Jetzt Mitglied werden!
eRecht24.de

Google reCAPTCHA & DSGVO

Was muss in die Datenschutzerklärung, wenn Sie Google reCAPTCHA auf Ihrer Website einbinden?

(36 Bewertungen, 4.00 von 5)

“Klicken Sie alle Bildausschnitte an, die Ampelanlagen enthalten” oder “Geben Sie die Buchstaben- und Zahlenkombination in das Eingabefeld ein” - Kommt Ihnen das bekannt vor? Google reCAPTCHA ist eines der weltweit am häufigsten eingesetzten Tools zur Bot- und Spamabwehr auf Webseiten. Doch aus Datenschutzsicht war der Einsatz lange umstritten. Mit einer wichtigen Änderung der Vertrags- und Produktstruktur von Google zum 2. April 2026 hat sich die rechtliche Bewertung allerdings deutlich verschoben. In diesem Beitrag erfahren Sie, was sich geändert hat und was Sie als Webseitenbetreiber jetzt beachten müssen.

Der Punkt "Google reCAPTCHA" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

1. Was ist Google reCAPTCHA?

Der Begriff CAPTCHA leitet sich aus dem Englischen ab und ist die Abkürzung für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Es handelt sich dabei um Tools, die zwischen echten und automatisierten Nutzern, wie beispielsweise Bots, unterscheiden können.

Erfinder von CAPTCHA ist der Informatikprofessor Luis von Ahn. Er gründete das Unternehmen reCAPTCHA, das 2009 von Google gekauft wurde. Seine Idee war es, Nutzer verzerrte Zahlen und Buchstaben entziffern zu lassen, die ein Computerprogramm nicht lesen kann.

Google reCAPTCHA ist ein kostenloser Dienst von Google, mit dem Webseitenbetreiber überprüfen können, ob es sich bei einem User auf ihrer Seite um einen Menschen oder einen Bot handelt. Das soll sicherstellen, dass keine Fake-User, Maschinen oder Computerprogramme automatisiert auf der Webseite interagieren und beispielsweise Kommentare setzen oder Registrierungen durchführen. 

Durch dieses System können Spam-Kommentare und andere automatisierte Bot-Aktivitäten verhindert werden. .

Dabei analysiert reCAPTCHA verschiedene Informationen, etwa:

  • IP-Adresse
  • Mausbewegungen
  • Verweildauer
  • Nutzerverhalten im Hintergrund

Es gibt verschiedene Varianten von Google reCAPTCHA:

Image reCAPTCHA

User sehen 9 Bildausschnitte, von denen einige die gleichen Inhalte aufweisen. Der User muss dann alle Bildausschnitte auswählen, in denen zum Beispiel Straßenschilder oder Treppen vorkommen. Das sieht dann so aus:

google recaptcha bild

Text reCAPTCHA

Nutzer müssen einen eingeblendeten Text in ein Feld eingeben. Oft handelt es sich dabei um fiktive Wörter und wahllose Aneinanderreihungen von Zahlen und Buchstaben. Google fordert den User dazu auf, Groß- und Kleinschreibung zu beachten. So sieht das dann aus:

Invisible reCAPTCHA

Da mittlerweile Dank KI auch Bots dazu in der Lage sind, die Captchas zu lösen, fand hier in den letzten Jahren eine Verbesserung statt. User müssen keine Aktion mehr selbst durchführen. Google überprüft im Hintergrund der Seite selbst, ob es sich bei dem User um einen Menschen oder einen Bot handelt. Dazu verfolgt Google u. a. Cursor-Bewegungen und die IP-Adresse des Nutzers.

Diese unsichtbare reCAPTCHA v3 Simulation ist mittlerweile Standard auf den vielen Webseiten. Da ein entsprechendes Bilder- oder Buchstabenrätsel fehlt, bemerken Nutzer häufig nicht, dass ihr Verhalten im Hintergrund analysiert wird. Daher muss in der Datenschutzerklärung transparent darauf hingewiesen werden, dass eine Auswertung des Nutzerverhaltens stattfindet.

Zu den invisible reCAPTCHAs gehört auch die sogenannte No CAPTCHA reCAPTCHA. User müssen per Klick ein Häkchen in eine Checkbox setzen, die mit „Ich bin kein Roboter“ betitelt ist. Das Ganze sieht dann so aus:

google recaptcha robot

2. Welche Daten verarbeitet Google reCAPTCHA?

Während der Überprüfung durch reCAPTCHA nehmen Webseitenbetreiber und damit Google eine Reihe von Daten des Users auf. So sammelt Google reCAPTCHA u. a. Angaben zur

  • Seite, die reCAPTCHA einbindet,
  • Referrer-URL (Seite, von welcher der Nutzer kommt),
  • IP-Adresse des Nutzers,
  • Einstellungen des Endgeräts (Sprache, Browser, Standort),
  • Verweildauer,
  • Mausbewegungen und Tastaturanschläge,
  • Bildschirm- und Fensterauflösung,
  • Zeitzone und
  • Installation von Browser Plugins.

