reCaptcha & Datenschutz: Ist die Nutzung DSGVO konform?

Was ist reCAPTCHA und wie funktioniert es?

ReCaptcha ist ein Captcha-Dienst von Google, der im Hintergrund von Websites agiert um festzustellen, ob es sich bei Besuchern um Menschen oder Computerprogramme handelt.

Mit dem Einsatz von Captchas soll verhindert werden, dass Maschinen, Computerprogramme oder Schadsoftware an Registrierungen, Kommentarfunktionen oder Formularen teilnehmen. Captchas sind Ihnen in der Vergangenheit vielleicht als verzerrte Buchstaben – und Zahlenfolgen oder Mosaikbilder begegnet.

Google hat sein reCaptcha Tool inzwischen so weit fortentwickelt, dass es entweder komplett unsichtbar im Hintergrund läuft (reCaptcha V3) oder Sie als Nutzer:in lediglich ein Häkchen setzen müssen, um zu bestätigen, dass Sie kein Roboter sind.

Diese unsichtbare reCaptcha V3 Simulation überprüft die Menschlichkeit seiner Nutzer nicht mehr mit Tests, sondern anhand einer verhaltensbasierten Analyse. Ein Hinweis darauf, dass das eigene Surfverhalten beobachtet und ausgewertet wird, fehlt meist - manchmal befindet sich lediglich ein kleines Captcha-Logo am Bildschirmrand. Diese Problematik wird durch die neue Auftragsverarbeitung ab April 2026 entschärft, bleibt aber nicht vollständig gelöst.  

Welche Daten erhebt reCAPTCHA?

Captchas berechnen die Wahrscheinlichkeit dafür, dass es sich bei dem Nutzer einer Website um einen Menschen handelt. Hierfür wird das Verhalten der Nutzer analysiert und zu einem Captcha-Score addiert.

Konkret fließt hier Verhalten ein wie:

• Bereits installierte Google-Cookies
• Bisherige Browser-Interaktionen
• Anzahl Mausbewegungen und Tastaturanschläge
• Verweildauer auf Websites

Folgende personenbezogene Daten werden zur Auswertung an Google weitergeleitet:

• IP-Adresse des Websitebesuchers
• Datum
• Ein kompletter Screenshot des Browserfensters
• Referrer URL (die Adresse der Seite, von der Besucher kommen)
• Browser-Plugins
• Informationen über das Betriebssystem (Windows, Linux, iOS)
• Cookies, wie andere Google-Cookies der letzten 6 Monate, wie auch NID Cookies, welche dazu geeignet sind, Nutzerprofile zu erstellen
• Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browser etc.

Alle personenbezogenen Daten stehen unter dem Schutz der DSGVO. Für eine derartige Datenerhebung muss demnach eine Rechtsgrundlage vorliegen.

Was ändert sich ab dem 2. April 2026?

Google reagiert auf den zunehmenden regulatorischen Druck und verarbeitet die reCAPTCHA-Daten künftig im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.

Das bedeutet konkret:

✅ Webseitenbetreiber = Verantwortliche im Sinne der DSGVO
✅ Google = weisungsgebundener Auftragsverarbeiter
✅ Google darf die Daten ausschließlich zur Bot-Erkennung verwenden
✅ Rechtsgrundlage: Google Cloud Data Processing Addendum

Quelle: Diese Einschätzung basiert auf der Analyse von Dr. Thomas Schwenke.

Was verbessert sich dadurch?

Die vertragliche Neugestaltung entkräftet den zentralen Vorwurf, Google könne weisungsfrei über Nutzerdaten verfügen. Das datenschutzrechtliche Risiko beim Einsatz von reCAPTCHA ist damit generell gesunken.

Ist reCAPTCHA jetzt DSGVO-konform?

Nach Einschätzung von Dr. Schwenke kann reCAPTCHA künftig auf Grundlage berechtigter Interessen zur Bot-Abwehr eingesetzt werden, einschließlich des hierfür erforderlichen Zugriffs auf Endgeräte.

