DSGVO-konforme Einbindung, DPA-Pflichten und Handlungsbedarf für Unternehmen

Ein erheblicher Teil des weltweiten Internettraffics stammt von automatisierten Programmen, nicht von menschlichen Nutzern. Aktuelle Sicherheitsberichte zeigen, dass die Aktivität bösartiger Bots bereits zum sechsten Mal in Folge gestiegen ist. Inzwischen machen sie rund 37 % des gesamten Internetverkehrs aus. Für Webseitenbetreiber stellen Bots ein reales Risiko dar. Sie legen automatisiert Fake-Accounts an, überfluten Formulare mit unerwünschten Anfragen, greifen Login-Bereiche an oder lesen Inhalte systematisch aus. Die Folgen reichen von überlasteten Systemen und verfälschten Daten bis hin zu Sicherheitsvorfällen und kompromittierten Nutzerkonten.

Vor diesem Hintergrund setzen viele Unternehmen technische Schutzmechanismen ein, um ihre Webseiten vor Spam und automatisierten Angriffen zu schützen. Das Google reCAPTCHA zählt zu den bekanntesten Lösungen am Markt. Je nach Version analysiert der Dienst Nutzerinteraktionen im Hintergrund oder fordert eine kurze Bestätigung an, um menschliche von automatisierten Zugriffen zu unterscheiden.

reCaptcha Google

Rechtliche Ausgangslage

Bislang trat Google beim Einsatz von reCAPTCHA als eigenständiger datenschutzrechtlicher Verantwortlicher auf. Damit entschied das Unternehmen selbst, wie und zu welchen Zwecken die über das Tool erhobenen Nutzerdaten verarbeitet wurden.

Dieser Umstand stand seit Jahren in der datenschutzrechtlichen Kritik, da für Nutzer und Webseitenbetreiber nicht hinreichend transparent war, in welchem Umfang und zu welchen Zwecken Google die erhobenen Daten möglicherweise weiterverarbeitet. Für Unternehmen führte dies regelmäßig zu Unsicherheit bei der Frage, ob der Einsatz DSGVO-konform ausgestaltet werden kann.

Neuerungen ab April 2026

Nun hat Google angekündigt , sein Geschäftsmodell für reCAPTCHA grundlegend umzustellen:

  • Google wird ab dem 02.04.2026 zum Auftragsverarbeiter;
  • Webseitenbetreiber werden Verantwortliche;
  • Die Datenverarbeitung erfolgt künftig auf Grundlage des Google Cloud Data Processing Addendum (DPA);
  • Google wird hierfür die Google Cloud Platform Service Specific Terms aktualisieren, die zukünftig auch die Nutzung des Google reCAPTCHA regeln sollen;
  • Nutzer, die auf reCAPTCHA-geschützte Webseiten zugreifen, unterliegen nicht mehr den allgemeinen Datenschutzbestimmungen und Nutzungsbedingungen von Google; entsprechende Verweise werden aus dem reCAPTCHA-Badge entfernt.

Bedeutung für Unternehmen

Die Verantwortung für die Datenverarbeitung liegt künftig beim Webseitenbetreiber. Eine Nutzung der erhobenen Daten durch Google zu eigenen Zwecken soll damit ausgeschlossen sein. Ein zentraler Kritikpunkt an reCAPTCHA wird durch diese Änderung beseitigt. Für Webseitenbetreiber bedeutet das vor allem eines: mehr rechtliche Klarheit.

Gleichzeitig bleibt reCAPTCHA ein technisch anspruchsvolles System, das im Hintergrund eine Risikoanalyse durchführt. Die datenschutzrechtliche Bewertung des Einsatzes hängt daher weiterhin von der konkreten Ausgestaltung ab. Unternehmen sollten die Umstellung zum Anlass nehmen, die bestehende Einbindung zu überprüfen und nachvollziehbar zu dokumentieren.

Praxis Tipps:

  • Vertragliche Grundlage prüfen: Stellen Sie sicher, dass das Google Cloud Data Processing Addendum (DPA) wirksam einbezogen ist. Hinterlegen Sie die Vertragsunterlagen zu Nachweiszwecken in Ihrer Dokumentation und aktualisieren Sie Ihre Dienstleisterübersicht bzw. Ihr Verzeichnis der Auftragsverarbeiter.
  • Datenschutzinformationen anpassen: Überprüfen Sie Ihre Datenschutzinformation. Entfernen Sie etwaige Verweise auf Googles allgemeine Nutzungsbedingungen im Zusammenhang mit Google reCAPTCHA. Informieren Sie stattdessen klar über den Zweck der Verarbeitung, der eingesetzten Version von reCAPTCHA, der Rechtsgrundlage, Drittlandübermittlung sowie die Rollenverteilung (Google als Auftragsverarbeiter).
  • Interessenabwägung durchführen: Wenn Sie sich auf ein berechtigtes Interesse stützen, ist eine strukturierte Interessenabwägung erforderlich. Dokumentieren Sie insbesondere das Schutzinteresse Ihres Unternehmens (z.B. Abwehr von Spam und Angriffen), die Eingriffsintensität der eingesetzten Version und die Erwartungshaltung der Nutzer. Prüfen Sie im Rahmen der Interessenabwägung regelmäßig die Erforderlichkeit des Einsatzes und beziehen Sie mögliche datensparsamere Alternativen in Ihre Bewertung ein.
  • Drittlandtransfer berücksichtigen: Die Übermittlung personenbezogener Daten in die USA kann derzeit auf das EU.-US. Data Privacy Framework gestützt werden. Der Drittlandtransfer sollte jedoch systematisch in Ihrer Datenschutzdokumentation berücksichtigt werden. So ist gewährleistet, dass bei rechtlichen oder tatsächlichen Änderungen, etwa einem Wegfall des Angemessenheitsbeschlusses, eine zeitnahe Neubewertung erfolgen und bei Bedarf geeignete zusätzliche Maßnahmen ergriffen werden können.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt