Google hat für den Betrieb von reCAPTCHA eine grundlegende datenschutzrechtliche Neuausrichtung angekündigt. Ab dem 2. April 2026 wird Google bei der Verarbeitung personenbezogener Daten im Zusammenhang mit reCAPTCHA nicht mehr als eigener datenschutzrechtlicher Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Für Websitebetreiber bedeutet diese Änderung eine formale Klarstellung der Rollen, zugleich aber auch einen erhöhten Prüf- und Anpassungsbedarf in der praktischen Umsetzung des Datenschutzrechts.

Google reCAPTCHA und die DSGVO: Neue Rollenverteilung ab April 2026

reCAPTCHA ist ein weit verbreiteter Sicherheitsdienst, der Websites vor automatisierten Angriffen, Spam und missbräuchlichen Zugriffen schützen soll. Technisch handelt es sich um ein CAPTCHA-System, das zwischen menschlichen Nutzern und automatisierten Programmen unterscheidet. Während ältere Versionen noch auf sichtbare Prüfaufgaben wie Buchstaben- oder Bilderrätsel setzten, arbeiten moderne Varianten nahezu vollständig im Hintergrund. Die Bewertung erfolgt anhand einer verhaltensbasierten Analyse, bei der Interaktionsmuster, Geräteinformationen und weitere technische Parameter ausgewertet werden.

Google ReCaptcha und Datenschutz mit der DSGVO

Datenschutzrechtlich ist dieser Vorgang regelmäßig als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 1 und 2 DSGVO einzuordnen. Erfasst werden können unter anderem IP-Adressen, Browser- und Geräteinformationen, Nutzungs- und Interaktionsdaten sowie Cookie-Informationen. Für den Websitebetreiber stellt der Einsatz von reCAPTCHA daher eine eigenständige Datenverarbeitung dar, die in vollem Umfang den Vorgaben der DSGVO unterliegt.

Die Änderung ab dem 2. April 2026

Mit Wirkung zum 2. April 2026 ändert Google dieses Modell grundlegend. Künftig wird reCAPTCHA als Google-Cloud-Dienst betrieben, wobei Google als Auftragsverarbeiter nach Art. 28 DSGVO tätig wird. Grundlage der Verarbeitung ist das Google Cloud Data Processing Addendum (DPA) in Verbindung mit den Google Cloud Platform Service Specific Terms.

Die Rollenverteilung stellt sich damit klarer dar: Der jeweilige Websitebetreiber ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, während Google die personenbezogenen Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Die Verantwortung für die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO verbleibt damit vollständig beim Betreiber der Website. Auch optisch wird der Dienst angepasst. Hinweise auf die allgemeinen Google-Datenschutzbestimmungen sollen im CAPTCHA-Widget entfallen und durch Verweise auf die einschlägigen Cloud-Vertragsbedingungen ersetzt werden.

Rechtliche Bewertung und verbleibende Problemfelder

Die neue Einordnung schafft zunächst eine klarere dogmatische Struktur. Sie beseitigt den zentralen Vorwurf, Google könne im Rahmen von reCAPTCHA eigenständig und weisungsfrei über personenbezogene Daten verfügen. Gleichwohl verbleiben aus datenschutzrechtlicher Sicht relevante Unsicherheiten. Zunächst bleibt der Websitebetreiber weiterhin verpflichtet, eine geeignete Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zu bestimmen. In der Praxis wird häufig ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO herangezogen, etwa zum Schutz vor automatisierten Angriffen oder zur Sicherstellung der Funktionsfähigkeit von Formularen.

Ein Comic Bild, das zwei Personen bei der Prüfung der Rechtsgrundlagen zeigt

In der Praxis wird häufig ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO herangezogen, etwa zum Schutz vor automatisierten Angriffen oder zur Sicherstellung der Funktionsfähigkeit von Formularen. Dies setzt jedoch eine dokumentierte Interessenabwägung voraus, bei der insbesondere die Eingriffsintensität der verhaltensbasierten Analyse zu berücksichtigen ist. In bestimmten Konstellationen, etwa bei besonders umfassender Datenerhebung oder zusätzlichem Tracking, kann auch eine Einwilligung erforderlich sein.

