Google reCAPTCHA und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Google reCAPTCHA ein, verarbeitet er Endgeräte-Daten, Interaktionsdaten und technische Telemetriedaten zum Zweck der Bot-Abwehr und Sicherheit auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), je nach Art der Implementierung. Google reCAPTCHA ist ein Sicherheitsdienst von Google, der Bot-Traffic und Missbrauch auf Websites verhindert.

A. Zweck und Funktionsweise von Google reCAPTCHA

Google reCAPTCHA ist ein Sicherheitsdienst von Google Ireland Limited. Das System prüft, ob ein Nutzer ein echter Mensch oder ein automatisiertes Programm (Bot) ist. Es bietet Webseitenbetreibern Schutz vor automatisierten Angriffen, Spam, Betrugsvorgängen und anderen Missbrauchsszenarien.

Google bietet zwei wesentliche Versionen:

reCAPTCHA v2 zeigt dem Nutzer eine sichtbare Schaltfläche „Ich bin kein Roboter" mit einer Checkbox. Der Nutzer muss aktiv klicken. Bei Bedarf werden zusätzlich Bilderkennungs-Rätsel angezeigt.

reCAPTCHA v3 lädt unsichtbar im Hintergrund und analysiert das Nutzer-Verhalten (Mausbewegungen, Tastaturmuster, Browser-Daten) ohne dass der Nutzer etwas tun muss. Das System vergibt eine „Risk Score", die der Webseitenbetreiber nutzen kann, um verdächtige Anfragen zu blockieren.

Integrationsfunktion: reCAPTCHA wird durch ein JavaScript-Tag auf der Website eingebunden. Beim Laden der Seite (v3) oder beim Klick auf die Schaltfläche (v2) wird das Script ausgeführt, das Daten erfasst und an Google-Server übermittelt.

B. Pflichtangaben in der Datenschutzerklärung zu reCAPTCHA

Die DSGVO verlangt für den Einsatz von Google reCAPTCHA folgende Pflichtangaben: Zwecke der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei Art. 6 Abs. 1 lit. f zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO) sowie Speicherdauer oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

reCAPTCHA sollte in der Datenschutzerklärung nicht als isolierter Textbaustein behandelt werden. Die weit verbreitete Praxis, für jedes eingesetzte Tool einen eigenen Abschnitt vorzusehen, erzeugt lange, unübersichtliche und schwer pflegbare Texte – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der reCAPTCHA unter „Sicherheit und Missbrauchsschutz" oder bei Kontaktformularen behandelt und Google Ireland Limited im Empfänger-Anhang aufführt.

C. Anbieter von Google reCAPTCHA: Google Ireland Limited

Anbieter: Google Ireland Limited (für deutsche Webseitenbetreiber)

Vollständige Anschrift: Gordon House, Barrow Street, Dublin 4, Irland

Sitzland: Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher für EU-Kunden. Die tatsächliche Datenverarbeitung erfolgt durch Google LLC (Mountain View, Kalifornien, USA).

Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: https://www.dataprivacyframework.gov/participant/5780

Datenschutzerklärung des Anbieters: https://policies.google.com/privacy

Auftragsverarbeitungsvertrag (AVV/DPA): Nach Angaben des Anbieters soll Google ab April 2026 für reCAPTCHA als Auftragsverarbeiter tätig werden, womit ein DPA erforderlich wird. Webseitenbetreiber sollten prüfen, ob und wie Google entsprechende DPA-Dokumente bereitstellt. Die Details sind vom Betreiber zu verifizieren.

