Google reCAPTCHA wird zum Schutz von Websites vor Spam eingesetzt. Die Anwendung soll erkennen, ob ein Nutzer menschlich ist oder ob es sich um einen automatisierten Bot oder ein anderes Programm handelt. Nun hat Google angekündigt, dass es beim Betrieb von reCAPTCHA ab April 2026 die Option gibt, dass Google von der Rolle des Verantwortlichen in die des Auftragsverarbeiters wechselt. Der folgende Beitrag stellt kurz vor, was das bedeutet.
Der Inhalt im Überblick
Was ist Google reCAPTCHA?
Ein CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) ist eine Anwendung, mit der menschliche Nutzer von potenziell schädlichen, nichtmenschlichen Nutzern wie Bots unterschieden werden. CAPTCHAs stellen Aufgaben, die für Computer schwierig, für Menschen jedoch relativ einfach zu lösen sind. Bei vielen CAPTCHAs werden verzerrte Texte oder Bilder zusammen mit einer Aufgabe angezeigt, deren Lösung eine Interaktion des Nutzers erfordert. Wird die Aufgabe korrekt gelöst, wird der Nutzer als Mensch klassifiziert. Andernfalls wird er blockiert. Auch das reCAPTCHA von Google in seinen Versionen dient diesem Zweck, unabhängig von der datenschutzrechtlichen Kritik.
Google reCAPTCHA – was ändert sich?
Bisher agierte Google bei der Nutzung der über reCAPTCHA erhobenen Informationen zum Nutzerverhalten wie ein Verantwortlicher nach der DSGVO, indem das Unternehmen selbst darüber entschied, wie und zu welchen Zwecken die Informationen verarbeitet wurden. Zum 2. April 2026 stellt der Google dieses Geschäftsmodell von reCAPTCHA weltweit um. Der Dienst wandelt sich von einem Angebot mit eigener Verantwortlichkeit zu einer klassischen Auftragsverarbeitung.
Um diese Umstellung zu bewirken, aktualisiert Google seine Google Cloud Platform Service Specific Terms, welche die Nutzung von reCAPTCHA regeln. Dann unterliegen Nutzer, die auf reCAPTCHA-geschützte Websites von Kunden zugreifen, nicht mehr den Datenschutzbestimmungen und Nutzungsbedingungen von Google. Die Verweise hierauf in den CAPTCHAs sollen durch einen Verweis auf die Google Cloud Platform Service Specific Terms ersetzt werden. Im Rahmen der Umstellung verspricht Google, dass weder der Captcha-Service noch assoziierte Dienste beeinträchtigt werden:
„(…) reCAPTCHA will continue to function without any other changes or service interruptions. Customers can continue to use their existing site keys, create new site keys using the Cloud Console, and access all advanced features such as Account defense, Password defense, SMS defense, Transaction defense, and Mobile SDK for Android & iOS to prevent fraud and abuse from bots, humans and agents.“
Ist Google reCAPTCHA nun datenschutzkonform?
Mit der Umstellung von Google reCAPTCHA auf den Auftragsverarbeitungsmodus reagiert Google auf die Kritik an der fehlenden Transparenz bezüglich der Nutzung der über reCAPTCHA erhobenen Daten. Zudem werden Websitebetreibern (formell) mehr Rechte in Bezug auf die über reCAPTCHA gesammelten Daten eingeräumt. Ob reCAPTCHA in all seinen schmetterlingshaften Versionen ohne Bedenken genutzt werden kann und sollte, muss aber jeder Websitebetreiber weiter für sich klären. Denn auch wenn Google nun Auftragsverarbeiter wird, wie viel mehr Transparenz wird dadurch erreicht?
Letztlich scheint Google das primäre Haftungsrisiko einfach nur auf die (oftmals eher unbedarften) Webseitenbetreiber abzuwälzen – na toll!
Wäre OK, wenn am anderen Ende nicht immer noch Google hängen würde. Google müsste in solchen Fällen unterscheiden, dass Daten solcher Auftraggeber nicht zum KI-Training (Ampeln erkennen; nochmal Ampeln erkennen, nochmal…) oder für eigene Zwecke verwendet werden.
Mit der Nutzung würde man dem externen Dienst die IP-Adresse und evtl. weitere identifizierende Daten mitteilen. Das kann bei anderen als hinreichend pseudonym gelten; nicht aber bei Google, der die Daten aus der Captcha-Nutzung mit Daten aus anderen Beziehungen zu den betroffenen Personen zusammenbringen können. Als Auftragsverarbeiter kämen sie nur in Frage, wenn sie genau das nachweislich ausschließen; z. B. durch ein unabhängiges Testat. Nicht nur textlich, sondern im tatsächlichen Datenfluss betrachtet.
D., der außer auf dem Papier keine Änderung sieht. Besser eine selbst betriebene Captcha-Funktion verwenden, oder einen ganz unproblmatischen Dienst, den man vielleicht sogar dafür bezahlt, nichts anderes damit zu tun.
Nach dieser Änderung können Unternehmen nun darauf hoffen, dass die Behörden diese trotz weiterer Unklarheiten akzeptieren. Für mich persönlich ist das Risiko mit fehlender Transparenz und Datenübertragungen in die USA zu hoch und ich werde auf ein deutsches Proof-of-Work-Captcha wie Friendly Captcha wechseln!