Google reCAPTCHA schützt Websites vor Spam und automatisierten Angriffen. Dafür beobachtet der Dienst das Verhalten deiner Besucher, lädt Inhalte direkt von Google und bewertet im Hintergrund, ob ein Mensch oder ein Bot auf deine Website zugreift. Genau deshalb ist reCAPTCHA aus Datenschutzsicht kein kleines Detail, sondern eine Funktion mit mehreren Pflichten rund um Cookie-Banner, Datenschutzerklärung und Datenübertragung in die USA.
Überblick
Was ist Google reCAPTCHA?
Google reCAPTCHA ist ein Sicherheitsdienst von Google zur Erkennung von Bots und Spam. Der Dienst prüft Besucher anhand von Browserdaten, Verbindungsinformationen und Nutzerverhalten, damit Formulare, Logins oder Kommentare nicht automatisiert missbraucht werden.
Google reCAPTCHA und Datenschutz im Überblick
| Cookies | Google reCAPTCHA setzt den Cookie _GRECAPTCHA für die Risikoanalyse und Bot-Erkennung. |
| Externe Verbindungen | Google reCAPTCHA lädt JavaScript und Sicherheitsfunktionen direkt von Google-Servern. |
| Datenschutzerklärung | Google reCAPTCHA verarbeitet IP-Adresse, Browserdaten, Sicherheitstokens und weitere technische Informationen. |
| Drittlandtransfer | Google reCAPTCHA überträgt Besucherdaten in die USA und weitere Länder außerhalb der EU. |
| Auftragsverarbeitung | Google verarbeitet die Daten im Rahmen der Google-Cloud-Vertragsbedingungen. |
| Eingaben durch Besucher | Google reCAPTCHA verarbeitet Sicherheits-Tokens und Challenge-Interaktionen. Bei erweiterten Schutzfunktionen können zusätzliche Konto- oder Transaktionsdaten verarbeitet werden. |
Datenverarbeitung
Welche Daten verarbeitet Google reCAPTCHA?
Google reCAPTCHA verarbeitet mehrere technische Informationen deiner Website-Besucher, sobald die Funktion geladen wird. Dazu gehören unter anderem die IP-Adresse, Browserdaten, Geräteinformationen, die aufgerufene Seite und Sicherheits-Tokens zur Bot-Erkennung.
Google bewertet diese Daten wie ein digitaler Türsteher. Der Dienst versucht zu erkennen, ob sich hinter dem Seitenaufruf ein echter Mensch oder ein automatisiertes Programm versteckt. Dafür analysiert Google nicht nur einzelne Klicks, sondern auch technische Verbindungsdaten und typische Bewegungsmuster im Browser.
Bei erweiterten Sicherheitsfunktionen von reCAPTCHA Enterprise verarbeitet Google zusätzlich Konto-, Login- oder Zahlungsdaten. Dazu gehören zum Beispiel E-Mail-Adresse, Telefonnummer, Rechnungsadresse oder Informationen aus einem Bestellvorgang, wenn du diese Funktionen aktiv nutzt.
Cookies
Setzt Google reCAPTCHA Cookies?
Google reCAPTCHA setzt den Cookie _GRECAPTCHA. Dieser Cookie dient der Risikoanalyse und hilft Google dabei, Menschen von Bots zu unterscheiden.
Da der Cookie nicht technisch notwendig für den eigentlichen Besuch deiner Website ist, muss dein Cookie-Banner die Funktion blockieren, bis Besucher zugestimmt haben. Das betrifft auch das Nachladen der Google-Skripte. Wenn reCAPTCHA schon vor der Zustimmung geladen wird, verarbeitet Google bereits Daten deiner Besucher.
Externe Verbindungen
Verbindet sich Google reCAPTCHA mit externen Servern?
Google reCAPTCHA baut direkte Verbindungen zu Google-Servern auf.
Diese Verbindung startet bereits beim Laden der geschützten Seite oder des Formulars. Dabei erhält Google automatisch technische Informationen deiner Besucher. Deshalb muss dein Cookie-Banner die externe Verbindung blockieren, bis Besucher ihre Zustimmung gegeben haben.
Nutzt du Google reCAPTCHA auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google reCAPTCHA gibt.
Benutzereingaben
Verarbeitet Google reCAPTCHA Eingaben von Besuchern?
Google reCAPTCHA verarbeitet die Interaktionen mit der Sicherheitsfunktion selbst. Dazu gehören Sicherheits-Tokens, Mausbewegungen oder Challenge-Abfragen bei Bild- oder Checkbox-Prüfungen.
