Top Themen in der Web-Compliance:
Google reCAPTCHA schützt vor Spam und Bots – ist ohne Einwilligung aber nicht DSGVO-konform. Entscheidend für Web-Compliance: Rechtliche Vorgaben und datenschutzfreundliche Alternativen.
Google reCAPTCHA ist ein kostenloser Sicherheitsdienst von Google, der Websites vor automatisierten Zugriffen durch Bots schützt. Das Kürzel CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“ – also einen vollautomatisierten Test, der Menschen von Maschinen unterscheiden soll.
reCAPTCHA erscheint in vielen Formularen, Login-Masken und Kontaktseiten und wehrt Spam, gefälschte Registrierungen, Klickbetrug und DDoS-Angriffe ab. Dass der Dienst kostenlos ist, hat einen Grund: Website-Betreiber bezahlen nicht mit Geld, sondern mit den Daten ihrer Nutzer – und genau das ist das datenschutzrechtliche Problem.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenGoogle bietet drei Generationen von reCAPTCHA an, die sich in ihrer Funktionsweise und ihrem Datenschutzrisiko erheblich unterscheiden:
Die erste Version konfrontierte Nutzer mit verzerrten Texten, die manuell abgetippt werden mussten. Google hat diesen Dienst eingestellt.
Die zweite Version ist die bekannteste: ein einfaches Kontrollkästchen mit dem Text „Ich bin kein Roboter“. Hinter dieser scheinbar harmlosen Interaktion analysiert Google bereits das gesamte Nutzerverhalten auf der Seite. Wer Risikowerte überschreitet, bekommt zusätzlich Bildpuzzles vorgelegt (Ampeln, Zebrastreifen, Fahrräder).
Version 3 läuft vollständig im Hintergrund und erfordert keine Nutzerinteraktion. reCAPTCHA v3 analysiert kontinuierlich das Verhalten auf der Seite und vergibt einen Risiko-Score von 0 (Bot) bis 1 (Mensch). Nutzer bemerken davon nichts – was datenschutzrechtlich besonders problematisch ist, da sie de facto keine Möglichkeit haben, der Datenerhebung zu widersprechen.
Google reCAPTCHA erhebt weit mehr Daten, als für eine Bot-Erkennung technisch nötig wäre. Laut Datenschutzerklärung und technischen Analysen verarbeitet der Dienst unter anderem:
Besonders kritisch: Nutzer, die bei einem Google-Dienst eingeloggt sind, erhalten automatisch niedrigere Risiko-Scores – Google vollzieht damit aktiv den Verknüpfungsschritt zwischen reCAPTCHA-Daten und Nutzeridentität.
Ob diese Verhaltensdaten in die personalisierte Werbung einfließen, lässt der Konzern im Unklaren. Die erhobenen Daten werden auf Servern in den USA gespeichert, was eine Drittstaatenübermittlung im Sinne von Art. 44 ff. DSGVO darstellt. Dabei greift auch das TTDSG – das Gesetz über den Datenschutz in der Telekommunikation und bei digitalen Diensten, das Cookie-ähnliche Zugriffe auf Endgeräte reguliert.
Viele Websites verstoßen unbewusst gegen die DSGVO – durch Tools wie reCAPTCHA, Google Fonts oder nicht konforme Cookie-Banner. Unser kostenloser Web-Compliance-Check deckt alle kritischen Punkte auf.
Kurze Antwort: Nein – nicht ohne ausdrückliche Einwilligung der Nutzer.
Das Kernproblem ist das Fehlen einer tragfähigen Rechtsgrundlage. Laut Art. 6 DSGVO ist eine Datenverarbeitung nur zulässig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist – bei reCAPTCHA greift keine davon ohne vorherige Einwilligung.
Google reCAPTCHA erhebt personenbezogene Daten und überträgt sie in die USA, bevor der Nutzer irgendeine Möglichkeit hatte, dieser Verarbeitung zuzustimmen. Eine Berufung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) scheidet aus, da die Datenerhebung in diesem Umfang für den reinen Bot-Schutz nicht verhältnismäßig ist.
„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche nachweisen können, dass der Einsatz gemäß Art. 5 Abs. 1, 2 DSGVO rechtmäßig ist.“— Landesbeauftragter für Datenschutz Bayern (BayLDA)
Auch die französische Datenschutzbehörde CNIL hat nach einer Beschwerde gegen den Fahrtendienst Cityscoot ein Bußgeld in Höhe von 125.000 Euro verhängt – explizit wegen des Einsatzes von Google reCAPTCHA ohne vorherige Nutzereinwilligung. Das österreichische Bundesverwaltungsgericht bestätigte im September 2024, dass eine Einwilligung zwingend erforderlich ist. Einen Überblick über aktuelle Aufsichtsentscheidungen bietet die Datenschutzkonferenz (DSK).
Ein weiteres Problem ist die Drittstaatenübermittlung in die USA. Zwar gilt seit Juli 2023 der EU-US Data Privacy Framework (DPF) als gültiger Angemessenheitsbeschluss für US-Unternehmen – Google ist auch DPF-zertifiziert. Dennoch bleibt die Rechtslage unsicher, da der DPF politisch anfechtbar ist und Datenschutzorganisationen bereits Klagen vorbereiten.
Ab dem 2. April 2026 ändert Google das Betriebsmodell von reCAPTCHA grundlegend. Bislang agierte Google als eigenständiger Verantwortlicher, der die erhobenen Daten für eigene Zwecke – potenziell auch für Werbung – nutzen konnte. Das ändert sich mit dem Google Consent Mode-Update und der Neustrukturierung des Dienstes:
Diese Änderung verbessert die Rechtslage erheblich – aber sie löst nicht alle Probleme. Die Pflicht zur Einholung einer Vorab-Einwilligung über ein Consent Manager bleibt bestehen. Website-Betreiber werden ab April 2026 also in jedem Fall beide Voraussetzungen erfüllen müssen: AVV abschließen und Einwilligung einholen.
Wer Google reCAPTCHA trotz der datenschutzrechtlichen Bedenken weiter einsetzen möchte, muss folgende Pflichten erfüllen:
Bei Verstößen gegen die DSGVO drohen empfindliche DSGVO-Bußgelder: bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Lösung | Datenschutz | Barrierefreiheit | Einwilligung nötig? | Hosting |
|---|---|---|---|---|
Google reCAPTCHA | Kritisch | Eingeschränkt | Ja, zwingend | USA (Google) |
Friendly Captcha | Sehr gut | Sehr gut | Nein (nur Hinweis) | Deutschland / EU |
hCaptcha | Gut | Gut | Empfohlen | USA (Intuition Machines) |
Honeypot | Sehr gut | Sehr gut | Nein | Eigener Server |
Captcha.eu | Sehr gut | Gut | Nein (nur Hinweis) | Deutschland / EU |
Wer auf eine datenschutzfreundliche Lösung umsteigen möchte, hat mehrere gute Optionen. Die beste Wahl hängt vom technischen Setup, den Anforderungen an Barrierefreiheit und dem Schutzniveau gegen Bot-Angriffe ab. Ähnliche Datenschutzfragen stellen sich übrigens auch beim Thema Google Fonts DSGVO-konform einbinden – ein weiterer Google-Dienst, der ohne korrekte Einbindung gegen die DSGVO verstößt.
Friendly Captcha ist ein deutscher Anbieter aus München und arbeitet mit einem Proof-of-Work-Verfahren: Statt Nutzerdaten zu analysieren, löst der Browser des Nutzers eine kryptografische Rechenaufgabe. Für Website-Betreiber bedeutet das:
Der einzige Nachteil: Friendly Captcha ist kostenpflichtig (ab ca. 9 Euro/Monat). Für den rechtlichen Mehrwert ist das in den meisten Fällen gut investiertes Geld.
hCaptcha funktioniert ähnlich wie reCAPTCHA v2 (Bildpuzzles), erhebt aber weniger Daten und trennt personenbezogene von nicht-personenbezogenen Informationen. Der Anbieter hat seinen Sitz in den USA (Intuition Machines), was eine Drittstaatenübermittlung bedeutet. Eine Einwilligung über das Cookie-Banner ist daher zumindest zu empfehlen. hCaptcha bietet ein kostenloses Grundkontingent an.
Die Honeypot-Methode ist technisch elegant: Ein verstecktes Formularfeld, das für Menschen unsichtbar ist, wird von Bots automatisch ausgefüllt. Formulareinreichungen mit befülltem Honeypot-Feld werden serverseitig verworfen. Vorteile:
Nachteil: Sophisticated Bots können Honeypot-Felder erkennen und auslassen. Für Websites mit niedrigem bis mittlerem Spam-Aufkommen ist es dennoch eine gute Wahl.
Für Websites auf Basis von Typo3 bietet die Extension Powermail eine datenschutzfreundliche Spam-Schutzlösung mit konfigurierbaren Optionen. Ältere Versionen mancher Erweiterungen sind nicht mehr aktiv gepflegt – eine regelmäßige Prüfung auf aktuelle Versionen ist daher wichtig.
Google reCAPTCHA ist ohne ausdrückliche Nutzereinwilligung nicht DSGVO-konform – das ist die klare Position europäischer Datenschutzbehörden, bestätigt durch Bußgelder und Gerichtsurteile. Die fehlende Transparenz über die Datennutzung, die Drittstaatenübermittlung in die USA und die unverhältnismäßige Datenerhebung machen den Dienst zur rechtlichen Problemzone für Website-Betreiber.
Die gute Nachricht: Ab April 2026 wird Google selbst das Modell ändern und als Auftragsverarbeiter auftreten – ein Schritt in die richtige Richtung. Die Einwilligungspflicht bleibt aber bestehen.
Wer jetzt handelt, hat drei Optionen: reCAPTCHA mit vollständiger Compliance-Infrastruktur weiter nutzen, auf eine datenschutzfreundliche Alternative wie Friendly Captcha umsteigen, oder die Honeypot-Methode als einfache, kostenlose Zwischenlösung implementieren. Dauerhaft sicher aufgestellt sind Website-Betreiber mit einem professionellen Web-Compliance-Monitoring, das Änderungen der Rechtslage automatisch erkennt. In jedem Fall gilt: Nichts tun ist keine Option.
Mit unserer Checkliste setzen Sie alle DSGVO-Anforderungen für reCAPTCHA um. Inklusive Cookie-Banner, AVV und Datenschutzerklärung – Schritt für Schritt zum Abhaken und kostenlos als Download.
Ja, zwingend. Google reCAPTCHA erhebt personenbezogene Daten und überträgt diese in die USA, bevor der Nutzer interagiert. Ohne vorherige aktive Einwilligung über ein Cookie-Consent-Tool verstößt der Einsatz gegen Art. 6 DSGVO. Die bayerische Datenschutzbehörde, die französische CNIL und österreichische Gerichte haben dies ausdrücklich bestätigt.
Ja. In der Datenschutzerklärung müssen folgende Punkte stehen: Zweck des Einsatzes, verarbeitete Datenkategorien, Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO) und Drittstaatenübermittlung in die USA. Außerdem ist auf die Datenschutzerklärung von Google zu verweisen.
Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Abmahnungen durch Mitbewerber oder Verbraucherschutzorganisationen drohen. Die CNIL verhängte bereits ein Bußgeld von 125.000 Euro gegen ein Unternehmen, das reCAPTCHA ohne Einwilligung eingebunden hatte. Einen Überblick über verhängte Sanktionen gibt die Datenschutzkonferenz (DSK).
Nein – im Gegenteil. reCAPTCHA v3 läuft vollständig unsichtbar im Hintergrund und analysiert das gesamte Nutzerverhalten, ohne dass der Nutzer davon weiß. Das macht v3 aus Datenschutzsicht noch problematischer als v2, weil die Erhebung ohne jede Transparenz für den Nutzer stattfindet.
Ab dem 2. April 2026 wird Google zum Auftragsverarbeiter für reCAPTCHA. Die Daten dürfen dann nur noch für den reCAPTCHA-Dienst selbst verwendet werden, nicht mehr für Werbezwecke. Website-Betreiber müssen einen Auftragsverarbeitungsvertrag (AVV) mit Google schließen und ihre Datenschutzerklärung anpassen. Die Einwilligungspflicht bleibt dennoch bestehen.
Für die meisten Websites empfehlen wir Friendly Captcha: kein Tracking, kein Consent-Banner nötig, vollständig barrierefrei und in Deutschland gehostet. Für Websites mit geringem Spam-Aufkommen ist auch die kostenlose Honeypot-Methode eine gute Option. hCaptcha ist ein mittlerer Weg, erfordert aber aufgrund des US-Hostings eine Einwilligung.
Ein AVV allein reicht nicht aus. Er ist eine notwendige, aber keine hinreichende Bedingung. Zusätzlich benötigen Sie eine vorherige Einwilligung der Nutzer, eine vollständige Datenschutzerklärung und geeignete Garantien für die Drittstaatenübermittlung. Erst wenn alle vier Voraussetzungen erfüllt sind, ist der Einsatz rechtlich vertretbar.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen