Zum Inhalt springen

Ist Google reCAPTCHA DSGVO-konform?

Von Leon Weinmann ·

Kurz gesagt: Der Einsatz von Google reCAPTCHA ohne vorherige Einwilligung der Besucher ist datenschutzrechtlich riskant. reCAPTCHA überträgt personenbezogene Daten an Google — in der Regel auf Server in den USA — und gilt nach Einschätzung mehrerer Datenschutzbehörden und Gerichte nicht als technisch notwendig. Damit lässt sich der Einsatz nicht ohne Weiteres auf ein berechtigtes Interesse stützen, sondern setzt eine aktive Einwilligung voraus.

Das Wichtigste in Kürze: Ein Urteil des österreichischen Bundesverwaltungsgerichts (2024) stuft reCAPTCHA als nicht technisch notwendig ein und verlangt eine Einwilligung. Die Bayerische Datenschutzaufsicht empfiehlt Betreibern ausdrücklich, Alternativen zu prüfen. Wer reCAPTCHA ohne korrekt eingeholte Einwilligung einbindet, trägt ein vermeidbares Compliance-Risiko.

Warum reCAPTCHA datenschutzrechtlich problematisch ist

Sobald ein Besucher eine Seite mit eingebettetem reCAPTCHA aufruft, stellt sein Browser automatisch Anfragen an Google. Dabei werden mindestens IP-Adresse, User-Agent und weitere Browser-Informationen übertragen — häufig, bevor der Nutzer überhaupt eine Auswahl treffen konnte. Weil Google ein US-Unternehmen ist, verlässt ein Teil dieser Daten in vielen Fällen die EU.

Genau hier setzt das Schrems-II-Urteil des Europäischen Gerichtshofs (Juli 2020) an: Datenübermittlungen in die USA sind nur unter zusätzlichen Schutzmaßnahmen zulässig, weil US-Überwachungsgesetze staatlichen Stellen den Zugriff auf Daten bei US-Anbietern ermöglichen. Für ein CAPTCHA, das bei jedem Seitenaufruf Daten an Google sendet, ist diese Anforderung schwer zu erfüllen.

Was Gerichte und Datenschutzbehörden sagen

Österreichisches Bundesverwaltungsgericht, Urteil vom 13. September 2024

Das österreichische Bundesverwaltungsgericht (BVwG, Aktenzeichen W298 2274626-1/8E) entschied, dass Google reCAPTCHA nicht technisch notwendig ist, um eine Website zu betreiben. Damit lässt sich der Einsatz nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen — es braucht eine vorherige, ausdrückliche Einwilligung. Im konkreten Fall hatte ein Nutzer Tracking in den Einstellungen deaktiviert, dennoch wurden weiterhin Daten an Google gesendet. Das Gericht bestätigte die dahinterstehende Entscheidung der Datenschutzbehörde.

Hinweis: Es handelt sich um das österreichische Bundesverwaltungsgericht (BVwG) — nicht um das deutsche Bundesverwaltungsgericht (BVerwG). Das Urteil ist für deutsche Betreiber nicht unmittelbar bindend, seine Argumentation zur fehlenden technischen Notwendigkeit deckt sich aber mit der Linie deutscher Datenschutzbehörden.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Das BayLDA beantwortet in seinen FAQ die Frage, ob Google reCAPTCHA eingebunden werden darf, sinngemäß so: Betreiber „sollten unbedingt Alternativen prüfen". Wird reCAPTCHA dennoch eingesetzt, muss der Verantwortliche die Rechtmäßigkeit nachweisen können — und wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann seine Besucher auch nicht transparent informieren. Das ist eine aktuelle, öffentlich einsehbare Position einer deutschen Aufsichtsbehörde.

CNIL (Frankreich): Position seit 2022 und eine Sanktion 2023

Auch die französische Datenschutzbehörde CNIL vertritt seit 2022 die Auffassung, dass die von reCAPTCHA gesetzten Cookies eine vorherige Einwilligung erfordern, weil die Datennutzung durch Google nicht ausschließlich der Sicherheit der Website dient — nachzulesen bis heute in den offiziellen Cookie-FAQ der CNIL, die reCAPTCHA ausdrücklich nennt. Ende 2023 verhängte die CNIL zudem ein Bußgeld gegen ein Unternehmen (NS Cards France), das unter anderem reCAPTCHA und Google Analytics ohne vorherige Einwilligung einsetzte; auf diesen Punkt entfiel ein Teil der Strafe. Diese Einordnungen stammen aus Frankreich, stützen aber dieselbe Argumentationslinie.