Pro berechtigtes Interesse:

• Das Tool schützt die Website vor Bot-Angriffen und vollen Spam Ordnern
• Vertragliche Zweckbindung durch Auftragsverarbeitung
• Effektivere Bot-Erkennung als einfachere Alternativen

Contra berechtigtes Interesse / verbleibende Risiken:

Trotz der Verbesserungen bleiben drei zentrale Risikobereiche:

1. Erforderlichkeit & Privacy by Design (Art. 25 DSGVO)

Das österreichische Bundesverwaltungsgericht entschied, dass der Einsatz einer Bot-Prüfung mit Cookies nicht erforderlich und ohne Einwilligung unzulässig ist (Entscheidung W298 2274626-1). Allerdings wird die Entscheidung als technisch zu einschränkend kritisiert, da reCAPTCHA effektiver sei. Art. 25 DSGVO verlangt zwar datenschutzfreundliche Lösungen, berücksichtigt aber auch Funktionsumfang, Sicherheit, Effektivität, technische Umsetzbarkeit und Kosten.

2. US-Datenübermittlung

Google ist ein US-Unternehmen, sodass das generelle Risiko des Einsatzes von US-Diensten fortbesteht. Dieses Risiko ist derzeit bei nahezu allen US-Anbietern als "unternehmerisches Betriebsrisiko" zu bewerten. Wäre dieser Spielraum nicht gegeben, wäre auch der Einsatz von Diensten wie Microsoft Office nicht möglich.

3. Fehlende Datentransparenz

Google stellt keine vollständige Übersicht der verarbeiteten Daten bereit. Datenschutzerklärungen müssen daher auf den Angaben zur technischen Implementierung basieren – mit einer gewissen Restunsicherheit.

Fazit: Die Änderung senkt das Risiko erheblich, schließt es aber nicht vollständig aus.

Was müssen Sie jetzt konkret unternehmen?

Wenn Sie Google reCAPTCHA einsetzen, sollten Sie bis spätestens 2. April 2026 folgende Maßnahmen umgesetzt haben:

Checkliste: reCAPTCHA DSGVO-konform einsetzen

✅ Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren

• reCAPTCHA als Auftragsverarbeitung aufnehmen
• Google als Auftragsverarbeiter eintragen

✅ Datenschutzerklärung anpassen

• Google als Auftragsverarbeiter (nicht als Verantwortlichen) beschreiben
• Zweck: Bot-Erkennung und Schutz vor Missbrauch
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Empfängerkategorie: Google Ireland Limited (Auftragsverarbeiter)
• Drittlandübermittlung: USA (auf Basis Standardvertragsklauseln)

✅ AVV-Grundlage sicherstellen

• Rechtsgrundlage ist das Google Cloud Data Processing Addendum
• Automatisch gültig bei Nutzung von Google Cloud-Diensten

✅ Manuelle Hinweise entfernen

• Verweise auf Googles Datenschutzerklärung im Zusammenhang mit reCAPTCHA löschen
• Verweise auf Googles Nutzungsbedingungen im Zusammenhang mit reCAPTCHA löschen
• Sie sind nun selbst für Datenschutzinformationen zu reCAPTCHA verantwortlich

✅ Berechtigtes Interesse dokumentieren

• Interessenabwägung durchführen und dokumentieren
• Schutz vor Bot-Angriffen, Spam und Missbrauch als berechtigtes Interesse

🎯 Sie benötigen DSGVO-konforme Lösungen für Ihre Website?

Ob reCAPTCHA-Implementierung, Datenschutzerklärung oder VVT-Verwaltung – Proliance unterstützt Sie bei der rechtssicheren Umsetzung.

Jetzt DSGVO-Beratung anfragen

Google reCaptcha & Datenschutz: Gibt es bessere Alternativen?

Auch wenn reCAPTCHA ab April 2026 rechtlich besser abgesichert ist, bleiben Risiken bestehen. Für Unternehmen mit hohen Compliance-Anforderungen empfehlen sich datenschutzfreundlichere Alternativen:

Friendly Captcha

Bei Friendly Captcha wird für jeden Nutzer ein individuelles „Krypto-Puzzle“ erstellt, welches der Browser im Hintergrund löst, während der Benutzer ein Formular ausfüllt. Tracking oder Cookies werden hier nicht verwendet. Zudem ist der Open Source Code für jeden einseh - und anpassbar.  

