Der Dienst reCAPTCHA soll helfen, menschliche Nutzende von automatisierten Bots zu unterscheiden - etwa vor Registrierungen, Bestellungen oder anderen Online-Aktionen. Der Dienst steht jedoch seit jeher in der Kritik: Google legt nicht offen, welche Daten genau erhoben werden und wie sie weiterverarbeitet werden. Hinzu kommt der Datentransfer in die USA, ein Drittland ohne angemessenes Datenschutzniveau nach europäischen Maßstäben.
Setzen Sie auf Ihrer Webseite auch Google reCAPTCHA ein? Dann sollten Sie den 2. April 2026 im Blick haben und tätig werden.
Ab dem 2. April 2026 ändert Google seine Rolle bei der Nutzung von reCAPTCHA vom Verantwortlichen zum Auftragsverarbeiter. Google verarbeitet die über reCAPTCHA erhobenen personenbezogenen Daten künftig ausschließlich im Auftrag der Webseitenbetreibenden, auf Basis des Google Cloud Data Processing Addendum.
Damit werden Webseitenbetreibende zu Verantwortlichen im Sinne der DSGVO, während Google nur noch als Auftragsverarbeiter fungiert. Die Verantwortung für Information, Transparenz, Rechtsgrundlagen und Einwilligung liegt dann vollständig bei den Webseitenbetreibenden.
Wer reCAPTCHA einsetzt, sollte bis April 2026 die Datenschutzhinweise anpassen und somit sicherstellen, dass Nutzende ordnungsgemäß informiert werden. Eine bloße Verlinkung auf Googles bisherige Datenschutzerklärung genügt künftig nicht mehr bzw. ist sogar nicht mehr passend.
Gerne unterstützen wir Sie bei der:
Anpassung Ihrer Datenschutzerklärung
Prüfung des Auftragsverarbeitungsvertrags mit Google Cloud
Bewertung alternativer CAPTCHA-Lösungen, die vollständig innerhalb der EU betrieben werden