Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

Google reCAPTCHA: Vom Verantwortlichen zum Auftragsverarbeiter

 

Was Googles Rollenwechsel fuer Ihre DSGVO-Compliance-Pflichten bedeutet

Startseite / Blog / Datenschutz
10. Februar 2026 Datenschutz 8 Min. Lesezeit

Google hat eine bedeutende Aenderung an der Art und Weise vorgenommen, wie personenbezogene Daten verarbeitet werden, die ueber seinen reCAPTCHA-Dienst erhoben werden. Zuvor fungierte Google als eigenstaendiger Verantwortlicher fuer die Daten, die erhoben wurden, wenn Nutzer mit reCAPTCHA auf Ihrer Website interagierten. Nun hat Google sich als Auftragsverarbeiter umklassifiziert, was bedeutet, dass Sie — der Website-Betreiber — der alleinige Verantwortliche fuer alle personenbezogenen Daten sind, die ueber reCAPTCHA verarbeitet werden. Diese Verschiebung hat wichtige Auswirkungen auf die DSGVO-Compliance und erfordert konkrete Massnahmen von jeder Organisation, die den Dienst nutzt.

Den Unterschied zwischen Verantwortlichem und Auftragsverarbeiter verstehen

Nach der DSGVO bestimmt ein Verantwortlicher die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Ein Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen und folgt dessen Anweisungen. Die Unterscheidung ist wichtig, da Verantwortliche die primaere Verantwortung fuer die Compliance tragen, einschliesslich der Sicherstellung einer rechtmaessigen Verarbeitung, der Erfuellung von Betroffenenrechten, der Gewaehrleistung von Transparenz und der angemessenen Verwaltung von Auftragsverarbeitern.

Als Google als Verantwortlicher fuer reCAPTCHA-Daten agierte, bestimmte es unabhaengig, wie die erhobenen Daten verwendet wurden — einschliesslich einer moeglichen Nutzung fuer eigene Zwecke wie Dienstverbesserung oder Sicherheitsforschung. Nach der neuen Regelung verarbeitet Google reCAPTCHA-Daten ausschliesslich in Ihrem Auftrag und nach Ihren Anweisungen, was die Compliance-Landschaft grundlegend veraendert.

Welche Daten erhebt reCAPTCHA?

reCAPTCHA erhebt eine erhebliche Menge an Daten von Website-Besuchern, um Menschen von Bots zu unterscheiden. Dazu gehoeren:

  • IP-Adressen: Die vollstaendige IP-Adresse des Besuchers
  • Cookies: reCAPTCHA setzt Cookies im Browser des Nutzers, einschliesslich Tracking-Cookies, die sitzungsuebergreifend bestehen bleiben
  • Browser- und Geraeteinformationen: User Agent, Bildschirmaufloesung, Browser-Plugins, Spracheinstellungen und Zeitzone
  • Mausbewegungen und Klickmuster: Verhaltensdaten, die analysieren, wie der Nutzer mit der Seite interagiert
  • Tastenanschlagsdynamik: Zeitpunkt und Muster der Tastatureingabe
  • Referrer-URL: Die Seite, die der Nutzer besucht hat, bevor er auf Ihre Website gelangte
  • Google-Kontodaten: Wenn der Nutzer in einem Google-Konto angemeldet ist, koennen zusaetzliche Daten verknuepft werden

Ein Grossteil dieser Daten stellt personenbezogene Daten im Sinne der DSGVO dar, insbesondere IP-Adressen und Cookie-Kennungen, die einzelne Nutzer identifizieren oder herausfiltern koennen.

