Seit dem 2. April 2026 hat Google die datenschutzrechtliche Rolle beim Einsatz von reCAPTCHA grundlegend verändert. Bislang trat Google bei der Nutzung des Bot-Schutz-Dienstes als eigenverantwortlicher Datenverarbeiter auf und entschied selbst, wie und zu welchen Zwecken die über reCAPTCHA erfassten Daten verwendet werden. Das ist vorbei. Ab sofort agiert Google ausschließlich als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO – und die volle Verantwortung für die Datenverarbeitung liegt nun bei Ihnen als Websitebetreiber.
Diese Änderung betrifft potenziell Millionen von Websites weltweit. Wer reCAPTCHA auf der eigenen Website einsetzt – ob im Kontaktformular, im Login-Bereich oder im Checkout – ist nun Verantwortlicher im datenschutzrechtlichen Sinne. Das bedeutet: Informationspflichten, Rechtsgrundlagen und Transparenz liegen vollständig in Ihrer Hand.
Für viele Unternehmen dürfte dies überraschend kommen. Die Neuerung erfordert unmittelbaren Handlungsbedarf, denn wer ohne Anpassung weitermacht, riskiert einen Verstoß gegen die DSGVO.
Der Sachverhalt: Was hat sich genau geändert?
- Rollenänderung: Google wechselt von der Stellung als gemeinsam Verantwortlicher oder eigenständiger Verantwortlicher hin zum reinen Auftragsverarbeiter nach Art. 28 DSGVO.
- Auftragsverarbeitungsvertrag (AVV): Google stellt ab sofort einen Data Processing Addendum (DPA) bereit. Websitebetreiber müssen diesen AVV aktiv abschließen.
- Datenschutzerklärung muss aktualisiert werden: Bisherige Verlinkungen auf die Google-Datenschutzerklärung sind nicht mehr ausreichend. Websitebetreiber müssen den Verarbeitungszweck, die Rechtsgrundlage und die Datenübermittlung in die USA selbst in ihrer Datenschutzerklärung beschreiben.
- Drittlandübermittlung bleibt ein Thema: reCAPTCHA überträgt weiterhin Verhaltensdaten in die USA. Hierfür sind geeignete Garantien (z. B. EU-Standardvertragsklauseln) zu dokumentieren.
- Einwilligung kann erforderlich sein: Je nach Einsatzzweck und Datenumfang kann eine Einwilligung der Nutzer nach Art. 6 Abs. 1 lit. a DSGVO notwendig werden.
Was bedeutet das für Unternehmen?
- Auftragsverarbeitungsvertrag mit Google abschließen: Rufen Sie das Google Cloud Data Processing Addendum auf und akzeptieren Sie dieses für Ihren Google-Account. Ohne diesen Vertrag fehlt die datenschutzrechtliche Grundlage für den Einsatz von reCAPTCHA als Auftragsverarbeitung. Dies ist der dringlichste Schritt.
- Datenschutzerklärung überarbeiten: Entfernen Sie Formulierungen, die auf die Google-Datenschutzerklärung verweisen, und ergänzen Sie stattdessen eine eigene Beschreibung: Welche Daten werden verarbeitet? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Wohin werden die Daten übertragen? Welche Garantien bestehen für die USA-Übermittlung?
- Rechtsgrundlage prüfen und dokumentieren: Stützen Sie den Einsatz von reCAPTCHA auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), und dokumentieren Sie eine Interessenabwägung. Falls reCAPTCHA auch für Zwecke jenseits der reinen Sicherheit genutzt wird, kann eine Einwilligung erforderlich werden.
- Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren: Tragen Sie reCAPTCHA als neue oder geänderte Verarbeitungstätigkeit ein – mit Google als Auftragsverarbeiter, Zweck, Rechtsgrundlage und Angaben zur Drittlandübermittlung.
- Alternativen in Betracht ziehen: Falls der Aufwand für die DSGVO-konforme Einbindung zu groß ist, gibt es datenschutzfreundlichere Alternativen wie hCaptcha oder server-seitige Bot-Erkennung ohne Cookies und Drittlandübermittlung.
Fazit
Der Wechsel von Google vom Verantwortlichen zum Auftragsverarbeiter klingt technisch, hat aber ganz praktische Konsequenzen: Websitebetreiber müssen sofort handeln – AVV abschließen, Datenschutzerklärung anpassen und das VVT aktualisieren. Wer dies versäumt, riskiert Beschwerden bei der Aufsichtsbehörde und Bußgelder. Die Änderung ist auch eine Erinnerung daran, dass Datenschutz kein einmaliges Projekt ist, sondern kontinuierliche Pflege erfordert.
Bei Fragen helfen wir Ihnen gerne weiter.