Zum Hauptinhalt springen
Machen Sie jetzt den
DSGVO Quick-Check!

reCAPTCHA: Von Datenübermittlung zur Auftragsverarbeitung – jetzt alles DSGVO-konform? Wohl kaum.

zurück zur Übersicht

Was hat sich geändert?

Google hat zum 02.04.2026 die spezifischen Nutzungsbedingungen für reCAPTCHA geändert.

Die spezifischen Nutzungsbedingungen enthielten bisher Regelungen, die ihre Kunden verpflichteten, bei der Einbindung von reCAPTCHA auf Googles Terms of Use und Privacy Policy zu verweisen und erforderlichenfalls Einwilligungen für Datenweitergaben an Google einzuholen. Diese Regelungen deuteten daher bisher darauf hin, dass Google als eigene Verantwortliche agierte. Diese Regelungen wurden aus diesen Nutzungsbedingungen nunmehr entfernt.

 

Doch was hat diese Änderung zur Folge?

Nur eine Klarstellung. Für reCAPTCHA gelten nicht nur diese spezifischen Nutzungsbedingungen, sondern auch die Google Cloud Nutzungsbedingungen und das Cloud Data Processing Addendum (DPA). Aus diesen Verträgen ergab sich bisher schon, dass Google als Auftragsverarbeiter auftritt.[1] Insofern wird durch die Änderung der spezifischen Nutzungsbedingungen nur ein Widerspruch aufgelöst.

 

Was rät Google ihren Kunden?

Google weist in ihren FAQ darauf hin, dass wegen der Vertragsanpassung Verweise auf die Google Terms of Use und Privacy Policy entfernt werden sollen.

 

Was ist deswegen zu tun?

alle Website- bzw. App-Betreiber, die reCAPTCHA heute einsetzen, bedeutet das konkret:

Informationspflichten (Art. 13, 14 DSGVO)
Die Datenschutzerklärung ist anzupassen: Google ist im Zusammenhang mit reCAPTCHA nicht mehr als Dritter, sondern als Auftragsverarbeiter einzuordnen.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Auch der Eintrag im Verarbeitungsverzeichnis bzgl. reCAPTCHA ist entsprechend anzupassen. Für Google als Empfänger ist hier die Kategorie Auftragsverarbeiter aufzuführen.

 

Was hat sich nicht geändert? Die Probleme.
Die Vertragsanpassung ändert nichts an den grundlegenden datenschutzrechtlichen Herausforderungen beim Einsatz von reCAPTCHA.

 

Fehlende Transparenz der Datenverarbeitung
Google macht weder in ihrem DPA[2], noch in ihren Nutzungsbedingungen abschließende Angaben dazu, welche personenbezogenen Daten konkret verarbeitet werden und wann diese gelöscht werden. Google auch ihre Developer-Seiten zur Implementierung von reCAPTCHA aktualisiert[3] – allerdings ohne Konkretisierungen zu den Datenarten und Speicherfristen.

Damit fehlt es an wesentlichen Informationen zur Datenverarbeitung. Ohne diese Informationen können zentrale Anforderungen der DSGVO nicht erfüllt werden. Dies betrifft insbesondere die Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO und auch die Bestimmung einer tragfähigen Rechtsgrundlage – denn ohne vollständige Informationen zur Datenverarbeitung können keine Interessen abgewogen und auch keine informierte Einwilligung formuliert werden.

 

Endgerätezugriff und TDDDG
Unabhängig davon ist festzuhalten, dass laut Google-FAQ beim Dienst reCAPTCHA der Cookie _GRECAPTCHA gesetzt wird.

Der Einsatz des Cookies stellt einen Zugriff auf das Endgerät dar, der den Anforderungen des § 25 TDDDG unterliegt. Endgerätezugriffe bedürfen grundsätzlich einer Einwilligung, es sei denn, dass diese für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind.

Eine Ausnahme vom Einwilligungserfordernis kann daher hier nur angenommen werden, wenn reCAPTCHA zwingend für die Bereitstellung des konkret vom Nutzer angeforderten Dienst erforderlich ist und der damit verbundene Endgerätezugriff ausschließlich auf die hierfür notwendigen Verarbeitungsvorgänge beschränkt ist.

reCAPTCHA soll bei der Interaktion mit einem bestimmten Element auf einer Website oder App, z.B. Klick auf ein Login-Button oder Absenden eines Formulars, prüfen, ob diese Interaktion vom einer Maschine oder einem Menschen stammt. Es wird daher häufig angeführt, dass reCAPTCHA Sicherheitszwecken dient, insbesondere dem Schutz vor automatisierten Zugriffen und Missbrauch.

Die Datenschutzkonferenz (DSK) geht davon aus, dass nutzerorientierte Sicherheitscookies für einen vom Nutzer ausdrücklich gewünschten Dienst erforderlich sein können. Jedoch ist es hierzu weiterhin notwendig, dass nur die erforderlichen Daten verarbeitet werden, damit der ausdrücklich gewünschte Dienst „sicher, schnell und stabil“ zur Verfügung gestellt werden kann. Eine solche Bewertung ist im Fall von reCAPTCHA jedoch nicht belastbar möglich, da Google keine Informationen dazu bereitstellt, welche Daten durch den Cookie verarbeitet werden. Ebenso gibt es von Google keine konkreten Angaben zur Speicherdauer.

Das BVerwG Österreich hatte in einer Entscheidung aus 2024 folgende nicht abschließende Liste an Daten festgehalten: IP-Adresse, Referrer-URL, Infos über das Betriebssystem und den Browser, ggf. Cookies, Mausbewegungen und Tastaturanschläge, Verweildauer und Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browsereinstellungen) sowie eine einzigartige Nutzer-Identifikations-Nummer, wodurch das Endgerät markiert wird.

Unterstellt die Verarbeitung würde sich auf die Daten aus dieser Gerichtsentscheidung beschränken, ist der Umfang größer als für eine reine Bot-Prüfung, z.B. beim Klick auf einen Login-Button, erforderlich. Laut DSK sei die Vergabe eindeutiger Identifikations-Kennzeichnungen dabei besonders kritisch zu hinterfragen, weil für derartige Speicherungen nur in wenigen Fällen eine unbedingte Erforderlichkeit für die Bereitstellung einer Website oder App bestehe.

Mangels Informationen zur Datenverarbeitung und demnach auch mangels Nachweis der technischen Erforderlichkeit im Sinne des § 25 Abs. 2 TDDDG ist daher grundsätzlich von einer Einwilligungspflicht auszugehen.

Gleichzeitig erfordert eine wirksame Einwilligung die hinreichende Informiertheit der betroffenen Personen über Art, Umfang und Zwecke der Datenverarbeitung. Diese Voraussetzung ist im Fall von reCAPTCHA aufgrund der fehlenden Transparenz derzeit ebenfalls nicht erfüllt, sodass eine wirksame Einwilligung nicht eingeholt werden kann.

 

Unser Fazit

Die neue Vertragsanpassung löst damit keines der zentralen datenschutzrechtlichen Probleme von reCAPTCHA. Für Verantwortliche bleibt der Einsatz weiterhin mit erheblichen rechtlichen Unsicherheiten verbunden. Wer reCAPTCHA bereits einsetzt, sollte zur Transparenzerhöhung Googles Rolle als Auftragsverarbeiter in den eigenen Datenschutzinformationen wiedergeben. Im Übrigen sollten Alternativen zu Googles reCAPTCHA geprüft werden.

 

[1] Die Google Cloud Nutzungsbedingungen beziehen das Cloud Data Processing Addendum ein. Das Cloud Data Processing Addendum verweist schon seit September 2022 wegen der betroffenen Google-Dienste auf die „Google Cloud Plattform Services Summary“ (https://cloud.google.com/terms/services/index-20230427), die damals schon den reCAPTCHA aufführte. Seitdem gilt der Cloud Data Processing Addendum für reCAPTCHA.

[2] Verarbeitete Daten: „Data relating to individuals provided to Google via the Services, by (or at the direction of) Customer or by its End Users“

[3] zuletzt aufgerufen am 15.04.2026

Leistungen
Datenschutz

für Behörden

Internationaler Datenschutz

Data Privacy Framework

Künstliche Intelligenz

Telekommunikations­datenschutz

Telemedien & Digitale Dienste

Gesundheitsdatenschutz

Finanz- und Bankendatenschutz

Kirchlicher Datenschutz

Konzepte

Expertise

Individualität

Engagement

Kanzlei

Team

Standorte

Karriere

Philosophie

Impressum

Datenschutzerklärungen

Adenauerallee 136
D-53113 Bonn
Tel.: +49 (0) 228-227 226-0
Mail: info@scheja-partners.de

DSGVO Quick-Check