Was ist Google reCAPTCHA?
Google reCAPTCHA sammelt eine Vielzahl von Nutzerdaten, um Webseiten vor Spam, Missbrauch und Betrug zu schützen. Dabei prüft der Dienst, ob eine Aktion von einem echten Menschen oder einem Bot ausgeführt wird. reCAPTCHA analysiert hier vor allem das Nutzungsverhalten. So kann der Dienst unbefugte Zugriffe verhindern.
Welche Daten verarbeitet Google reCAPTCHA?
Zur Bot-Erkennung sammelt reCAPTCHA zahlreiche verschiedene Daten von Nutzern. Dazu gehören unter anderem:
- Die IP-Adresse des Website-Besuchers
- Ein vollständiger Screenshot des Browser-Fensters
- Die URL der besuchten Webseite
- Die Verweildauer auf der Webseite
Ist Google reCAPTCHA DS-GVO-konform?
Die bisherige Art der Datenverarbeitung beim Einsatz von reCAPTCHA erntete bereits viel Kritik: Vor allem, weil unklar ist, welche personenbezogene Daten erfasst und wie diese verarbeitet werden.
Fehlende Transparenz bei der Datenerhebung
Grund für die Kritik ist die unzureichende Transparenz bei der Datenverarbeitung. Der Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a) der Datenschutzgrundverordnung (DS-GVO) verlangt, dass personenbezogene Daten für die betroffene Person nachvollziehbar verarbeitet werden. Dazu gehört:
- Welche Daten werden erhoben?
- Wofür werden diese Daten genutzt?
- Wie werden sie geschützt?
- Welche Drittparteien erhalten diese Daten?
All diese konkreten Informationen legt Google jedoch nicht offen. In seiner EU-Datenschutzerklärung wird lediglich darauf hingewiesen, dass eine Datenerhebung erfolgt und deshalb eine Einwilligung von Nutzern aus der EU erforderlich ist. Dies macht es für Website-Betreiber zum einen schwierig, den Transparenzgrundsatz zu erfüllen und zum anderen die Informationspflichten nach Art. 13 DS-GVO einzuhalten.
Kritik von Datenschutzbehörden
Auch Datenschutzbehörden haben diese Problematik der fehlenden Transparenz aufgegriffen. Die Bayrische Datenschutzbehörde rät in seinem FAQ Website-Betreibern ausdrücklich, Alternativen zu Google reCAPTCHA zu prüfen. Entscheidet sich der Betreiber dennoch für den Einsatz, muss er den Nutzern zwingend nachweisen können:
- Wie Google die Nutzerdaten verarbeitet
- Und welche Daten konkret erhoben werden.
Wer dies nicht schafft, kann auch nicht seine Informationspflichten nach Art. 13 DS-GVO erfüllen und den rechtmäßigen Einsatz von Google reCAPTCHA nicht nachweisen. Datenschutzbehörden und Experten betonten hierzu mehrfach, dass sicherheitsrelevante Funktionen wie reCAPTCHA nicht gleichzeitig auch zur umfangreichen Datensammlung genutzt werden dürfen.
Schutz der Privatsphäre bei Endeinrichtungen
Neben der Transparenz-Problematik stellt sich jedoch auch die Frage nach dem Zugriff auf das Endgerät des Nutzers. Nach § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) dürfen Daten auf dem Gerät eines Nutzers nur gespeichert oder darauf zugegriffen werden, wenn der Nutzer zuvor informiert wurde und eingewilligt hat, es sei denn der Dienst ist zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder technisch für den Betrieb der Website unbedingt notwendig ist. Da Google reCaptcha nicht für den Betrieb der Website als solches unbedingt notwendig ist, beim Einsatz Cookies gesetzt werden und bereits die Übertragung der IP-Adresse beim Aufruf einer Webseite als Zugriff auf Endgeräte gilt, greift § 25 Abs. 1 TDDDG. Die Einwilligung der Nutzer ist damit verpflichtende Voraussetzung für den Einsatz.
Schutz vor Bots ist kein berechtigtes Interesse
Häufig wird argumentiert, dass automatisch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DS-GVO bei der Datenverarbeitung durch reCAPTCHA vorliegt, da der Dienst vor Spam, Missbrauch und Betrug schützt. Mit reCAPTCHA werden jedoch auch Daten erhoben, die weit über diesen Zweck hinausgehen. Zudem gibt es auch mildere Mittel, wie datenschutzfreundliche CAPTCHA-Alternativen, sodass ein überwiegendes berechtigtes Interesse am Google reCAPTCHA Einsatz verneint werden muss. Dies bestätigt auch das Bundesverwaltungsgericht Österreich. (BVwG, Beschluss vom 13.09.2024, W298 2274626-1/8E: RIS - Rechtssätze und Entscheidungstext für W298 2274626-1 - Bundesverwaltungsgericht (BVwG)).
Bußgelder wegen reCAPTCHA
Wer den Pflichten der DS-GVO nicht nachkommt, muss mit Bußgeldern rechnen, wie bereits Fälle aus der Vergangenheit zeigen. So entschied die französische Datenschutzbehörde in dem Fall CityScoot, dass der Einsatz von Google reCAPTCHA weder den Transparenzanforderungen der DS-GVO entsprochen hat noch eine Zustimmung der Nutzer eingeholt wurde. Das Bußgeld für das Unternehmen betrug 125.000 €.
Bisherige Rolle von Google bei reCAPTCHA
Google agierte bisher weitgehend als eigenständiger Verantwortlicher bei dem Einsatz von reCAPTCHA, da das Unternehmen selbst festlegte, wie und zu welchen Zwecken die erhobenen Daten der Nutzer verarbeitet wurden. Dabei wurden die Daten von Google nicht nur zur Bot-Erkennung genutzt, sondern auch für eigene Zwecke, etwa zur Verbesserung der Dienste. Damit soll nun jedoch Schluss sein.
Geplanter Rollenwechsel: Vom Verantwortlichen zum Auftragsverarbeiter
Wie der US-Konzern mitteilte, soll zum 2. April 2026 eine andere Richtung eingeschlagen werden: Google wandelt reCAPTCHA von einem Dienst mit eigener Verantwortlichkeit zu einer klassischen Auftragsverarbeitung um. Dazu ändert Google seine Google Cloud Platform Service Terms. Künftig gilt:
- Google verarbeitet die Daten im Auftrag der Website-Betreiber
- Nutzer unterliegen nicht mehr unmittelbar den Datenschutzbestimmungen von Google.
Unterschied zwischen Verantwortlichem und Auftragsverarbeiter
Als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO gilt, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Beim bisherigen Einsatz von reCAPTCHA bestimmte Google selbst über diese Aspekte und war daher als Verantwortlicher einzuordnen.
Ein Auftragsverarbeiter nach Art. 4 Nr. 8 DS-GVO hingegen verarbeitet die Daten im Auftrag des Verantwortlichen und handelt dabei nur nach dessen Weisungen. Diese Unterscheidung ist insbesondere entscheidend, da der Verantwortliche die Hauptverantwortung dafür trägt, dass die Datenverarbeitung rechtmäßig erfolgt.
Beim bisherigen Einsatz von Google reCAPTCHA war die datenschutzrechtliche Einordnung nicht eindeutig. Da Google die erhobenen Daten zumindest teilweise auch für eigene Zwecke nutzte, sprach vieles dafür, dass Google nicht lediglich als Auftragsverarbeiter, sondern zumindest als (Mit-)Verantwortlicher einzustufen war.
Mit der angekündigten Umstellung soll sich dies nun ändern: Google positioniert sich künftig ausdrücklich als Auftragsverarbeiter. Die Website-Betreiber werden damit zu den alleinigen Verantwortlichen für die Datenverarbeitung im Zusammenhang mit reCAPTCHA. Sie entscheiden über den Einsatz des Dienstes und tragen die datenschutzrechtliche Gesamtverantwortung.
Folgen des Rollenwechsels für Website-Betreiber
Der geplante Rollenwechsel ist mehr als eine formale Anpassung – er verschiebt die datenschutzrechtliche Verantwortung spürbar auf Seiten der Website-Betreiber.
Künftig sind diese eindeutig als Verantwortliche einzuordnen und können sich nicht mehr darauf berufen, dass Google die Datenverarbeitung maßgeblich steuert. Damit geht insbesondere eine erhöhte Rechenschaftspflicht einher: Website-Betreiber müssen eigenständig sicherstellen und nachweisen können, dass der Einsatz von reCAPTCHA den Anforderungen der DS-GVO entspricht.
Auch vertraglich ergeben sich Konsequenzen. Der Einsatz von reCAPTCHA setzt künftig einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO voraus, der inhaltlich geprüft und sauber dokumentiert werden sollte.
Hinzu kommen die Transparenzpflichten: Die Datenschutzhinweise müssen so ausgestaltet sein, dass die Datenverarbeitung im Zusammenhang mit reCAPTCHA für betroffene Personen nachvollziehbar ist. Dazu gehört auch eine klare Darstellung der Rolle von Google als Auftragsverarbeiter.
Der Rollenwechsel führt dabei aber nicht dazu, dass völlig neue datenschutzrechtliche Pflichten entstehen. Anforderungen wie die Wahl einer geeigneten Rechtsgrundlage, die Einhaltung von § 25 TDDDG oder die Erfüllung der Transparenzpflichten galten bereits zuvor.
Neu ist jedoch die Klarheit in der Verantwortungszuordnung: Website-Betreiber sind künftig eindeutig als Verantwortliche einzuordnen und müssen die Rechtmäßigkeit des Einsatzes von reCAPTCHA eigenständig bewerten und begründen. Die bislang bestehende Unsicherheit in der Rollenverteilung entfällt damit.
Handlungsempfehlungen
- Rollenerklärung dokumentieren: Auftragsverarbeitungsvertrag prüfen und die neue Rollenverteilung nach Art. 28 DS-GVO vertraglich und im Verzeichnis der Verarbeitungstätigkeiten abbilden.
- Rechtsgrundlage überprüfen: Einsatz von reCAPTCHA anhand von Art. 6 Abs. 1 lit. f) DS-GVO und § 25 TDDDG neu bewerten, insbesondere im Hinblick auf Gerätezugriffe.
- Einwilligungserfordernis prüfen: Technische Implementierung analysieren, ob über die reine Sicherheitsfunktion hinaus Tracking- oder Analysekomponenten aktiv sind.
- Transparenz anpassen: Datenschutzhinweise aktualisieren und Hinweise auf die bisherige Google-Privacy-Policy im Zusammenhang mit reCAPTCHA entfernen.
Fazit
Durch den Wechsel zur Auftragsverarbeitung darf Google die Daten künftig nicht mehr für eigene Zwecke nutzen. Es bleiben zwar weiterhin Probleme bestehen wie die häufig fehlende Einwilligung nach § 25 TDDDG, dennoch ist der Rollentausch aus DSGVO-Sicht positiv zu sehen: Unternehmen können nun die Datenverarbeitung selbst steuern, bekommen dadurch mehr Kontrolle und verringern damit das Risiko, dass Google die Daten für eigene Zwecke verwendet.