D. Datenverarbeitung durch Google reCAPTCHA – Ablauf

E. Erhobene Daten beim Einsatz von Google reCAPTCHA

reCAPTCHA erfasst unterschiedliche Daten je nach Version. Bei v2: IP-Adresse, Browser-Information, Gerätetyp, Timestamp, Cookies (z. B. _GRECAPTCHA). Bei v3 zusätzlich: Mausbewegungen, Mauszeigerposition, Tastendrücke, Klick-Muster, Touch-Bewegungen, Scrollverhalten und weitere Verhaltensdaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitzone, User-Agent, Browser-Version, Betriebssystem
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
• Browserinformationen: Browsername, Browserversion, Sprache, installierte Erweiterungen
• Grobe Standortdaten: Aus der IP-Adresse ermittelter grober Standort
• Interaktionsdaten: Mausbewegungen, Tastendrücke, Klick-Muster, Mauszeigerposition, Touch-Bewegungen, Scrollbewegungen (v3)
• Technische Telemetriedaten: Browser-Performance-Metriken, Ladezeiten, technische Daten für Anomalieerkennung

F. Nutzungszwecke beim Einsatz von Google reCAPTCHA

Der Webseitenbetreiber nutzt reCAPTCHA zur Sicherung seiner Website gegen automatisierte Angriffe, Spam und Missbrauch. Google LLC nutzt die erfassten Daten nach Angaben des Anbieters zur Verbesserung des reCAPTCHA-Dienstes und zur Optimierung der Bot-Erkennung.

Die Zwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Bereitstellung von Captcha-Funktionalität, Bot-Erkennung
• Sicherheit und Missbrauchsschutz: Prävention von Bots, Spam-Bekämpfung, Betrugsprävention, DDoS-Abwehr
• Allgemeine Produktverbesserung: Verbesserung des reCAPTCHA-Erkennungs-Algorithmus

G. Rechtsgrundlagen für Google reCAPTCHA

Google reCAPTCHA fällt in die Kategorie Captcha / Sicherheit und Missbrauchsschutz. Die einschlägige Rechtsgrundlage variiert je nach Version:

reCAPTCHA v2: Kommt typischerweise als Rechtsgrundlage berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Betracht – konkret: Missbrauchsschutz und Sicherheit. Eine Interessenabwägung ist vorzunehmen: Sind die erfassten Daten für den Missbrauchsschutz erforderlich und verhältnismäßig?

reCAPTCHA v3: Da v3 verhaltensbasiert im Hintergrund analysiert, kommt bei dieser Version typischerweise eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) in Betracht.

Die konkrete Rechtsgrundlage ist in jedem Fall durch den Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Google reCAPTCHA

• v2 vs. v3: v2 ist für Nutzer transparent (sichtbare Checkbox), v3 analysiert das Verhalten unsichtbar im Hintergrund. Die datenschutzrechtliche Bewertung kann unterschiedlich ausfallen.
• Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Überprüfung unter: https://www.dataprivacyframework.gov/participant/5780
• AVV/DPA: Webseitenbetreiber sollten prüfen, ob und wann Google einen DPA für reCAPTCHA anbietet.
• Datenschutzfreundliche Alternativen: Für Webseitenbetreiber, die eine Alternative ohne Drittanbieter-Tracking suchen, bietet sich beispielsweise Friendly Captcha an (Proof-of-Work-Ansatz, kein Verhaltens-Tracking, Server in der EU).

I. FAQ zu Google reCAPTCHA

J. Fazit und Empfehlung zu Google reCAPTCHA

Google reCAPTCHA ist ein weit verbreiteter Sicherheitsdienst, der Websites effektiv vor Bots schützt. Die datenschutzrechtliche Einordnung hängt wesentlich von der eingesetzten Version ab: Bei v2 kommt berechtigtes Interesse in Betracht, bei v3 typischerweise Einwilligung. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, reCAPTCHA in der Datenschutzerklärung als eigenen Textbaustein aufzunehmen. Das erzeugt lange, unübersichtliche und schwer pflegbare Texte und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der reCAPTCHA unter „Sicherheit" oder bei Kontaktformularen einordnet und Google Ireland Limited im Empfänger-Anhang aufführt. Genau diese Methodik verfolgt der matterius-Generator.