Was hat sich in der Praxis geaendert

Unter der frueheren Vereinbarung konnten Website-Betreiber argumentieren, dass Google eine Mitverantwortung fuer die reCAPTCHA-Daten trug, die es als Verantwortlicher verarbeitete. Da Google nun als Auftragsverarbeiter agiert, liegt die volle Last der Compliance bei Ihrer Organisation:

  1. Sie sind allein fuer die Rechtsgrundlage verantwortlich: Sie muessen eine gueltige Rechtsgrundlage nach Artikel 6 DSGVO fuer die gesamte Datenverarbeitung, die ueber reCAPTCHA erfolgt, festlegen und dokumentieren
  2. Sie muessen volle Transparenz gewaehrleisten: Ihr Datenschutzhinweis muss Nutzer klar ueber die reCAPTCHA-Datenverarbeitung informieren, einschliesslich der Arten erhobener Daten, Zwecke und Aufbewahrungsfristen
  3. Sie benoetigen einen Auftragsverarbeitungsvertrag (AVV): Artikel 28 DSGVO erfordert einen schriftlichen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter mit bestimmten Pflichtklauseln
  4. Sie sind fuer Datenuebermittlungen verantwortlich: Wenn reCAPTCHA-Daten ausserhalb des EWR uebermittelt werden (was typischerweise der Fall ist, an Googles US-Server), muessen Sie geeignete Uebermittlungsgarantien sicherstellen

Festlegung einer Rechtsgrundlage

Die Rechtsgrundlage fuer die reCAPTCHA-Verarbeitung ist eine der meistdiskutierten Compliance-Fragen. Die beiden am haeufigsten in Betracht gezogenen Grundlagen sind:

Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f)

Sie koennten argumentieren, dass der Schutz Ihrer Website vor Bots, Spam und Missbrauch ein berechtigtes Interesse darstellt. Dies erfordert jedoch eine dokumentierte Interessenabwaegung, die Ihr Interesse gegen die Rechte und Freiheiten der betroffenen Personen abwaegt. Angesichts der umfangreichen Datenerhebung und der Verwendung von Tracking-Cookies ist diese Abwaegung nicht einfach. Mehrere europaeische Datenschutzbehoerden haben infrage gestellt, ob berechtigtes Interesse fuer reCAPTCHA ausreicht, insbesondere angesichts der Verfuegbarkeit weniger datenschutzinvasiver Alternativen.

Einwilligung (Artikel 6 Absatz 1 Buchstabe a)

Die Einholung einer ausdruecklichen, informierten Einwilligung vor dem Laden von reCAPTCHA ist der sicherste Ansatz aus Compliance-Sicht. Das bedeutet, dass reCAPTCHA erst geladen werden darf, wenn der Nutzer seine Einwilligung ueber Ihren Cookie-Consent-Mechanismus erteilt hat. Dies schafft jedoch eine praktische Herausforderung: Wenn reCAPTCHA erst nach Einwilligung geladen wird, sind Ihre Formulare fuer Nutzer, die die Einwilligung ablehnen, ungeschuetzt gegen Bot-Missbrauch.

Der Trend in den europaeischen Regulierungsleitlinien, insbesondere von deutschen und oesterreichischen Datenschutzbehoerden, favorisiert zunehmend die Einwilligung als angemessene Rechtsgrundlage fuer reCAPTCHA aufgrund der Art und Menge der erhobenen Daten.

Aktualisierung Ihres Datenschutzhinweises

Ihr Datenschutzhinweis muss nun explizit die reCAPTCHA-Verarbeitung adressieren. Fuegen Sie folgende Informationen ein:

  • Dass Ihre Website Google reCAPTCHA verwendet und die spezifische Version (v2 oder v3)
  • Den Zweck der Verarbeitung (Bot-Schutz, Betrugspraevention)
  • Die Kategorien der erhobenen personenbezogenen Daten (IP-Adresse, Cookies, Verhaltensdaten, Geraeteinformationen)
  • Dass Google als Auftragsverarbeiter in Ihrem Auftrag agiert
  • Die herangezogene Rechtsgrundlage (Einwilligung oder berechtigtes Interesse mit Verweis auf die Interessenabwaegung)
  • Aufbewahrungsfristen
  • Dass Daten moeglicherweise in die Vereinigten Staaten uebermittelt werden und die vorhandenen Schutzmassnahmen (EU-US-Datenschutzrahmen, Standardvertragsklauseln)
  • Wie Nutzer ihre Betroffenenrechte in Bezug auf diese Verarbeitung ausueben koennen

Unser Datenschutz-Manager hilft Ihnen, umfassende, aktuelle Datenschutzhinweise zu pflegen, die alle Ihre Verarbeitungstaetigkeiten einschliesslich Drittanbieterdiensten wie reCAPTCHA abdecken.

Abschluss eines Auftragsverarbeitungsvertrags

Da Google nun als Ihr Auftragsverarbeiter agiert, benoetigen Sie einen AVV, der die Anforderungen von Artikel 28 DSGVO erfuellt. Google stellt seinen Standard-Auftragsverarbeitungsnachtrag (DPA) bereit, der Google Cloud und Workspace-Dienste abdeckt, und reCAPTCHA kann je nach Integration unter Googles allgemeine Bedingungen fallen. Pruefen Sie Googles aktuelle Bedingungen sorgfaeltig, um sicherzustellen:

  • Der AVV deckt spezifisch die reCAPTCHA-Verarbeitung ab
  • Er enthaelt alle obligatorischen Klauseln nach Artikel 28 (Verarbeitung nur nach dokumentierten Weisungen, Vertraulichkeitsverpflichtungen, Sicherheitsmassnahmen, Unterauftragsverarbeiterverwaltung, Loeschung oder Rueckgabe von Daten, Auditrechte)
  • Unterauftragsverarbeitervereinbarungen sind transparent und Sie erhalten Benachrichtigungen ueber Aenderungen
  • Internationale Datenuebermittlungsmechanismen angemessen sind

Wenn Googles Standardbedingungen die reCAPTCHA-Verarbeitung nicht ausreichend abdecken, muessen Sie moeglicherweise eine Klaerung anfordern oder ergaenzende vertragliche Vereinbarungen in Betracht ziehen.

Verwaltung internationaler Datenuebermittlungen

reCAPTCHA-Daten werden typischerweise auf Googles Infrastruktur verarbeitet, die Server in den Vereinigten Staaten umfasst. Nach der DSGVO erfordert die Uebermittlung personenbezogener Daten ausserhalb des EWR angemessene Schutzmassnahmen. Derzeit bietet der EU-US-Datenschutzrahmen einen Angemessenheitsmechanismus fuer zertifizierte US-Organisationen, und Google ist Teilnehmer. Sie sollten jedoch:

  • Sicherstellen, dass Googles DPF-Zertifizierung die reCAPTCHA-Datenverarbeitung abdeckt
  • Diesen Uebermittlungsmechanismus in Ihrem Verzeichnis von Verarbeitungstaetigkeiten (VVT) dokumentieren
  • Den Status des DPF ueberwachen, da Angemessenheitsbeschluesse angefochten oder widerrufen werden koennen
  • Erwaegen, ob ergaenzende Massnahmen (wie Standardvertragsklauseln als Rueckfalloption) ratsam sind

Fuer Hinweise zum Management grenzueberschreitender Datenuebermittlungen lesen Sie unseren Artikel ueber internationale Datenuebermittlungsmechanismen.

Cookie-Consent-Integration

reCAPTCHA setzt Cookies, die gemaess der ePrivacy-Richtlinie (in den meisten EU-Mitgliedstaaten umgesetzt) eine Einwilligung erfordern. Ihre Cookie-Consent-Management-Plattform (CMP) muss:

  • reCAPTCHA-Cookies in der entsprechenden Kategorie auffuehren (typischerweise „funktional" oder „Sicherheit", wenn Sie sich auf berechtigtes Interesse stuetzen, oder eine einwilligungspflichtige Kategorie)
  • reCAPTCHA-Skripte am Laden hindern, bis die Einwilligung eingeholt wurde (wenn Einwilligung Ihre Rechtsgrundlage ist)
  • Klare Informationen darueber bereitstellen, was die reCAPTCHA-Cookies tun und wie lange sie bestehen bleiben
  • Nutzern ermoeglichen, die Einwilligung zu widerrufen, und sicherstellen, dass reCAPTCHA-Cookies bei Widerruf der Einwilligung entfernt werden

Durchfuehrung einer DSFA

Angesichts des Umfangs und der Art der Datenverarbeitung bei reCAPTCHA (Verhaltensprofiling, grossangelegte Ueberwachung von Website-Besuchern, internationale Datenuebermittlungen) sollten Sie pruefen, ob eine Datenschutz-Folgenabschaetzung (DSFA) gemaess Artikel 35 DSGVO erforderlich ist. Eine DSFA ist obligatorisch, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten von Personen birgt. Selbst wenn nicht streng obligatorisch, zeigt die Durchfuehrung einer DSFA Rechenschaftspflicht und hilft, Datenschutzrisiken zu identifizieren und zu mindern. Unser Datenschutz-Manager bietet strukturierte DSFA-Vorlagen, um diesen Prozess zu optimieren.

Praktische Schritte-Checkliste

  1. Ueberpruefen und dokumentieren Sie die Rechtsgrundlage fuer die reCAPTCHA-Datenverarbeitung (fuehren Sie eine Interessenabwaegung durch oder implementieren Sie Einwilligung)
  2. Aktualisieren Sie Ihren Datenschutzhinweis, um Details zur reCAPTCHA-Verarbeitung aufzunehmen
  3. Stellen Sie sicher, dass ein gueltiger AVV mit Google die reCAPTCHA-Verarbeitung abdeckt
  4. Aktualisieren Sie Ihren Cookie-Consent-Mechanismus, um reCAPTCHA-Cookies zu adressieren
  5. Dokumentieren Sie den internationalen Datenuebermittlungsmechanismus und die Schutzmassnahmen
  6. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstaetigkeiten (VVT)
  7. Fuehren Sie eine DSFA durch oder aktualisieren Sie diese, falls angemessen
  8. Informieren Sie Ihren Datenschutzbeauftragten ueber die Aenderung und deren Auswirkungen
  9. Erwaegen Sie datenschutzfreundliche Alternativen, wenn der Compliance-Aufwand den Nutzen uebersteigt

Alternativen in Betracht ziehen

Angesichts der Compliance-Komplexitaet von reCAPTCHA evaluieren einige Organisationen Alternativen, die weniger personenbezogene Daten erheben oder Daten vollstaendig innerhalb des EWR verarbeiten. Optionen umfassen hCaptcha (das einen datenschutzorientierten Ansatz bietet), Cloudflare Turnstile (das beansprucht, ohne Erhebung personenbezogener Daten zu arbeiten), Honeypot-Techniken (fuer Nutzer unsichtbar, keine personenbezogenen Daten erforderlich) und serverseitige Rate-Limitierung. Jede Alternative hat Vor- und Nachteile hinsichtlich Bot-Erkennungseffektivitaet, Nutzererfahrung und Implementierungsaufwand, kann jedoch Ihren Datenschutz-Compliance-Aufwand erheblich reduzieren.

Fazit

Googles Umklassifizierung vom Verantwortlichen zum Auftragsverarbeiter fuer reCAPTCHA ist nicht nur eine vertragliche Formalitaet — sie verlagert erhebliche Compliance-Verantwortung auf Website-Betreiber. Jede Organisation, die reCAPTCHA nutzt, sollte ihre Rechtsgrundlage ueberpruefen, ihre Datenschutzdokumentation aktualisieren, ordnungsgemaesse vertragliche Vereinbarungen sicherstellen und abwaegen, ob die Compliance-Investition gerechtfertigt ist. Die Zusammenarbeit mit einem erfahrenen Datenschutzbeauftragten oder Compliance-Berater stellt sicher, dass Ihre reCAPTCHA-Implementierung den aktuellen regulatorischen Erwartungen entspricht und sowohl Ihre Organisation als auch Ihre Nutzer schuetzt.

Google reCAPTCHA DSGVO Auftragsverarbeitung Datenschutz Compliance

Weiterlesen

Verwandte Artikel

DSGVO-Compliance-Leitfaden

Vollstaendiger Leitfaden zu DSGVO-Grundsaetzen und -Anforderungen.

Grenzueberschreitende Uebermittlungen

Anforderungen an internationale Datenuebermittlungen meistern.

Privacy by Design

Datenschutz von Anfang an in Ihre Prozesse einbauen.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular