Hand aufs Herz: Wer hat sich beim Einbinden von jemals so richtig wohlgefühlt? Bisher hieß es oft: „Google macht das schon, die sind ja selbst verantwortlich.“ Doch damit ist seit dem 2. April 2026 Schluss. Google hat weltweit den Stecker beim alten Modell gezogen und reCAPTCHA in die Schranken der Auftragsverarbeitung gewiesen.
Das klingt erst mal nach trockenem -Sprech, hat es aber faustdick hinter den Ohren. Für dich als Webseitenbetreiber:in bedeutet das nämlich: Die volle Verantwortung liegt ab sofort bei dir. Google rückt ein Stück zur Seite und sagt: „Ich arbeite nur noch in deinem Auftrag – was du mit den Daten machst, ist dein Bier.“
Das Wichtigste im Schnelldurchlauf
Die rechtliche Zäsur
Du bist jetzt der Bestimmer
Bisher war die Rollenverteilung schwammig. Google hat sich die Daten oft für eigene Zwecke (Werbung, KI-Training) gekrallt und galt daher als eigenständiger Verantwortlicher. Mit der Umstellung auf das Modell der Auftragsverarbeitung (gemäß Art. 28 DSGVO) verspricht Google nun, die Daten nur noch streng nach deiner Weisung und zur Bot-Abwehr zu nutzen.
Das Problem dabei? Google schiebt dir damit die komplette rechtliche Last rüber. Als „alleiniger Verantwortlicher“ musst du jetzt nachweisen können, warum der Einsatz von okay ist. Da reCAPTCHA aber nach wie vor tief im Browser deiner Nutzer:innen wühlt – von Mausbewegungen bis hin zu installierten Plugins –, bleibt das Thema Transparenz eine harte Nuss.
Black Box bleibt Black Box
Das Transparenz-Dilemma
Technisch ändert sich durch den Rollenwechsel nämlich rein gar nichts. reCAPTCHA v3 und die Enterprise-Version analysieren weiterhin im Hintergrund das Verhalten der User:innen, um einen „Risk Score“ zu berechnen.
Hier beißt sich die Katze in den Schwanz: Gemäß Art. 13 DSGVO musst du deinen Besucher:innen genau erklären, was mit ihren Daten passiert. Da Google aber nicht verrät, wie der Algorithmus genau tickt, kannst du eigentlich keine 100% transparenten Infos geben. Dieses „Transparenz-Loch“ bleibt das größte Risiko für Abmahnungen oder Ärger mit den Aufsichtsbehörden.
Deine Checkliste
Was du bis gestern erledigt haben solltest
Wenn du reCAPTCHA weiterhin nutzt, musst du aktiv werden. Hier sind die „Must-dos“:
AV-Vertrag checken
Du musst das Cloud Data Processing Addendum (DPA) von Google akzeptieren. Ohne diesen Vertrag ist der Einsatz illegal.
Datenschutzerklärung anpassen
Entferne alle Verweise auf Googles eigene Nutzungsbedingungen in Bezug auf reCAPTCHA. Beschreibe Google stattdessen als deinen Auftragsverarbeiter und nenne die Rechtsgrundlage (meist Art. 6 Abs. 1 lit. f – berechtigtes Interesse, wobei das kritisch geprüft werden muss).
Cookie-Banner prüfen
Da reCAPTCHA Cookies setzt (_grecaptcha) und tiefe Analysen fährt, brauchst du in den meisten Fällen eine Einwilligung (Opt-In), bevor das Skript überhaupt geladen wird.
Drittland-Transfer dokumentieren
Die Daten fließen immer noch in die USA. Das muss in deiner Dokumentation (TIA) sauber begründet werden.
Disclaimer: Die vorangegangene Liste ist eine grobe Zusammenfassung der möglichen Schritte. Um eine Handlungsempfehlung aussprechen zu können, ist eine detaillierte Analyse der Website-Umgebung und Einbindung von reCaptcha unerlässlich.
Klingt kompliziert?
Du weißt nicht so richtig, wie und wo du anfangen sollst? - Dann schreib' uns doch einfach eine Nachricht! Wir helfen dir gern weiter und gehen die Checkliste mit dir Punkt für Punkt durch!
Die „perfekte“ Lösung?
Warum wir oft zu Alternativen raten
Ganz ehrlich: Der Aufwand, Google reCAPTCHA wirklich wasserdicht einzubinden, ist „nicht ohne“ und nervenaufreibend. Deshalb schauen wir uns bei userfreunde auch immer nach Lösungen um, die „Privacy by Design“ ernst nehmen.
Option 1: Der Goldstandard auf dem Premium-Markt ist aktuell Friendly Captcha. Warum?
Option 2: Unsere hauseigene userfreunde-Lösung (für WordPress)
Für unsere Kunden, die auf WordPress setzen – insbesondere mit dem Bricks Builder oder Contact Form 7 (CF7) * – haben wir eine absolut wasserdichte Alternative im Gepäck: unser WP Shield and Captcha Plugin.
100 % Lokal
Die Lösung ist komplett selbstgehostet. Es gehen keinerlei Anfragen an externe Server raus, es gibt kein Tracking und keine Cookies.
ALTCHA Proof-of-Work
Wir nutzen den dezentralen ALTCHA-Mechanismus mit HMAC-Verifizierung. Keine Daten verlassen deinen Server.
Mehrstufige Abwehr
Neben dem Captcha schützen wir deine Formulare durch Heuristiken wie Honeypots, Zeitmessung und JavaScript-Flags.
Content-Scoring
Eingehende Nachrichten werden automatisch auf Spam-Indikatoren (wie Link-Dichte oder verdächtige Keywords) geprüft.
* Weitere Formularanbindungen sollen folgen.
Hinweis: Da das Thema sehr jung ist, stecken wir noch „mitten im Prozess“. Wir vertrauen unserem Produkt – nur deswegen bieten wir es unseren Kunden an – wir sind aber selbstbewusst und wissend genug, um klar zu sagen, dass wir mit Friendly Captcha (noch) nicht mithalten können 😉 – Aber wir arbeiten dran!
Fazit
Google hat sich mit dem Rollenwechsel ein Stück weit aus der Schusslinie der Behörden gezogen und den Miesepeter an die Website-Betreiber:innen weitergereicht. Wer reCAPTCHA behält, muss seine Hausaufgaben bei der Dokumentation machen. Wer es stressfrei und wirklich datenschutzfreundlich will, sollte den Wechsel zu europäischen Alternativen wie Friendly Captcha prüfen.
Tipp
Nutze die aktuelle Umstellung als Anlass, um dein gesamtes Tracking und deine Formular-Sicherheit auf den Prüfstand zu stellen. Datenschutz ist kein lästiges Extra, sondern ein Qualitätsmerkmal deiner Seite! 📈
