reCAPTCHA und DSGVO: Google wird Auftragsverarbeiter – was Websitebetreiber jetzt wissen müssen

Google wird bei reCAPTCHA Auftragsverarbeiter.
Kategorien:
,

Google hat angekündigt, seine Rolle beim Einsatz von reCAPTCHA datenschutzrechtlich neu einzuordnen. Ab dem 2. April 2026 wird Google im Zusammenhang mit reCAPTCHA nicht mehr als Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Was das für Unternehmen konkret bedeutet und worauf sie weiterhin achten müssen.

Neue Rollenverteilung ab April 2026

Die rechtliche Bewertung der bisherigen Rollenverteilung war lange Zeit umstritten. Google betrachtete sich bislang selbst als Verantwortlicher für die im Rahmen von reCAPTCHA verarbeiteten Daten. Das bedeutete, dass das Unternehmen Zwecke und Mittel der Verarbeitung eigenständig festlegte – einschließlich der Möglichkeit, die im Rahmen der CAPTCHA-Prüfungen erhobenen Informationen auch für eigene Zwecke zu verwenden.

Genau an diesem Punkt setzte die Kritik vieler Datenschützer an. Websitebetreiber binden reCAPTCHA zwar technisch ein, haben jedoch nur begrenzten Einfluss darauf, wie Google die dabei erhobenen Nutzerdaten weiterverarbeitet. Insbesondere wurde beanstandet, dass die Datenverarbeitung über die reine Missbrauchsabwehr hinausgehen und zu Analyse- oder Verbesserungszwecken von Google genutzt werden könnte. Dadurch stellten sich erhebliche datenschutzrechtliche Fragen im Hinblick auf die DSGVO sowie auf § 25 TDDDG.

Mit der Ankündigung Anfang 2026 nimmt Google nun eine grundlegende Anpassung vor. Künftig wird für reCAPTCHA ein Auftragsverarbeitungsvertrag bereitgestellt; maßgeblich ist dabei das Google Cloud Data Processing Addendum.

Link-Tipp: Google Data Processing Addendum

In dieser Konstellation verarbeitet Google die im Rahmen von reCAPTCHA erhobenen Daten künftig grundsätzlich im Auftrag und nach Weisung der jeweiligen Websitebetreiber. Die Daten dürfen damit grundsätzlich nur noch zur Bereitstellung und Absicherung des Dienstes verarbeitet werden und nicht mehr zu eigenständigen Zwecken von Google.

Die datenschutzrechtliche Hauptverantwortung liegt damit eindeutig bei den Websitebetreibern, die reCAPTCHA einsetzen.

Technisch bleibt bei reCAPTCHA alles beim Alten

An der technischen Funktionsweise von reCAPTCHA ändert sich durch die Umstellung nichts. Funktionen, Schutzmechanismen und Integrationen bleiben unverändert. Die Änderung betrifft ausschließlich die datenschutzrechtliche Rollenverteilung sowie die zugrunde liegende Vertragsstruktur.

Google informiert seine Kunden bereits über die Anpassung und weist darauf hin, dass insbesondere die Datenschutzhinweise auf den jeweiligen Websites aktualisiert werden sollten.

Lese-Tipp: Das sind die geplanten Änderungen bei Cookie-Bannern

Das sollten Unternehmen jetzt bei reCAPTCHA beachten

Für Unternehmen bringt die neue Rollenverteilung mehr Klarheit – eine Reduzierung der eigenen Pflichten ist damit jedoch nicht verbunden. Wer reCAPTCHA einsetzt, ist künftig eindeutig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und muss die damit verbundenen datenschutzrechtlichen Pflichten erfüllen.

Unternehmen sollten daher insbesondere prüfen,

  • ob reCAPTCHA vom bestehenden Google Data Processing Addendum erfasst ist,
  • ob die aktualisierten Vertragsbedingungen wirksam einbezogen wurden,
  • ob das Verzeichnis von Verarbeitungstätigkeiten angepasst werden muss,
  • und ob die Datenschutzerklärung die neue Rollenverteilung sowie die Datenverarbeitung transparent beschreibt.


Die Einstufung von Google als Auftragsverarbeiter entbindet Unternehmen also nicht von ihren Prüf- und Dokumentationspflichten. Vielmehr rückt sie diese Pflichten noch stärker in den Fokus.

Einwilligungspflicht bleibt in vielen Fällen bestehen

Auch wenn Google künftig als Auftragsverarbeiter agiert, ändert sich an der Einwilligungspflicht in vielen Fällen nichts.

Beim Einsatz von reCAPTCHA werden regelmäßig Informationen auf dem Endgerät der Nutzer gespeichert oder ausgelesen, etwa über Cookies oder andere technische Identifikatoren. Ziel ist es, das Verhalten von Websitebesuchern zu analysieren und automatisierte Zugriffe zu erkennen. Damit fällt der Einsatz weiterhin grundsätzlich unter § 25 Abs. 1 TDDDG.

In der Praxis bedeutet das: reCAPTCHA sollte regelmäßig erst nach einer vorherigen Einwilligung über ein Consent-Management-Tool geladen werden. Unternehmen sollten daher prüfen,

  • ob das reCAPTCHA-Skript tatsächlich erst nach Zustimmung aktiviert wird und
  • ob der Dienst im Consent-Banner korrekt beschrieben ist.


Darüber hinaus kann es sinnvoll sein, weniger eingriffsintensive Alternativen zu prüfen oder reCAPTCHA technisch so einzubinden, dass Datenübertragungen möglichst reduziert werden.

Lassen Sie Ihre Website jetzt überprüfen

Die Umstellung ist aus Compliance-Sicht ein bedeutsamer Schritt. Sie beendet eine langjährige Diskussion über die datenschutzrechtliche Rollenverteilung bei reCAPTCHA und schafft mehr Klarheit bei der Verantwortungszuordnung.

Unternehmen sollten die Änderung jedoch nicht als bloße Formalie verstehen. Vielmehr bietet sie Anlass, die eigene Einbindung von reCAPTCHA technisch, vertraglich und organisatorisch noch einmal strukturiert zu überprüfen.

Unsere Experten unterstützen Unternehmen dabei, Tracking- und Sicherheitsdienste wie reCAPTCHA rechtssicher einzubinden und bestehende Websites datenschutzrechtlich zu überprüfen.

Im Rahmen eines Website-Checks analysieren wir unter anderem:

  • eingesetzte Drittanbieter-Dienste und Tracking-Technologien

  • Einwilligungsmechanismen und Consent-Banner

  • Datenübermittlungen in Drittstaaten

  • Datenschutzerklärung und Dokumentationspflichten

Nehmen Sie einfach Kontakt zu uns auf.

Yussef Benjabri, Compliance Expert 2B Advice

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge