Google hat angekündigt, die datenschutzrechtliche Rolle beim Betrieb von Google reCAPTCHA anzupassen. Ab dem 2. April 2026 wird Google beim Einsatz von reCAPTCHA nicht mehr als eigener datenschutzrechtlicher Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.
Für Unternehmen, die reCAPTCHA einsetzen oder dessen Einsatz planen, bringt diese Änderung zwar mehr Klarheit bei der Rollenverteilung. Gleichzeitig entsteht jedoch neuer Prüf- und Anpassungsbedarf aus datenschutzrechtlicher Sicht.
Was ist Google reCAPTCHA?
Google reCAPTCHA ist ein Dienst zum Schutz von Websites vor Spam, automatisierten Angriffen und missbräuchlichen Zugriffen. Technisch handelt es sich um ein CAPTCHA („Completely Automated Public Turing Test to Tell Computers and Humans Apart“), mit dem zwischen menschlichen Nutzern und automatisierten Programmen unterschieden werden soll. Während ältere Versionen häufig sichtbare Aufgaben wie Text- oder Bilderrätsel verwendeten, arbeiten neuere Varianten zunehmend mit einer automatisierten Risikobewertung im Hintergrund. Dabei werden unter anderem Nutzersignale, Geräteinformationen und Interaktionsmuster analysiert.
Datenschutzrechtlich ist regelmäßig von einer Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 1 DSGVO auszugehen. Hierzu können etwa IP-Adressen, Geräteinformationen, Nutzungsdaten oder weitere technische Parameter zählen. Für Websitebetreiber handelt es sich daher um eine Verarbeitung personenbezogener Daten im Rahmen des Betriebs der Website.
Bisherige rechtliche Einordnung
Bislang betrachtete sich Google bei reCAPTCHA als eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und entschied damit selbst über Zwecke und Mittel der Datenverarbeitung. Diese Einordnung wurde in der datenschutzrechtlichen Praxis seit längerem kritisch diskutiert, da nicht ausgeschlossen war, dass Google die über reCAPTCHA erhobenen Daten auch zu eigenen Zwecken nutzen konnte.
Für Websitebetreiber führte diese Konstellation zu rechtlichen Unsicherheiten, insbesondere im Hinblick auf die Transparenzpflichten nach Art. 13 DSGVO, die Bestimmung einer geeigneten Rechtsgrundlage nach Art. 6 DSGVO sowie mögliche Datenübermittlungen in Drittländer nach Art. 44 ff. DSGVO.
Änderung ab April 2026
Zum 2. April 2026 stellt Google das Geschäftsmodell von reCAPTCHA um. Künftig kann Google beim Betrieb von reCAPTCHA als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig werden. Die Verarbeitung soll auf Grundlage des Google Cloud Data Processing Addendum (DPA) erfolgen. Maßgeblich sind außerdem die Google Cloud Platform Service Specific Terms, die entsprechend angepasst werden.
Damit gilt künftig:
- Der Websitebetreiber bleibt Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
- Google verarbeitet die Daten als Auftragsverarbeiter nach Art. 28 DSGVO.
Die Verarbeitung erfolgt damit grundsätzlich im Auftrag und nach Weisung des jeweiligen Websitebetreibers. Dieser bleibt weiterhin für die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 DSGVO verantwortlich. Auch die Darstellung innerhalb des CAPTCHA soll angepasst werden. Verweise auf die allgemeinen Datenschutzbestimmungen von Google sollen durch Verweise auf die entsprechenden Google-Cloud-Vertragsbedingungen ersetzt werden.
Rechtliche Bewertung
Die Einordnung von Google als Auftragsverarbeiter führt zunächst zu einer klareren Zuordnung der datenschutzrechtlichen Verantwortlichkeiten. Zugleich bleibt der Websitebetreiber weiterhin verpflichtet, die Rechtmäßigkeit der Verarbeitung sicherzustellen.
Insbesondere stellt sich weiterhin die Frage nach einer geeigneten Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO. In Betracht kommt in der Praxis häufig ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, etwa zum Schutz der Website vor missbräuchlicher Nutzung oder automatisierten Angriffen. Hierfür ist jedoch eine Interessenabwägung erforderlich, bei der auch die Intensität der Datenverarbeitung zu berücksichtigen ist. Alternativ kann eine Verarbeitung auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Dies ist insbesondere dann relevant, wenn im Rahmen der Einbindung zusätzliche Technologien eingesetzt werden oder wenn die Verarbeitung über das zur Missbrauchsabwehr erforderliche Maß hinausgeht.
Darüber hinaus sind die Informationspflichten nach Art. 13 DSGVO zu beachten. Websitebetreiber müssen transparent darüber informieren, dass reCAPTCHA eingesetzt wird, welche Daten verarbeitet werden und zu welchen Zwecken dies erfolgt. Zu berücksichtigen ist ferner der Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Verantwortliche müssen dabei insbesondere prüfen, ob der Vertrag die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt und welche Unterauftragsverarbeiter eingesetzt werden.
Schließlich kann der Einsatz von reCAPTCHA auch Fragen im Zusammenhang mit Drittlandübermittlungen aufwerfen. Soweit personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt werden, sind die Anforderungen der Art. 44 ff. DSGVO zu beachten, etwa durch geeignete Garantien wie Standardvertragsklauseln. Hinzu kommt, dass moderne CAPTCHA-Systeme – insbesondere reCAPTCHA v3 – zunehmend auf Verhaltensanalysen im Hintergrund beruhen. Diese Analyse kann eine intensivere Verarbeitung personenbezogener Daten darstellen und ist daher im Rahmen der datenschutzrechtlichen Bewertung gesondert zu berücksichtigen.
Fazit und praktischer Handlungsbedarf
Die Umstellung von Google reCAPTCHA auf ein Auftragsverarbeitungsmodell schafft mehr Klarheit hinsichtlich der datenschutzrechtlichen Rollenverteilung zwischen Google und Websitebetreibern.
Gleichzeitig bedeutet dies nicht, dass bestehende Implementierungen ohne weitere Prüfung fortgeführt werden können. Websitebetreiber sollten insbesondere überprüfen,
- ob die Vertragsgrundlagen mit Google den Anforderungen des Art. 28 DSGVO entsprechen,
- ob die Datenschutzerklärung an die neue Rollenverteilung angepasst werden muss,
- welche Rechtsgrundlage nach Art. 6 DSGVO für den Einsatz von reCAPTCHA herangezogen wird,
- und ob mögliche Drittlandübermittlungen nach Art. 44 ff. DSGVO rechtlich abgesichert sind.
Gerade bei bestehenden Websites kann sich hier Anpassungsbedarf ergeben, etwa bei Datenschutzerklärungen, Consent-Mechanismen oder der technischen Einbindung des Dienstes.
Sollten Sie reCAPTCHA auf Ihrer Website einsetzen oder dessen Einsatz planen, unterstützen wir Sie gerne bei der datenschutzrechtlichen Bewertung der Implementierung, der Prüfung der Vertragsgrundlagen mit Google sowie bei der Anpassung Ihrer Datenschutzhinweise und Consent-Lösungen. Bei Fragen zum Einsatz von reCAPTCHA oder zu anderen datenschutzrechtlichen Themen können Sie sich jederzeit an unser Team wenden. Unsere Expertinnen und Experten unterstützen Sie bei der rechtssicheren Umsetzung.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
