Photo: Bilal Ulker - stock.adobe.com
Wird Googles „reCAPTCHA“ bald DSGVO-konformer?
Geschrieben von Miriam Harringer, veröffentlicht am 19.02.2026Vom Datenverantwortlichen zum Auftragsverarbeiter: Google hat eine Rollenveränderung angekündigt, die das Captcha-System DSGVO-freundlicher machen soll. Doch was steckt dahinter? Und reicht der Schritt aus, um Datenschutzprobleme zu lösen – oder verschiebt Google die Verantwortung nur weiter zu den Website-Betreibern?
Was bedeutet die Änderung bei reCAPTCHA?
Google nimmt eine bedeutende Anpassung bei seinem Anti-Bot-Dienst reCAPTCHA vor: Ab dem 2. April 2026 wechselt der US-Konzern beim Betrieb des Systems die Rolle in der Datenverarbeitung. Google trat bisher weitgehend als eigenständiger Verantwortlicher auf, also mit Kontrolle darüber, wie Nutzerdaten verarbeitet werden.
Künftig wird reCAPTCHA wie andere Google-Cloud-Dienste betrieben: Webseitenbetreiber werden zu Datenverantwortlichen, Google übernimmt lediglich die Rolle des Auftragsverarbeiters und verarbeitet Daten nur noch auf Weisung der Betreiber. Damit verschiebt sich das Macht- und Haftungsverhältnis klar in Richtung der Website-Betreiber.
Eine Reaktion auf Kritik
Diese Änderung ist laut Medienberichten eine Reaktion auf den wachsenden Regulierungsdruck in der EU und auf die Datenschutzkritik an der früheren Struktur. Betreiber müssen künftig nicht mehr auf die allgemeinen Google-Privacy-Policies im Captcha-Badge verweisen, sondern allein ihre eigene Datenschutzerklärung verantworten und aktualisieren.
Aber macht das reCAPTCHA wirklich „DSGVO-konformer“?
Nicht automatisch. Auch als Auftragsverarbeiter verarbeitet Google bei reCAPTCHA weiterhin personenbezogene Daten (z. B. IP-Adresse, Browser-/Gerätemerkmale). Drittlandtransfers bleiben je nach technischer Ausgestaltung ein Prüfpunkt. Das löst DSGVO-Pflichten aus: transparente Information (Art. 12 ff. DSGVO) mit eigener Datenschutzerklärung und eine belastbare Rechtsgrundlage (häufig Art. 6 Abs. 1 lit. f, in bestimmten Konstellationen Einwilligung).
Fazit
Die veränderte Rollenverteilung ist ein Schritt in Richtung datenschutzrechtlicher Klarheit. Aber DSGVO-Konformität entsteht erst durch die korrekte Implementierung und Beachtung der Rechtsgrundlage durch den Webseitenbetreiber – nicht allein durch Googles neue Rolle.
Sprechen Sie uns gerne an, bei Fragen zu Wird Googles „reCAPTCHA“ bald DSGVO-konformer?
Miriam Harringer,
Medien- und Kulturmanagerin sowie langjährige Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Datenschutz-Feature: Mit Privacy Display schützen Sie sich vor unbefugten Blicken
- Wer muss eine Datenschutz-Folgenabschätzung laut Art. 26. Abs. 9 KI-VO durchführen?
- Ebays neue Datenschutzerklärung: Personenbezogene Daten trainieren jetzt KI
- Jetzt gibt es den ersten virtuellen KI-Staatsminister
- Cookie-Banner-Verstoß: Österreichische Datenschutzbehörde verhängt Bußgeld
- AI Slops in rechtlicher Grauzone: Wenn schlechte KI-Inhalte das Netz überschwemmen
Verwandte Artikel
- EU-Parlament entscheidet sich gegen KI-Funktionen auf Dienstgeräten
- TÜV testet Lernspielzeug: Wenn KI ins Kinderzimmer einzieht
- Cyberangriffe mit KI: Der ESET Threat Report und die Gefahr durch PromptLock
- „Bikini-jetzt“-Trend: Härtere Strafen für sexualisierte KI-Bilder geplant
- Was ist Profiling gemäß Art. 4 Nr. 4 DSGVO?
- Bias bei KI-Modellen: Diskriminierung durch die Maschine und ihre Ursachen