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Google verarbeitet die bei reCAPTCHA anfallenden Daten als Auftragsverarbeiter nach Weisung der Kunden. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Die Verarbeitung soll künftig im Rahmen des Google Cloud Data Processing Addendum (DPA) erfolgen; außerdem werden die Google Cloud Platform Service Specific Terms für reCAPTCHA entsprechend angepasst. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Was Google als Zweckbindung kommuniziert
Google beschreibt „purpose-driven processing“: Daten sollen nur soweit erforderlich genutzt werden, um reCAPTCHA bereitzustellen/zu betreiben und seine Sicherheits-, Threat-Detection- und Schutzfunktionen wirksam zu halten. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Was bedeutet das für Websitebetreiber (Verantwortlichkeit & Risiko)?
Wichtig: Mehr Kontrolle/Weisungsbindung bedeutet in der Praxis auch mehr dokumentierte Verantwortung beim Betreiber.
Betreiber sind künftig Verantwortliche, Google weisungsgebundener Auftragsverarbeiter; Google dürfe die Daten ausschließlich zur Bot-Erkennung verwenden. Als Verantwortlicher sind die dann Betreiber für die Verarbeitung durch Google „vollumfänglich mitverantwortlich“ (wobei Behörden zuvor teils ohnehin eine Mitverantwortlichkeit gesehen haben).
Sichtbare Änderungen: Badge, „Privacy/Terms“-Hinweise und Entfernen von Verlinkungen
Google nennt sehr konkrete, sichtbare/kommunikative Änderungen:
- Nutzer, die reCAPTCHA-geschützte Websites aufrufen, sollen nicht mehr Googles Privacy Policy und Terms of Use „für reCAPTCHA“ als anwendbar angezeigt bekommen; Google will diese Referenzen aus dem reCAPTCHA-Badge entfernen. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Handlungsaufforderung an Betreiber: Wenn die eigene Website im Zusammenhang mit reCAPTCHA Verweise auf Googles Privacy Policy/Terms zeigt, sollen diese entfernt werden. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Google präzisiert in den Kommentaren: Die Links seien bislang im Badge und teils zusätzlich durch Kunden eingebunden; Google entfernt sie aus dem Badge ab 2. April und empfiehlt Kunden, eigene Verlinkungen ebenfalls zu entfernen, weil die Google-Links für reCAPTCHA dann „nicht anwendbar“ seien (die Links bleiben aber für andere Google-Produkte aktiv). Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Was gleich bleibt: Funktionsumfang, Keys und Integrationen
Google sagt ausdrücklich:
- Keine sonstigen Änderungen oder Unterbrechungen am reCAPTCHA-Dienst „apart from the aforementioned changes“. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Bestehende Site Keys können weiter genutzt werden; neue Keys können über die Cloud Console erstellt werden. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- „Advanced features“ (z. B. Account Defense, Password Defense, SMS Defense, Transaction Defense, Mobile SDK) bleiben verfügbar. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Classic reCAPTCHA Keys wurden (wie zuvor kommuniziert) zu Google Cloud migriert und einem Google-Cloud-Projekt zugeordnet. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
Technisch ändere sich an reCAPTCHA soweit ich das verstehen nichts; Funktionen/Schutzmechanismen/Integrationen blieben unverändert.
To-dos für Betreiber:
1) Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren
Da es sich hier um eine Verarbeitung personenbezogener Daten handelt, sollte die sich im Rahmen des Betriebes der Webseiten im Verzeichnis der Verarbeitungstätigkeiten wiederfinden (zumal jetzt ja auch eine Datenschutzvereinbarung dazu getrackt werden muss). Das VVT ist zu aktualisieren.
2) Datenschutzinformation/Datenschutzerklärung prüfen und anpassen
Die Datenschutzerklärung ist anzupassen, insbesondere wenn Google dort bisher als Verantwortlicher genannt wurde, was ja erforderlich gewesen wäre. Praktische Probleme könnte hier bereiten, dass Google keine Übersicht der verarbeiteten Daten bereitstellt. Die Beschreibung müsste daher auf der technischen Implementierung abstellen.
3) Auftragsverarbeitung/DPA als Vertragsgrundlage dokumentieren
Die vertraglichen Grundlage, das Google Cloud Data Processing Addendum, sollte heruntergeladen, dokumentiert und regelmäßig bei Änderungen aktualisiert werden.
4) Hinweise/Links auf Google Privacy/Terms im Kontext reCAPTCHA entfernen
- Google: Betreiber sollen entsprechende Verweise entfernen. Switching Google’s role with reCAPTCHA from Data Controller to Data Processor
- Evtl. „manuell eingefügte Hinweise“ sind zu entfernen.
5) Einwilligung / berechtigtes Interesse: nicht automatisch „gelöst“
Das eigentlich Problem bleibt aber die Frage, aufgrund welcher Rechtsgrundlage das Tool weiterhin bzw. zukünftig genutzt werden kann. RA Schwenke verweist in seinen Newsletter vom 17.2.2026 auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts vom 13.09.2024 (AZ: W298 2274626-1), wonach eine Botprüfung „mit Cookies“ nicht erforderlich und ohne Einwilligung unzulässig sei (er erwähnt zugleich Kritik an der technischen Einordnung). Das Problem ist halt, dass wenn man nicht zu der Einschätzung kommt, dass bei dem Tool um eine für den Betrieb erforderliche Software handelt, ist u.a. eine Einwilligung nach § 25 TDDDSG erforderlich (reCAPTCHA setzt ein Cookie (_GRECAPTCHA), wenn es ausgeführt wird). In dieses Richtung könnten auch die datenschutzrechtlichen Fragen, ob Google in Hinblick auf Art. 25 DSGVO (Privacy bei Design) und in Hinblick US-Datenübermittlungen/Drittlandverarbeitung) erforderlich ist.
RA Schwenke kommt bezüglich der datenschutzrechtlichen Fragen gleichwohl zu der Einschätzung, dass es möglich wäre, dass reCAPTCHA künftig auf Grundlage berechtigter Interessen zur Bot-Abwehr eingesetzt wird, einschließlich des hierfür erforderlichen Zugriffs auf Endgeräte. Rein datenschutzrechtlich halte ich das für stimmig, aber solange es datenschutzfreundlichere Alternative gibt stellt sich weiterhin die Frage der Notwendigkeit für den Betrieb. Die Risiken (oder besser gesagt: einige Risiken) bleiben also, unabhängig der von Google angestoßenen Änderungen auch wenn zukünftig zumindest vertraglich der zentrale Vorwurf entkräftet wird, Google könne weisungsfrei über die Nutzerdaten verfügen. Wer also hier – wie ich – kein Risiko eingehen möchten wird zwangsläufig eine datenschutzfreundliche europäische Alternativen präferiren (oder auf Kontaktformulare verzichten).