Darüber hinaus überprüft Google reCAPTCHA auch, ob im Browser des Users bereits ein Cookie angelegt ist. Ist das nicht der Fall, setzt Google einen Cookie. Durch die Einbindung von Google reCAPTCHA und vorhandene Google-Cookies kann eine Wiedererkennung von Nutzern sowie eine Analyse ihres Verhaltens über mehrere Webseiten hinweg technisch möglich sein.

INTERESSANT

Diese umfangreiche Datenerhebung war einer der Hauptgründe, warum der Einsatz von reCAPTCHA aus Datenschutzsicht lange kritisch bewertet wurde.

3. Warum ist die Nutzung von reCAPTCHA aus datenschutzrechtlicher Sicht problematisch?

Google reCAPTCHA stand in der Vergangenheit aus datenschutzrechtlicher Sicht in der Kritik. Hintergrund ist, dass das Tool nicht nur zur Abwehr von Bots eingesetzt wurde, sondern im Rahmen seiner Funktionsweise auch umfangreiche Daten über das Verhalten von Webseitenbesuchern erfasst hat.

Dazu gehörten insbesondere: 

  • die Analyse des Nutzerverhaltens im Hintergrund, 
  • die Übertragung personenbezogener Daten (wie etwa der IP-Adresse) an Google sowie 
  • die Möglichkeit, dass diese Daten auch für eigene Zwecke von Google, etwa für Tracking oder Profilbildung, genutzt wurden.

Ein weiteres Problem war die lange Zeit unklare Rollenverteilung zwischen Webseitenbetreiber und Google im Sinne der DSGVO. Besonders kritisch wurde bewertet, dass Webseitenbetreiber nur eine begrenzte Kontrolle über die Datenverarbeitung hatten. 

Google konnte die erhobenen Daten teilweise eigenständig verarbeiten und in sein eigenes Ökosystem einbinden. Dadurch war es für Betreiber oft nicht vollständig transparent oder steuerbar, zu welchen Zwecken die Daten im Einzelnen genutzt wurden.

ACHTUNG

Mit der Änderung der Vertrags- und Produktstruktur von Google und damit auch der Anpassung der Google Terms zum 2. April 2026 hat sich die datenschutzrechtliche Einordnung jedoch wesentlich geändert: Die Verarbeitung dieser Daten erfolgt durch Google nur noch im Auftrag des Webseitenbetreibers und zweckgebunden zur Bereitstellung des reCAPTCHA-Dienstes sowie zur Bot- und Betrugserkennung.

Die Umstellung auf eine Auftragsverarbeitung beruht nicht auf einer gesetzlichen Änderung, sondern auf einer Anpassung der Vertrags- und Produktstruktur durch Google.

Google hat reCAPTCHA in seine Google-Cloud-Services integriert und die Datenverarbeitung über das sogenannte Cloud Data Processing Addendum (CDPA) neu geregelt. Dadurch tritt Google beim Einsatz von reCAPTCHA nun als Auftragsverarbeiter auf.

4. Ist die Nutzung von reCAPTCHA zulässig?

Die Nutzung von Google reCAPTCHA ist grundsätzlich zulässig, hängt jedoch von der gewählten Rechtsgrundlage ab. Durch die Umstellung hat sich die Rollenverteilung klar geändert: Webseitenbetreiber sind nun als Verantwortliche im Sinne der DSGVO einzuordnen, während Google lediglich als Auftragsverarbeiter tätig wird.

Das hat zur Folge, dass Google die erhobenen Daten nicht mehr für eigene Zwecke verwenden darf, sondern ausschließlich im Auftrag und nach Weisung des Webseitenbetreibers handelt. Dadurch reduzieren sich die datenschutzrechtlichen Risiken im Vergleich zur bisherigen Situation erheblich.

Die Nutzung von reCAPTCHA ist jedoch nur zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt. In Betracht kommen insbesondere:

  • eine Einwilligung der Nutzer gemäß Art. 6 Abs. 1 lit. a DSGVO oder
  • die Verarbeitung auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO

Die rechtssicherste Variante ist das Einholen einer Einwilligung über ein DSGVO-konformes Cookie Consent Tool, bevor reCAPTCHA geladen wird.

In der Praxis kann dies jedoch zu Problemen führen: Wird die Einwilligung verweigert, darf reCAPTCHA nicht eingesetzt werden. Dadurch entfällt der Schutz vor Bots und Spam, was insbesondere bei Formularen ein erhebliches Risiko darstellen kann.

Viele Webseitenbetreiber stützen den Einsatz von reCAPTCHA derzeit auf ein berechtigtes Interesse an der Sicherheit ihrer Webseite und dem Schutz vor automatisierten Angriffen.

Voraussetzung hierfür ist jedoch, dass eine sorgfältige Interessenabwägung durchgeführt wird. Dabei ist insbesondere zu berücksichtigen, dass der Eingriff in die Rechte der Nutzer möglichst gering gehalten wird.

5. Problematisch ist weiterhin die Datenübermittlung in die USA

Wenn Sie Google reCAPTCHA einsetzen, werden personenbezogene Daten an Google übermittelt. Dabei kann es auch zu einer Übertragung von Daten in die USA kommen. Der europäische Diensteanbieter ist Google Ireland Limited. Es ist jedoch möglich, dass Daten an das Mutterunternehmen Google LLC mit Sitz in den USA weitergegeben werden.

Für Datenübermittlungen in die USA gilt: Diese sind nur zulässig, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Die EU-Kommission hat hierzu einen sogenannten Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) erlassen.

Google LLC ist nach dem Data Privacy Framework zertifiziert. [Stand: 13.04.2026]

ACHTUNG

Die Zertifizierung nach dem Data Privacy Framework bedeutet lediglich, dass die Datenübermittlung in die USA grundsätzlich zulässig sein kann. Sie ersetzt jedoch keine eigenständige datenschutzrechtliche Prüfung des Einsatzes von reCAPTCHA.

Wichtig: Auch wenn die Datenübertragung in die USA rechtlich abgesichert ist, bedeutet dies nicht automatisch, dass der Einsatz von reCAPTCHA insgesamt DSGVO-konform ist. Webseitenbetreiber müssen insbesondere eine passende Rechtsgrundlage wählen und ihre Informationspflichten erfüllen.

6. Entscheidungen von Aufsichtsbehörden und Gerichten zu Google reCAPTCHA

Wie bereits erwähnt, haben Datenschutzbehörden den Einsatz von Google reCAPTCHA in der Vergangenheit teilweise kritisch bewertet.

So verhängte die französische Datenschutzbehörde CNIL im Jahr 2023 eine Geldstrafe in Höhe von 125.000 Euro gegen ein Unternehmen, das reCAPTCHA ohne ausreichende Information der Nutzer und ohne Einwilligung einsetzte.

Auch in weiteren Fällen, etwa durch die Entscheidung des österreichischen BVwG aus dem September 2024 (Az.: W298 2274626-1/8E), wurde die Auffassung vertreten, dass für den Einsatz von reCAPTCHA eine Einwilligung erforderlich sein kann, insbesondere wenn das Tool nicht als technisch notwendig angesehen wird.

ACHTUNG

Die Entscheidungen aus unseren europäischen Nachbarländern zeigen, dass der Einsatz von Google reCAPTCHA datenschutzrechtlich nicht risikofrei ist. Sie bedeuten jedoch nicht automatisch, dass reCAPTCHA ausschließlich mit Nutzereinwilligung zulässig ist.

In Deutschland gibt es bislang jedoch keine einheitliche Linie der Aufsichtsbehörden oder Gerichte, sodass der Einsatz in der Praxis häufig toleriert wird.

7. So nutzen Sie Google reCAPTCHA datenschutzkonform

Damit Sie Google reCAPTCHA datenschutzkonform einsetzen können, müssen Sie verschiedene rechtliche Anforderungen erfüllen.

1. Datenschutzerklärung aktualisieren

Die Pflicht zur Aktualisierung der Datenschutzerklärung bleibt unverändert bestehen. Sie müssen Nutzer transparent über den Einsatz von Google reCAPTCHA informieren.

Checkliste
In Ihrer Datenschutzerklärung sollten Sie insbesondere erklären:
  • dass und welche personenbezogenen Daten verarbeitet werden
  • zu welchem Zweck (z. B. Bot- und Spamschutz)
  • auf welcher Rechtsgrundlage die Verarbeitung erfolgt
  • ob Daten an Google übermittelt werden
  • ob eine Datenübertragung in Drittländer (z. B. USA) stattfindet
  • wie lange die Daten gespeichert werden
  • welche Rechte die Nutzer haben (z. B. Widerspruchsrecht)

 

Mit dem DSG Update 1.50.1 ist am 1. April 2026 entsprechend zu den neuen Entwicklungen rund um Google reCAPTCHA unser eRecht24 Premium Datenschutz Generator aktualisiert worden. Erstellen Sie eine rechtskonforme Datenschutzerklärung für Ihre Website oder passen Sie Ihre alte Datenschutzerklärung mit wenigen Klicks an.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

2. Rechtsgrundlage festlegen

Für den Einsatz von reCAPTCHA benötigen Sie eine passende Rechtsgrundlage (Einwilligung oder berechtigtes Interesse). Welche Variante für Sie in Betracht kommt und welche Vor- und Nachteile bestehen, haben wir oben im Artikel erläutert.