Vorteile: 

• Keine Cookies
• EU-Server (Deutschland)
• DSGVO-konform ohne Risiken
• Open Source

Nachteil:

• Mit Kosten und Programmieraufwand verbunden.

HCaptcha

HCaptcha funktioniert ähnliche wie reCaptcha von Google, unterscheidet sich aber in puncto Datenschutz. Gemäß dem in der DSGVO manifestierten Prinzip der Datensparsamkeit werden nur jene Daten erhoben, welche für die Funktion der Captchas zur Erkennung von Bots laut Aussagen des Unternehmens wirklich notwendig sind. Zudem werden personenbezogene Daten von den Captcha Daten getrennt und gelöscht.

Nachteil: Das zugehörige Unternehmen sitzt in den USA, wohin eine Datenübertragung seit Wegfall des Privacy Shields nur unter strengen Voraussetzungen möglich ist.

Honeypot

Die Anwendung Honeypot erstellt ein unsichtbares Fenster extra für Bots, welches menschliche Nutzer nicht sehen können. Die Bots beginnen direkt damit, dieses auszufüllen und fallen damit durch die Menschlichkeitsprüfung. Die Honeypot-Variante ist leicht anwendbar und auch in Verbindung mit weiteren Captcha-Verfahren möglich.

Gegenargument: Es gibt mittlerweile fortentwickelte Bots, welche in der Lage sind, die Honeypot-Technologie zu umgehen. 

Was sollten Sie bei der Nutzung von reCAPTCHA beachten?

Sie als Websitebetreiber:in sind verantwortlich für die Rechtmäßigkeit der von Ihnen gewählten Captcha Variante.

Ab April 2026 ist der Einsatz rechtlich besser abgesichert. Dennoch sollten Sie folgende Punkte beachten:

• Schaffen Sie Transparenz: Unterrichten Sie Ihre Nutzer über die Verwendung des Tools in Ihrer Datenschutzerklärung
• Aktualisieren Sie VVT und Datenschutzerklärung bis 2. April 2026
• Dokumentieren Sie Ihr berechtigtes Interesse an der Bot-Abwehr
• Verfahren Sie nach dem Prinzip der Datenminimierung und erheben nur das Notwendigste
• Gehen Sie auf Nummer Sicher: Verwenden Sie eine europäische Alternative wie Friendly Captcha

Eine Einwilligung über Cookie-Banner ist bei Einsatz als Auftragsverarbeitung auf Basis berechtigter Interessen nicht zwingend erforderlich – rechtlich aber weiterhin die sicherste Variante.

🛡️ Externer Datenschutzbeauftragter gesucht?

Sie benötigen einen zertifizierten externen Datenschutzbeauftragten? Die TÜV-zertifizierten Experten von Proliance übernehmen die vollumfängliche Betreuung – von der Erst-Analyse bis zur laufenden Beratung.

Jetzt externen Datenschutzbeauftragten bestellen

Fazit: reCAPTCHA ab 2026 einsetzbar – Alternativen bleiben empfehlenswert

Nach Einschätzung von Datenschutzexperten kann Google reCAPTCHA ab dem 2. April 2026 auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Bot-Abwehr eingesetzt werden. Die Umstellung auf Auftragsverarbeitung reduziert das datenschutzrechtliche Risiko erheblich.

Verbleibende Risiken: US-Datenübermittlung, Erforderlichkeitsprüfung und fehlende Datentransparenz machen den Einsatz weiterhin nicht vollständig risikofrei.

Wir empfehlen Ihnen die Verwendung alternativer Anwendungen wie Friendly Captcha, sodass Ihre Website sowohl im Einklang mit der DSGVO als auch frei von Bot-Angriffen bleibt. Wir unterstützen Sie gerne, eine passende Alternative zu finden, damit Ihr Online-Auftritt rechtssicher ist.