Google hat angekündigt, seine Rolle beim Einsatz von reCAPTCHA grundlegend zu ändern. Ab dem 2. April 2026 wird Google bei reCAPTCHA nicht mehr als datenschutzrechtlich Verantwortlicher auftreten, sondern als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Damit wird eine Grundsatzfrage bei reCAPTCHA geklärt, die bislang offen war und maßgeblich dazu beigetragen hat, dass Datenschützer dem Dienst mit erheblichem Misstrauen begegnet sind.
Seit vielen Jahren war die Einordnung von Google reCAPTCHA rechtlich diffus. Google meinte bislang für die reCAPTCHA-Dienste selbst datenschutzrechtlich verantwortlich zu sein und räumte sich damit faktisch das Recht ein, die über die CAPTCHAs gewonnenen Daten für eigene Zwecke nutzen zu können. Und daher haben Datenschützer seit Jahren vermuten müssen, dass Google die reCAPTCHA-Nutzerdaten zu Zwecken nutzen könnte, die mit der DSGVO und dem TDDDG nicht in Einklang zu bringen sind.
Mit der Ankündigung im Januar erklärte Google nun den Rollentausch. Ab April wird Google also für reCAPTCHA einen Auftragsverarbeitungsvertrag bereitstellen. Bei der Nutzung von reCAPTCHA gilt dann das Cloud Data Processing Addendum (DPA) von Google. Und damit unterwirft sich Google in Bezug auf die reCAPTCHA-Nutzerdaten den Weisungen und der Kontrolle der verantwortlichen Websitebetreiber, die reCAPTCHA verwenden. Google kann die Daten damit (eigentlich*) nur noch zur Bereitstellung des Dienstes und nicht mehr zu eigenen Zwecken verarbeiten.
Technisch ändert sich an reCAPTCHA selbst nichts. Funktionen, Schutzmechanismen und Integrationen bleiben unverändert. Die Umstellung betrifft ausschließlich die rechtliche Einordnung.
Google schreibt seine reCAPTCHA-Kunden inzwischen auch direkt an und weist darauf hin, dass die Datenschutzinformationen für die betreffenden Websites zu reCAPTCHA angepasst werden sollten.
Googles reCAPTCHA konnte sich lange Zeit am Markt behaupten, weil die Bot-Erkennung lange als technologisch führend galt. Inzwischen hat sich der Markt jedoch verändert und die Bot-Erkennung operiert nun weitgehend im Hintergrund. Während also reCAPTCHA v1 per Text-/Worterkennung prüfte, sind mit reCAPTCHA v2 zunächst die Bilderrätsel und später die Checkboxen („I’m not a robot“) bekannt geworden. reCAPTCHA v3 bewertet nun Signals wie Interaktionen, Gerätedaten und Kontexte des Nutzers, ohne diesen darüber zu behelligen.
Nun bieten auch schon CDN-Provider wie Cloudflare mit ihrem Security-Dienst Turnstile eine Bot-Erkennung, technisch ähnlich wie reCAPTCHA v3. Die Zielrichtung ist klar: Der Nutzer soll nicht mehr mit Rätseln und Aufgaben belästigt werden. Das hat Vor- und Nachteile: Einerseits ist die Bot-Erkennung damit besser geworden, aber andererseits erfolgen die Auswertungen nun verdeckt im Hintergrund. Ein datenschutzrechtlich deutlich invasiverer Ansatz. In jedem Fall werden wir den jüngeren Generationen bald erklären müssen, wie es sich anfühlte, wenn der Nachweis der eigenen Menschlichkeit mehrfach an den Ampel-Bilderrätseln scheiterte.
*Kleiner Exkurs am Rande: Microsoft sieht im DPA für Microsoft Services seit langer Zeit schon vor, dass Microsoft als eigentlich weisungsgebundener Auftragsverarbeiter die Kundendaten auch zu eigenen „Geschäftszwecken“ nutzen dürfe. Wie das eigentlich gehen soll und auf welcher Rechtsgrundlage Microsoft dies legitimieren kann, diese Fragen hat Microsoft bislang nicht ausreichend beantwortet. Doch offenbar ist Microsoft mit dieser Taktik nun durchgekommen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat dem Microsoft DPA vor Kurzem seinen Segen gegeben. Vielleicht ist das also ein Konzept, das in Serie gehen kann? 😉
23. Februar 2026 @ 16:09
Diese Änderung hat doch auch nur für Google Vorteile: Als EU Kunde ist man nun haftbar, ohne mehr Transparenz über die Datenerhebung zu haben. Da bin ich froh, schon vor einiger Zeit zum deutschen Captcha-Anbieter Friendly Captcha gewechselt zu sein.
19. Februar 2026 @ 17:49
Aha, wie immer: Ein formaljuristischer Winkelzug. der genau NICHTS verändern wird. Auch nach diesem Trick bleibe ich bei meiner Einschätzung: reCAPTCHA ist ein Risiko für die Privatsphäre der Nutzer/innen. [Link wurde entfernt]