Google reCAPTCHA schützt Formulare vor Spam und Bots – das ist sinnvoll. Datenschutzrechtlich bringt das Tool aber eine Reihe von Aufgaben mit sich, die viele Website-Betreiber nicht auf dem Schirm haben: zustimmungspflichtige Cookies, eine Datenübertragung in die USA und einen Vertrag mit Google, der aktiv abgeschlossen werden muss. Wer reCAPTCHA einsetzt, muss das alles zusammen im Griff haben.
Überblick
Was ist Google reCAPTCHA?
Google reCAPTCHA ist ein Dienst von Google, der unterscheiden soll, ob ein Formular von einem echten Menschen oder einem automatisierten Programm ausgefüllt wird. Dazu analysiert Google im Hintergrund das Verhalten der Person auf der Seite – ohne dass sie davon etwas merkt. Der Dienst ist vor allem in Kontaktformularen, Anmeldeformularen und Kommentarfeldern verbreitet.
Google reCAPTCHA – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Setzt zustimmungspflichtige Cookies, darunter _GRECAPTCHA. |
| Externe Verbindungen | 🔴 | Baut beim Seitenaufruf Verbindungen zu Google-Servern auf. |
| Datenschutzerklärung | 🔴 | Eintrag in der Datenschutzerklärung erforderlich. |
| Drittlandtransfer | 🔴 | Daten werden an Google-Server in die USA übertragen. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Google muss aktiv abgeschlossen werden. |
| Benutzereingaben | 🟢 | Verarbeitet keine Formulardaten der Besucher. |
Datenverarbeitung
Welche Daten verarbeitet Google reCAPTCHA?
Sobald eine Seite mit reCAPTCHA geladen wird, beginnt Google im Hintergrund mit der Analyse. Dabei werden Daten des Website-Besuchers erfasst und an Google-Server in den USA übertragen: IP-Adresse, Browser- und Geräteinformationen, Mausbewegungen und Tastaturanschläge innerhalb des reCAPTCHA-Bereichs.
Gleichzeitig setzt Google den Cookie _GRECAPTCHA im Browser und kann auf weitere bereits vorhandene Google-Cookies zugreifen, darunter den Cookie NID, der geeignet ist, Nutzer geräteübergreifend zu erkennen und Profile zu erstellen.
Das passiert nicht erst beim Absenden eines Formulars, sondern schon beim bloßen Laden der Seite – solange kein Cookie-Banner die Verbindung blockiert.
Cookies
Welche Cookies setzt Google reCAPTCHA?
Google reCAPTCHA setzt den Cookie _GRECAPTCHA. Google selbst beschreibt ihn als „für die Risikoanalyse erforderlich“ – räumt aber ein, dass er kein technisch notwendiger Cookie im Sinne des Datenschutzrechts ist.
Zusätzlich greift reCAPTCHA auf bereits vorhandene Google-Cookies wie NID zu, der zur geräteübergreifenden Nutzeridentifikation geeignet ist. Beide Cookies fallen in die Kategorie zustimmungspflichtig. Dein Cookie-Banner muss diese Cookies – und die Verbindung zu Google – blockieren, bis der Besucher zugestimmt hat. Die französische Datenschutzbehörde hat das 2022 ausdrücklich bestätigt.
Externe Verbindungen
Baut Google reCAPTCHA Verbindungen zu externen Servern auf?
Ja. Sobald eine Seite geladen wird, auf der reCAPTCHA eingebunden ist, baut der Browser des Besuchers Verbindungen zu www.google.com/recaptcha/ und gstatic.com/recaptcha/ auf. Diese Verbindungen entstehen beim Seitenaufruf – unabhängig davon, ob jemand ein Formular ausfüllt oder nicht.
Die Website funktioniert auch ohne reCAPTCHA, weshalb diese Verbindungen nicht zwingend für den Betrieb notwendig sind. Dein Cookie-Banner muss diese Verbindungen blockieren, bis der Besucher zustimmt.
Google reCAPTCHA auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Liest Google reCAPTCHA Formulardaten der Besucher mit?
Nein. Google reCAPTCHA liest keine Texteingaben aus Formularen – also keine Namen, E-Mail-Adressen oder Nachrichten, die Besucher eintippen. Was analysiert wird, sind Verhaltenssignale wie Mausbewegungen und Tastaturanschläge innerhalb des reCAPTCHA-Bereichs selbst. Das ist ein wichtiger Unterschied: Die eigentlichen Formulardaten bleiben außen vor.
Drittlandtransfer
Werden durch Google reCAPTCHA Daten in die USA übertragen?
Google reCAPTCHA überträgt Daten der Website-Besucher an Google-Server in den USA.
Als Übertragungsgrundlage gilt das EU-US Data Privacy Framework, unter dem Google zertifiziert ist – vereinfacht gesagt: Google und die EU haben vereinbart, dass bestimmte US-Datentransfers unter definierten Bedingungen erlaubt sind. Dieses Abkommen hat in der Vergangenheit mehrfach gewechselt und seine langfristige Beständigkeit ist nicht garantiert.
Eine Einstellung, mit der sich die Übertragung in die USA abschalten lässt, gibt es nicht – ohne den Dienst zu wechseln.
Auftragsverarbeitung
Muss ich einen Vertrag mit Google für reCAPTCHA abschließen?
Seit dem 2. April 2026 verarbeitet Google die reCAPTCHA-Daten als Auftragsverarbeiter – das bedeutet: Google darf die Daten deiner Website-Besucher nur noch für den Betrieb des Dienstes nutzen, nicht mehr für eigene Zwecke.
Für dich als Betreiber hat das eine direkte Konsequenz: Du musst den Vertrag mit Google aktiv abschließen. Das geht über die Google Cloud Console. Logge dich mit dem Google-Konto ein, mit dem du reCAPTCHA verwaltest, und akzeptiere das Cloud Data Processing Addendum unter cloud.google.com/terms/data-processing-addendum. Danach gilt der Vertrag automatisch für reCAPTCHA.
Datenschutzerklärung
Muss Google reCAPTCHA in die Datenschutzerklärung?
Google reCAPTCHA muss in deine Datenschutzerklärung, weil der Dienst zustimmungspflichtige Cookies setzt und Daten an Google überträgt. Folgende Angaben gehören in den Eintrag:
- Zweck: Schutz vor automatisierten Bot-Angriffen und Spam.
- Rechtsgrundlage: Einwilligung.
- Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
- Drittlandtransfer: Daten werden an Google-Server in die USA übertragen. Grundlage ist das EU-US Data Privacy Framework.
- Speicherdauer: Abhängig vom jeweiligen Cookie. Google-Cookies werden mindestens 6 Monate gespeichert.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google reCAPTCHA – Schutz vor automatisierten Angriffen
Auf dieser Website wird Google reCAPTCHA eingesetzt, ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. reCAPTCHA analysiert das Verhalten von Website-Besuchern, um automatisierte Bot-Zugriffe und Spam von echten Nutzern zu unterscheiden. Dabei werden Daten wie IP-Adresse, Browser- und Geräteinformationen sowie Interaktionsmuster erfasst und an Google-Server in den USA übertragen. Die Datenübertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.
Google verarbeitet diese Daten als Auftragsverarbeiter ausschließlich zum Zweck des Bot-Schutzes. Die Verarbeitung erfolgt auf Grundlage deiner Einwilligung. Google-Cookies im Zusammenhang mit reCAPTCHA werden für mindestens 6 Monate gespeichert. Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen dieser Website widerrufen.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Google reCAPTCHA?
Friendly Captcha ist eine deutsche Alternative mit Sitz in München, die ohne Cookies, ohne Nutzer-Tracking und ohne Datenübertragung in die USA auskommt. Statt Verhaltensdaten zu analysieren, lässt Friendly Captcha den Browser im Hintergrund eine kleine Rechenaufgabe lösen – für echte Besucher unsichtbar, für Bots zu aufwendig.
Die Daten werden ausschließlich auf EU-Servern verarbeitet, ein Cookie-Banner ist für Friendly Captcha nicht erforderlich. Es gibt ein WordPress-Plugin und der Free-Plan erlaubt bis zu 1.000 Prüfungen pro Monat kostenlos, darüber hinaus ab 9 Euro pro Monat (Stand März 2026).
Fehler
Typische Fehler beim Einsatz von Google reCAPTCHA
Der häufigste Fehler: reCAPTCHA lädt beim Seitenaufruf, obwohl der Besucher noch nicht zugestimmt hat. Das passiert, wenn der Cookie-Banner zwar vorhanden ist, aber die Verbindung zu Google nicht aktiv blockiert. Prüfe, ob dein Cookie-Banner reCAPTCHA wirklich erst nach Zustimmung freigibt – nicht nur, ob eine Einwilligung eingeholt wird.
Ein weiterer verbreiteter Fehler: Der Vertrag mit Google fehlt. Seit April 2026 ist das Cloud Data Processing Addendum Pflicht – wer reCAPTCHA nutzt, ohne diesen Vertrag abgeschlossen zu haben, betreibt den Dienst ohne die nötige vertragliche Grundlage.
Außerdem vergessen viele den Eintrag in der Datenschutzerklärung. reCAPTCHA läuft im Hintergrund und fällt nicht sofort auf – aber die Pflicht zur Information der Besucher besteht trotzdem.
DSGVO-Check
Wie erkennst du, ob Google reCAPTCHA auf deiner Website aktiv ist?
Du kannst direkt im Browser prüfen, ob reCAPTCHA läuft. Öffne die Einstellungen deines Browsers und sieh nach, welche Cookies auf der Seite gesetzt sind. Suche dort nach _GRECAPTCHA – taucht dieser Cookie auf, ist reCAPTCHA aktiv. Wenn er bereits vor deiner Zustimmung im Cookie-Banner erscheint, ist dein Banner nicht korrekt konfiguriert.
Du kannst auch prüfen, ob deine Website Verbindungen zu www.google.com/recaptcha oder gstatic.com/recaptcha aufbaut. Das lässt sich über die Entwicklertools des Browsers (Netzwerk-Tab) beobachten – erscheinen diese Adressen schon beim ersten Laden der Seite, wird reCAPTCHA vor einer Zustimmung geladen.
Am einfachsten geht das mit einem automatischen Datenschutz-Scan, der deine Website direkt prüft und dir zeigt, welche Dienste vor Zustimmung laden – inklusive reCAPTCHA.
Quellen und weiterführende Links
- Google reCAPTCHA – offizielle Produktseite
- Google reCAPTCHA – Dokumentation
- Google Cloud Data Processing Addendum (AVV)
- Google reCAPTCHA – Häufige Fragen
- Friendly Captcha – offizielle Website
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.