Google reCAPTCHA: Seit dem 02.04.2026 haften Sie – nicht mehr Google.
Google hat sich zum reinen Auftragsverarbeiter erklärt. Die volle Datenschutz-Verantwortung liegt jetzt bei Ihnen als Websitebetreiber. Bei Verstößen drohen Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes.
- Fehlender Auftragsverarbeitungsvertrag (DPA) mit Google = Abmahnrisiko
- Datenschutzerklärung & Verarbeitungsverzeichnis (VVT) meist veraltet
- US-Datenübermittlung ohne passende Garantien = Verstoß gegen Art. 44 ff. DSGVO
Was hat sich am 2. April 2026 geändert?
Google hat seine Rolle bei reCAPTCHA offiziell neu definiert: Aus dem bisher gemeinsam Verantwortlichen wurde ein reiner Auftragsverarbeiter nach Art. 28 DSGVO. Konsequenz: Die volle datenschutzrechtliche Verantwortung wandert zum Websitebetreiber – Millionen deutscher Websites sind betroffen.
Rollenwechsel: Google = Auftragsverarbeiter
Sie müssen mit Google aktiv ein Data Processing Addendum (DPA) abschließen – sonst fehlt Ihnen die Rechtsgrundlage für den Einsatz von reCAPTCHA.
Datenschutzerklärung & VVT anpassen
Die Verarbeitung muss jetzt eigenständig beschrieben werden. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist zu aktualisieren – inkl. Rechtsgrundlage nach Art. 6 DSGVO.
US-Drittlandtransfer absichern
Daten fließen weiterhin in die USA. Ohne gültige Garantien (z. B. Data Privacy Framework, SCC + TIA) drohen Abmahnungen und Bußgelder nach Art. 44 ff. DSGVO.
5 Dinge, die Sie jetzt umsetzen müssen
Unsere Experten prüfen genau diese Punkte in Ihrer kostenlosen Erstanalyse – Punkt für Punkt, mit konkreten Handlungsempfehlungen.
- DPA mit Google abschließenAuftragsverarbeitungsvertrag aktiv akzeptieren und revisionssicher dokumentieren.
- Datenschutzerklärung überarbeitenBeschreibung der Verarbeitung, Zwecke, Empfänger und Betroffenenrechte DSGVO-konform ergänzen.
- Rechtsgrundlage dokumentierenBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) sauber begründen – oder auf Einwilligungslösung umstellen.
- VVT aktualisierenVerzeichnis der Verarbeitungstätigkeiten erweitern (Art. 30 DSGVO).
- Alternativen prüfenhCaptcha, Friendly Captcha oder serverseitige Lösungen können das Risiko minimieren.
Ihre Datenschutz-Experten aus Nürnberg – seit über 15 Jahren.
Wir sind kein anonymes Online-Tool und kein Rechenzentrum in Berlin. Wir sind Ihr regionaler Ansprechpartner mit Sitz in Nürnberg und betreuen mittelständische Unternehmen in ganz Bayern – persönlich, verständlich und pragmatisch.
Unsicher, ob Ihre Website rechtskonform ist?
Lassen Sie Ihre Seite in 15 Minuten unverbindlich prüfen – kostenfrei und ohne Risiko.
Die häufigsten Fragen zum reCAPTCHA-Update
Muss ich reCAPTCHA jetzt sofort entfernen?
Nein. Der Einsatz ist weiterhin zulässig – allerdings nur, wenn Sie die neuen Pflichten (DPA, Datenschutzerklärung, VVT, Drittlandgarantien) erfüllen. Wir prüfen das für Sie im Detail.
Brauche ich jetzt eine Einwilligung per Cookie-Banner?
In den meisten Fällen ist eine Einwilligung sinnvoll oder notwendig – insbesondere, wenn reCAPTCHA schon beim Seitenaufruf geladen wird. Das hängt vom konkreten Einsatz ab und ist im Einzelfall zu bewerten.
Welche Bußgelder drohen konkret?
Nach Art. 83 DSGVO sind Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes möglich. Realistisch sind bei KMU aber vor allem Abmahnungen von Mitbewerbern oder Datenschutzaktivisten – mit Kosten von mehreren tausend Euro.
Was kostet die Erstprüfung?
Die Erstanalyse Ihrer Website ist für Sie komplett kostenfrei und unverbindlich. Erst wenn Sie entscheiden, dass Sie Unterstützung bei der Umsetzung möchten, entstehen Kosten – immer nach klarem Angebot.
Wie lange dauert die Umsetzung?
Einfache Fälle (DPA, Datenschutzerklärung) sind innerhalb weniger Tage erledigt. Bei komplexen Setups mit mehreren Tools rechnen wir mit 2–4 Wochen.