Google reCaptcha ist ein weit verbreitetes Sicherheitstool, das Websites vor automatisierten Bot-Angriffen schützen soll, zum Beispiel vor massenhaften Formulareingaben oder gefälschten Registrierungen. Seit dem 2. April 2026 hat Google die vertraglichen Grundlagen für den Dienst geändert und bietet reCaptcha nun als Auftragsverarbeiter an. In diesem Beitrag erklären wir, was sich ändert, welche datenschutzrechtlichen Risiken weiterhin bestehen und was Sie jetzt tun sollten, wenn Sie Google reCaptcha nutzen.
Was hat Google geändert?
Bisher war Google beim Einsatz von reCaptcha selbst datenschutzrechtlich Verantwortlicher. Das bedeutete: Google konnte eigenständig entscheiden, welche Daten über den Dienst erhoben und wofür sie genutzt werden. Website-Betreiber:innen hatten darauf keinen Einfluss.
Das hat sich nun geändert: Mit der vertraglichen Änderung wechselt Google in die Rolle des Auftragsverarbeiters. Google verarbeitet die Daten künftig also nur noch im Auftrag und nach Weisung der Website-Betreiber:innen. Die datenschutzrechtliche Verantwortung liegt damit bei Ihnen als Betreiber:in und nicht mehr bei Google.
Die Änderung zur Auftragsverarbeitung klingt erst einmal gut. Sie gewinnen mehr Kontrolle, können Prüfrechte bei Google geltend machen und benötigen keine zusätzliche Rechtsgrundlage mehr für die Datenweitergabe. Die gute Nachricht endet allerdings hier. Warum? Drei Probleme bleiben.
Welche Risiken und Probleme bleiben bestehen?
Die vertraglichen Neuerungen sorgen allerdings nicht für weitere Erleichterungen. Beim Einsatz von Google reCaptcha bleiben daher die folgenden Problemfelder.
Problemfeld 1: Legitimation der Cookie-Setzung
Wenn reCaptcha auf einer Website eingebunden wird, werden automatisch Cookies gesetzt. Für das Setzen von Cookies brauchen Sie als Website-Betreiber:in eine rechtliche Grundlage.
Als mögliche Rechtsgrundlage kommt zunächst der § 25 Abs. 2 Nr. 2 TDDDG in Betracht. Hiernach ist die Cookie-Setzung erlaubt, sofern dies unbedingt erforderlich ist, um einen „vom Nutzer ausdrücklich gewünschten digitalen Dienst“ bereitstellen zu können. In der Praxis wird dies häufig übersetzt mit der „technischen Erforderlichkeit“ der Cookie-Setzung. Genau das ist beim reCaptcha-Dienst mehr als zweifelhaft: Das Österreichische Bundesverwaltungsgericht (Entscheidung vom 13.09.2024) hat festgestellt, dass reCaptcha für die Funktionsfähigkeit einer Website nicht notwendig ist. Es gebe alternative Methoden, um Bots abzuwehren, die ohne den Google-Dienst auskommen. Auch die französische Datenschutzbehörde CNIL hat den Einsatz von reCaptcha ohne Einwilligung im März 2023 mit einem Bußgeld belegt.
Die sicherste Variante ist daher grundsätzlich die Einbindung des reCaptcha-Dienstes nach vorheriger Einwilligung (§ 25 Abs. 1 TDDDG). Klingt machbar? Leider eher nein. Die Einbindung des reCaptcha mit Einwilligung schafft nämlich ein praktisches Problem: Ein Captcha soll Bots genau dann aufhalten, wenn sie ein Formular ausfüllen wollen, also noch bevor eine Interaktion stattfindet. Die Bots können zudem theoretisch auch einfach alle Cookies ablehnen und so den Schutz umgehen. Der Dienst verliert damit weitgehend seinen praktischen Nutzen.