Normale Formularinhalte wie Nachrichten aus einem Kontaktformular verarbeitet reCAPTCHA nicht automatisch.
Wenn du erweiterte Schutzfunktionen von reCAPTCHA Enterprise verwendest, verarbeitet Google zusätzlich Konto-, Login- oder Zahlungsdaten. Dann können auch Informationen wie E-Mail-Adresse, Telefonnummer, Rechnungsadresse oder Bestelldaten an Google übertragen werden.
Drittlandtransfer
Überträgt Google reCAPTCHA Daten in die USA?
Google reCAPTCHA überträgt Besucherdaten in die USA und weitere Länder außerhalb der EU. Dazu gehören technische Verbindungsdaten, Sicherheitsinformationen und alle Daten, die für die Bot-Erkennung verarbeitet werden.
Die Datenverarbeitung läuft über die Infrastruktur von Google Cloud. Eine Einstellung, mit der du die Datenübertragung in Drittländer vollständig abschalten kannst, gibt es bei reCAPTCHA nicht.
Auftragsverarbeitung
Brauchst du mit Google einen Vertrag zur Datenverarbeitung?
Google verarbeitet die Daten deiner Website-Besucher im Rahmen der Google-Cloud-Vertragsbedingungen. Deshalb brauchst du einen Vertrag mit Google zur Datenverarbeitung.
Der Vertrag läuft über dein Google-Cloud-Konto beziehungsweise die Nutzung der Google-Cloud-Dienste. Wenn du reCAPTCHA verwendest, solltest du prüfen, ob dein Google-Konto korrekt eingerichtet ist und die Datenschutzvereinbarung von Google akzeptiert wurde.
Datenschutzerklärung
Welche Angaben gehören zu Google reCAPTCHA in die Datenschutzerklärung?
Google reCAPTCHA muss in deine Datenschutzerklärung aufgenommen werden, weil der Dienst personenbezogene Daten verarbeitet und an Google überträgt.
- Zweck: Schutz vor Spam, Bots und automatisierten Angriffen.
- Rechtsgrundlage: Zustimmung über das Cookie-Banner.
- Empfänger: Google Ireland Limited.
- Drittlandtransfer: Daten werden in die USA und weitere Länder außerhalb der EU übertragen.
- Verarbeitete Daten: IP-Adresse, Browserdaten, Geräteinformationen, Sicherheitstokens und Verbindungsdaten.
- Speicherdauer: Abhängig von den Einstellungen und den Google-Systemen zur Risikoanalyse.
- Pflicht zur Bereitstellung: Ohne Zustimmung funktioniert der Spam-Schutz möglicherweise nicht vollständig.
Alternative
Gibt es datenschutzfreundlichere Alternativen zu Google reCAPTCHA?
Datenschutzfreundlichere Alternativen zu Google reCAPTCHA sind Friendly Captcha und Anti-Spam by CleanTalk.
Diese Dienste verzichten auf umfangreiche Tracking-Mechanismen und vermeiden die direkte Verbindung zu Google.
Fehler
Diese Datenschutzfehler passieren bei Google reCAPTCHA besonders oft
Viele Websites laden Google reCAPTCHA sofort beim Seitenaufruf, obwohl Besucher noch keine Zustimmung gegeben haben. Dadurch baut die Website schon beim ersten Aufruf eine Verbindung zu Google auf.
Ein weiterer häufiger Fehler ist eine unvollständige Datenschutzerklärung. Dort fehlen oft Angaben zur Datenübertragung in die USA oder zu den verarbeiteten Browser- und Sicherheitsdaten.
Außerdem bleibt reCAPTCHA häufig aktiv, obwohl die Funktion gar nicht mehr benötigt wird. Besonders alte Kontaktformulare oder Login-Seiten enthalten oft noch eingebundene Google-Skripte, die unbemerkt Daten übertragen.
DSGVO-Check
So erkennst du Google reCAPTCHA auf deiner Website
Google reCAPTCHA verrät sich über den Cookie _GRECAPTCHA. Du kannst im Browser oder mit einem Datenschutz-Scan prüfen, ob dieser Cookie gesetzt wird.
Außerdem baut deine Website Verbindungen zu Domains wie www.google.com oder www.recaptcha.net auf. Ein Datenschutz-Scanner oder die Entwicklerwerkzeuge deines Browsers zeigen dir, ob deine Website Inhalte von diesen Domains lädt.
Wenn diese Verbindungen schon ohne Zustimmung im Cookie-Banner erscheinen, blockiert deine Website Google reCAPTCHA nicht korrekt.
Hast du Google reCAPTCHA auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google reCAPTCHA gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.