Wenn Sie sich für eine Einwilligung entscheiden, sollten Sie reCAPTCHA erst nach Zustimmung über ein DSGVO-konformes Cookie Consent Tool laden.

Zum Beitrag

LESE-TIPP

Sie wollen ein Cookie Consent Tool einbinden? Wie das funktioniert erklären wir in unserem Artikel zum Thema “Die 6 (wahrscheinlich) besten Cookie Consent Tools im Vergleich”.

Zum Beitrag

3. Auftragsverarbeitung und Drittlandtransfer beachten

Durch die unternehmensseitige Umstellung zum 2. April 2026 ist Google beim Einsatz von reCAPTCHA als Auftragsverarbeiter tätig. Webseitenbetreiber sollten daher das Cloud Data Processing Addendum (CDPA) von Google akzeptieren.

AUFGEPASST!

Schließen Sie in jedem Fall den Auftragsverarbeitungsvertrag von Google ab. Im Idealfall sollte dies bereits zum 2. April 2026 geschehen sein. Hierzu muss keine separate Unterschrift erfolgen. Wichtig ist, dass Sie den CDPA in der Google Cloud Console akzeptieren.

Das funktioniert so:

  1. In die Google Cloud Console oder Google Admin Console einloggen. 
  2. Zum Bereich „Rechtliches / Compliance“ bzw. „IAM & Admin“ gehen. 
  3. Dort den Cloud Data Processing Addendum (CDPA) aufrufen. 
  4. Den Vertrag lesen und auf „Accept / Ich stimme zu“ klicken.

Zusätzlich kann es zu einer Datenübertragung in die USA kommen. Diese ist derzeit über das EU-US Data Privacy Framework (DPF) rechtlich abgesichert, da Google entsprechend zertifiziert ist. [Stand: 13.04.2026]

ACHTUNG

Auch bei bestehender DPF-Zertifizierung sollten Sie prüfen, ob zusätzliche Maßnahmen (z. B. Standardvertragsklauseln) sinnvoll sind.

8. Welche Bußgelder drohen bei Verstößen?

Die Datenschutzgrundverordnung (DSGVO) sieht bei Verstößen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor.

Auch beim Einsatz von Google reCAPTCHA können Verstöße gegen datenschutzrechtliche Vorgaben – etwa fehlende Informationen, eine unzureichende Rechtsgrundlage oder eine fehlerhafte Einbindung – zu entsprechenden Sanktionen führen.

Sie sollten also in jedem Fall darauf achten, dass Sie die oben genannten Pflichten ordnungsgemäß umsetzen, um keine Strafe zu kassieren.

9. Gibt es eine Alternative zu Google reCAPTCHA?

Trotz der Verbesserungen durch die Umstellung auf eine Auftragsverarbeitung bleibt der Einsatz von Google reCAPTCHA datenschutzrechtlich nicht ganz unproblematisch. Insbesondere die Datenverarbeitung im Hintergrund sowie die mögliche Übermittlung von Daten an Google werden weiterhin kritisch diskutiert.

Wenn Sie auf Nummer sicher gehen möchten, kann der Einsatz datenschutzfreundlicher Alternativen sinnvoll sein. Neben hCaptcha oder Honeypot bietet beispielsweise Friendly Captcha eine Alternative zu Google reCAPTCHA. Beim Captcha-Dienst Friendly Captcha wird ein kryptografisches Rätsel im Hintergrund gelöst, während der Nutzer ein Formular ausfüllt. Eine aktive Interaktion des Nutzers ist in der Regel nicht erforderlich.

Dabei werden keine Cookies gesetzt und der Nutzer wird nicht getrackt. Zudem erfolgt die Verarbeitung über Server innerhalb der EU. Zu beachten ist jedoch, dass solche Lösungen häufig kostenpflichtig sind und mit zusätzlichem Implementierungsaufwand verbunden sein können.

10. Fazit

Kurz gesagt:

  • Mit Einwilligung sind Sie rechtlich auf der sicheren Seite.
  • Ohne Einwilligung ist der Einsatz oft möglich, aber von einer sorgfältigen Interessenabwägung abhängig.
  • Datenschutzfreundliche Alternativen können sinnvoll sein, sind aber nicht immer die praktikabelste Lösung.

Eine rechtssichere Datenschutzerklärung können Sie jetzt schnell und kostenfrei mit unserem Datenschutz-Generator erstellen.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen
Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(7065 Bewertungen, 4.32 von 5)