Darüber hinaus bleibt die Transparenzproblematik bestehen. Auch nach der Umstellung stellt Google keine abschließende und technisch vollständig nachvollziehbare Übersicht darüber bereit, welche Datenkategorien im Einzelnen verarbeitet werden und wie lange diese gespeichert werden. Datenschutzerklärungen von Websitebetreibern müssen daher weiterhin auf öffentlich zugänglichen Informationen, Implementierungsdetails und vertraglichen Zusicherungen beruhen.

Dies führt zu einer verbleibenden rechtlichen Restunsicherheit, insbesondere im Hinblick auf Art. 5 Abs. 1 lit. a DSGVO (Transparenz) und Art. 13 DSGVO. Ein weiteres Problemfeld sind Drittlandübermittlungen. Als US-amerikanisches Unternehmen unterliegt Google potenziell Zugriffsmöglichkeiten US-amerikanischer Behörden. Auch wenn Standardvertragsklauseln und zusätzliche Garantien eingesetzt werden, verbleibt dieses Risiko als unternehmerisches Restrisiko, das nicht vollständig ausgeschlossen werden kann.

Google reCAPTCHA und die DSGVO

Google reCAPTCHA als Auftragsverarbeitungsmodell

Die Umstellung von Google reCAPTCHA auf ein Auftragsverarbeitungsmodell stellt einen wichtigen Schritt in Richtung datenschutzrechtlicher Klarheit dar. Sie reduziert zentrale rechtliche Risiken, insbesondere im Hinblick auf die Datenhoheit und Zweckbindung. Zugleich macht sie deutlich, dass die Verantwortung für die Rechtmäßigkeit der Verarbeitung künftig noch klarer beim Websitebetreiber liegt.

reCAPTCHA wird damit nicht automatisch DSGVO-konform. Der Einsatz bleibt prüfungsbedürftig und setzt eine saubere rechtliche und organisatorische Einbettung voraus. Unternehmen sollten die Umstellung daher als Anlass nutzen, bestehende Implementierungen kritisch zu überprüfen und zu dokumentieren.

Praktische Checkliste für Websitebetreiber

Websitebetreiber, die reCAPTCHA einsetzen oder weiterhin einsetzen möchten, sollten bis spätestens 2. April 2026 insbesondere folgende Maßnahmen umsetzen:

  • Auftragsverarbeitung (Google als Auftragsverarbeiter)

  • Prüfung und Dokumentation der Rechtsgrundlage nach Art. 6 DSGVO (regelmäßig berechtigtes Interesse inklusive Interessenabwägung)
  • Abschluss und Überprüfung des Google Cloud Data Processing Addendum gemäß Art. 28 DSGVO
  • Anpassung der Datenschutzerklärung: Google als Auftragsverarbeiter benennen; Zweck der Verarbeitung (Bot-Erkennung und Missbrauchsabwehr) konkret beschreiben; Drittlandübermittlungen transparent darstellen
  • Entfernung veralteter Hinweise auf die allgemeinen Google-Datenschutzbestimmungen im Zusammenhang mit reCAPTCHA
  • Prüfung, ob Einwilligungsmechanismen erforderlich sind (insbesondere bei reCAPTCHA v3 oder zusätzlichem Tracking)
  • Dokumentation verbleibender Risiken, insbesondere im Hinblick auf Transparenz und Drittlandübermittlungen

Die Änderung reduziert das rechtliche Risiko erheblich, sie ersetzt jedoch nicht die datenschutzrechtliche Sorgfaltspflicht des Websitebetreibers.

Projektleitung
Datenschutz
Lota Spedt, LL.M.
Projektleitung
Datenschutz
Lota Spedt, LL.M.

Zur Autorin

Mein Name ist Lota Spedt und ich bringe neben meinem juristischen Studium jahrelange Praxiserfahrung im Datenschutzrecht mit. Besonders wichtig ist mir, die Unternehmen bei der Sicherstellung der datenschutzrechtlichen Konformität innerhalb der Abläufe und Prozesse zu begleiten und zu unterstützen. Mein Fokus ist dabei die praxisnahe Umsetzung unter der Berücksichtigung aller relevanten datenschutzrechtlichen Anforderungen. Auch die verständliche Vermittlung von fachlich komplexen Sachverhalten halte ich für unentbehrlich, damit die „trockene“ Theorie in den „lebendigen“ Arbeitsalltag integriert werden kann.