Problemfeld 2: Transparenz der Datenverarbeitung
Die vertraglichen Änderungen durch Google ändern darüber hinaus auch nichts an einem weiteren Hauptkritikpunkt an Google reCaptcha: der fehlenden Transparenz. In den verfügbaren Unterlagen von Google finden sich keine konkreten Informationen zu den tatsächlich durch reCaptcha verarbeiteten Daten. In den FAQ von Google wird lediglich auf Service Specific Terms sowie das Cloud DPA verwiesen. In keinem der beiden Dokumente finden sich weitergehende Informationen zur Datenverarbeitung im konkreten Fall der reCaptcha-Nutzung.
Das ist aus datenschutzrechtlicher Sicht problematisch: Als Verantwortliche müssen Sie Ihre Nutzenden transparent über die Datenverarbeitung informieren und den rechtmäßigen Einsatz im Zweifelsfall nachweisen können. Wenn Sie selbst nicht wissen, welche Daten Google erhebt, ist beides kaum möglich.
Die Bayerische Aufsichtsbehörde rät aus diesem Grund explizit von der Nutzung des Google reCaptcha-Dienstes ab:
„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCaptcha eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen. […]“
Problemfeld 3: Mildere Mittel
Durch Google reCaptcha werden personenbezogene Daten der Nutzenden verarbeitet, wie zum Beispiel die IP-Adresse. Neben der Frage, ob Cookies ohne Einwilligung gesetzt werden dürfen, brauchen Sie also auch eine Rechtsgrundlage für die Verarbeitung dieser Daten.
Wer reCaptcha ohne Einwilligung nutzen möchte, muss sich auf das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f DSGVO) stützen. Dafür muss die Datenverarbeitung aber erforderlich sein und genau das ist das Problem: Wenn es datenschutzfreundlichere Alternativen gibt, die denselben Zweck erfüllen, reicht das berechtigte Interesse nicht aus.
Einer der Hauptkritikpunkte im Verfahren der CNIL betraf genau diese Frage der Erforderlichkeit. Die CNIL bemängelte vor allem die unklare Verwendung der durch reCaptcha erhobenen personenbezogenen Daten durch Google und kam deshalb zu dem Ergebnis, dass die Datenverarbeitung nicht über das berechtigte Interesse gerechtfertigt werden kann.
Einer solchen Kritik können durch die Änderung der datenschutzrechtlichen Rolle von Google nun einerseits bessere Argumente entgegengehalten werden. Google darf formal als Auftragsverarbeiter nun nicht mehr selbst über die Verwendung der erhobenen Daten bestimmen, sondern diese ausschließlich zur Bot-Abwehr auf der jeweiligen Website nutzen. Andererseits dürfte es im Ergebnis weiterhin dazu kommen, dass der Schutz der Website durch weniger eingriffsintensive Mittel erreicht werden kann und die Nutzung des Google reCaptcha-Dienstes daher für die Zweckerfüllung schlicht nicht erforderlich ist.
Unsicher, ob Google reCaptcha bei Ihnen datenschutzkonform eingesetzt werden kann? Melden Sie sich gerne hier.
Unser Fazit
Die vertragliche Änderung durch Google ist ein Schritt in die richtige Richtung: Website-Betreiber:innen erhalten mehr Kontrolle und eine klarere rechtliche Einordnung. Wer reCaptcha unbedingt weiter einsetzen möchte, hat damit bessere Argumente als zuvor. Nutzen Sie aber den Anlass, um die Informationen zu Google reCaptcha in Ihrer Website-Datenschutzerklärung auf Aktualität und Transparenz zu überprüfen, insbesondere mit Blick auf die Darstellung der datenschutzrechtlichen Verantwortlichkeit von Google.
Klar ist aber: Die Kernprobleme bleiben bestehen. Die fehlende Transparenz über die tatsächlich verarbeiteten Daten und die Verfügbarkeit datenschutzfreundlicherer Alternativen machen es schwer, reCaptcha ohne Einwilligung einzusetzen.
Unsere Empfehlung lautet daher weiterhin: Prüfen Sie datenschutzfreundliche Alternativen zu Google reCaptcha und entscheiden Sie risikobasiert, welcher Dienst am besten für Ihre Zwecke passt.
Louisa El-Dbeissi ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte (IHK) und Managing Consultant bei der Datenschutzkanzlei.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten
Benennung zum externen Datenschutzbeauftragten
Echte Lösungen statt nerviger Hindernisse