Ab dem 2. April 2026 übernimmt Google bei reCAPTCHA eine neue DSGVO-Rolle: Statt als Verantwortlicher agiert Google künftig als Auftragsverarbeiter. Für Websitebetreiber bedeutet das mehr Pflichten – und Handlungsbedarf.
Was verarbeitet reCAPTCHA?
Google reCAPTCHA analysiert Nutzerdaten, um Bots zu erkennen. Dabei werden umfangreiche Datenpunkte wie IP-Adresse, Gerätemerkmale, Telefonnummern, Mailadressen bis hin zu Zahlungsdaten verarbeitet. Bisher war Google allein verantwortlich im Sinne der DSGVO. Datenschützer kritisierten mangelnde Transparenz, US-Datentransfers und die potenzielle Nutzung der Daten für KI-Training und Marketingzwecke. Künftig liegt die DSGVO-Verantwortung bei Ihnen als Websitebetreiber.
Was bedeutet das konkret?
- Sie sind verantwortlich für Informationspflichten, Rechtsgrundlage und potenziell eine Einwilligung der Nutzer.
- Ein Auftragsverarbeitungsvertrag (AVV) mit Google muss abgeschlossen werden.
- Die Datenschutzerklärung muss über die Datenverarbeitung informieren.
- Verweise auf Googles Datenschutzerklärung und Terms of Use müssen entfernt werden.
Alternativen erwägen:
Trotz der Änderung der Verantwortlichkeit bleiben aber einige Fragen beim Einsatz von Google reCAPTCHA weiterhin offen. Es ist juristisch umstritten, ob für den Einsatz von Google reCAPTCHA eine Einwilligung notwendig ist. Der Transfer personenbezogener Daten in die USA auf Basis des EU-U.S. Data Privacy Frameworks ist durch politische Veränderung und juristische Angriffe mittelfristig gefährdet. Es kann lohnend sein, datensparsamere CAPTCHA-Alternativen in Betracht zu ziehen.