reCAPTCHA - Google's neue Rolle beim Datenschutz

reCAPTCHA unter neuer datenschutzrechtlicher Rolle - und warum die DSGVO-Probleme bleiben

Die Diskussion um den datenschutzkonformen Einsatz von reCAPTCHA erhält eine neue Wendung: Google hat seine datenschutzrechtliche Rolle bei dem Dienst angepasst. Die Änderung tritt am 2. April 2026 in Kraft. Doch wer jetzt auf Entwarnung hofft, übersieht ein entscheidendes Detail: Die grundlegenden Probleme im Hinblick auf die DSGVO bestehen weiterhin.

Was hat sich bei reCAPTCHA geändert?

Bisher wurde reCAPTCHA häufig so eingeordnet, dass Google als eigenständig Verantwortlicher agiert. Inzwischen positioniert sich Google stärker als Auftragsverarbeiter für Websitebetreiber, zumindest in bestimmten Konstellationen und Vertragsmodellen.

Das bedeutet: Websitebetreiber sollen nun formell die Kontrolle über die Datenverarbeitung behalten, während Google die technische Bereitstellung übernimmt.

Auf den ersten Blick wirkt das wie ein Schritt in Richtung DSGVO-Konformität. Schliesslich ist die Einbindung eines Auftragsverarbeiters rechtlich klar geregelt und grundsätzlich zulässig.

Warum diese Aenderung nicht ausreicht

Trotz dieser Anpassung bleibt ein zentrales Problem bestehen: Die tatsächliche Datenverarbeitung durch reCAPTCHA widerspricht weiterhin wesentlichen Anforderungen der DSGVO.

1. Umfangreiche Datenerhebung ohne echte Erforderlichkeit

reCAPTCHA analysiert weit mehr als nur das Verhalten zur Spam-Abwehr. Dazu gehören unter anderem:

  • IP-Adresse
  • Mausbewegungen
  • Verweildauer
  • Browser- und Geräteeigenschaften
  • gegebenenfalls eingeloggte Google-Konten

Diese Datensammlung geht deutlich über das hinaus, was für eine einfache Bot-Erkennung notwendig wäre.

2. Datenübertragung in die USA

Ein erheblicher Kritikpunkt bleibt die Uebermittlung personenbezogener Daten in die USA. Auch nach neuen Abkommen bestehen rechtliche Unsicherheiten hinsichtlich:

  • staatlicher Zugriffe
  • fehlender gleichwertiger Datenschutzstandards

Damit steht der Einsatz weiterhin im Spannungsfeld der Rechtsprechung des EuGH, insbesondere nach “Schrems II”.

3. Fehlende Rechtsgrundlage ohne Einwilligung

Der Einsatz von reCAPTCHA lässt sich in der Praxis kaum auf ein berechtigtes Interesse stützen. Der Grund:

  • Nutzer werden nicht transparent genug informiert
  • Die Verarbeitung ist nicht zwingend erforderlich
  • Es existieren datenschutzfreundlichere Alternativen

Daher ist in den meisten Fällen eine aktive Einwilligung erforderlich, die jedoch oft nicht eingeholt wird.

4. Problematische gemeinsame Verantwortlichkeit bleibt bestehen

Auch wenn Google sich als Auftragsverarbeiter darstellt, sprechen viele Argumente weiterhin für eine faktische Mitverantwortung:

  • Google nutzt Daten potenziell für eigene Zwecke, zum Beispiel zur Verbesserung von Diensten
  • Die technische Kontrolle liegt nicht vollständig beim Websitebetreiber

Das führt zu einer rechtlichen Grauzone, die durch eine blosse Rollenänderung nicht aufgelöst wird.

Konsequenzen für Websitebetreiber

Die Anpassung der Rolle durch Google entbindet Unternehmen nicht von ihrer Verantwortung. Wer reCAPTCHA einsetzt, trägt weiterhin das volle Risiko.

Wichtige Punkte:

  • Einbindung nur nach vorheriger Einwilligung
  • Transparente Information in der Datenschutzerklärung
  • Abschluss eines Auftragsverarbeitungsvertrags (AVV)
  • Prüfung von Drittlandtransfers
  • Dokumentation im Verzeichnis der Verarbeitungstätigkeiten

Fazit: Neue Rolle, alte Probleme

Die Neupositionierung von Google bei reCAPTCHA, wirksam ab dem 2. April 2026, wirkt auf den ersten Blick wie ein Fortschritt. Tatsächlich handelt es sich jedoch eher um eine formale Anpassung als um eine echte datenschutzrechtliche Lösung.

Die zentralen Kritikpunkte, insbesondere Datenübermittlung, Umfang der Verarbeitung und fehlende Erforderlichkeit, bleiben bestehen.

Für Unternehmen bedeutet das: reCAPTCHA ist auch weiterhin nur eingeschränkt DSGVO-konform einsetzbar und in vielen Fällen schlicht nicht zulässig ohne saubere Consent-Lösung.

Empfehlung

Wer auf Nummer sicher gehen möchte, sollte prüfen:

  • Einsatz von datenschutzfreundlicheren Alternativen, zum Beispiel lokale Captcha-Lösungen
  • Minimierung externer Dienste
  • Fokus auf Privacy-by-Design

Denn eines ist klar: Die Verantwortung für den Datenschutz lässt sich nicht an grosse Anbieter auslagern, auch dann nicht, wenn sie ihre Rolle neu definieren.