Zur Einordnung: verwandte Urteile (keine reCAPTCHA-Urteile)

In der Diskussion werden oft weitere Urteile genannt. Zwei davon sind real, betreffen aber nicht reCAPTCHA selbst und taugen nur als Analogie:

  • LG München I, 20. Januar 2022 (Az. 3 O 17493/20): Hier ging es um Google Fonts, nicht um reCAPTCHA. Das Gericht sprach 100 Euro Schadensersatz zu, weil beim Laden der Schriftarten die IP-Adresse an Google übertragen wurde. Dieselbe Logik — unnötige Datenübertragung an einen US-Dienst — lässt sich auf reCAPTCHA übertragen, das Urteil selbst betrifft es aber nicht.
  • Österreichische Datenschutzbehörde (DSB), 22. Dezember 2021: Diese Entscheidung betraf Google Analytics und den Datentransfer in die USA nach Schrems II — ebenfalls eine Analogie, kein reCAPTCHA-Fall.

Wir führen das bewusst getrennt auf, weil im Netz vereinzelt erfundene oder falsch zugeordnete „reCAPTCHA-Urteile" kursieren. Für eine belastbare Argumentation zählen die tatsächlich einschlägigen Quellen oben.

Löst der neue Auftragsverarbeiter-Status das Problem?

Seit dem 2. April 2026 bietet Google einen Auftragsverarbeitungs-Zusatz an, der reCAPTCHA von einer (gemeinsam) verantwortlichen Rolle in die Rolle des Auftragsverarbeiters überführt. Das ist ein Schritt, ändert aber nichts an den beiden Kernproblemen: Die Daten fließen weiterhin an einen US-Konzern, und die Frage der technischen Notwendigkeit bzw. der Einwilligung bleibt bestehen. Fachleute bewerten die Umstellung eher als formaljuristische Anpassung denn als Lösung. Wer auf Nummer sicher gehen will, kommt um eine Einwilligung — oder eine echte Alternative — nicht herum.

Was bedeutet das für Websitebetreiber?

Praktisch bleiben zwei Wege, um reCAPTCHA rechtssicher zu betreiben:

  • Einwilligung einholen: reCAPTCHA erst laden, nachdem der Besucher aktiv zugestimmt hat — über ein korrekt konfiguriertes Consent-Banner. Das verschlechtert die Nutzererfahrung und schützt genau so lange nicht vor Bots, wie die Einwilligung aussteht.
  • Auf ein DSGVO-konformes CAPTCHA wechseln: Ein CAPTCHA, das ohne Datenabfluss in die USA auskommt, benötigt für diesen Zweck keine Einwilligung — und schützt ab dem ersten Seitenaufruf.

Für die meisten Betreiber ist der Wechsel der geradlinigere Weg: kein Consent-Banner für das CAPTCHA, kein Nachweis-Aufwand, kein US-Transfer.

Die Alternative: ein DSGVO-natives CAPTCHA aus Deutschland

ByeBot ist als datenschutzfreundliche Alternative zu reCAPTCHA gebaut. Ein technischer Schwerpunkt liegt auf starker JavaScript-Obfuskierung: Die clientseitige Logik eines CAPTCHAs läuft im Browser und ist grundsätzlich einsehbar. Ohne Obfuskierung lässt sich solche Erkennungslogik leichter auslesen und umgehen. ByeBot setzt daher auf einen ausgereiften Obfuskierungs-Stack.

Darüber hinaus:

  • Hosting ausschließlich in Deutschland — keine Übermittlung in die USA, kein Tracking, keine Cookies. Nutzerbezogene Daten werden, wenn überhaupt, nur temporär als Hash abgelegt.
  • Mehrschichtige Bot-Erkennung aus Proof-of-Work, Time-to-Pass, Verhaltensanalyse und optionalen interaktiven Challenges — statt einer einzelnen Prüfung.
  • Alle Funktionen inklusive, in jeder Preisstufe — einschließlich der EU-Datenverarbeitung in Deutschland.

So verbindet ByeBot DSGVO-konforme Verarbeitung in Deutschland mit mehrschichtigem Bot-Schutz. Mehr zur Motivation und zur Technik dahinter steht auf der Über-Seite.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die datenschutzrechtliche Bewertung des konkreten Einzelfalls wenden Sie sich bitte an eine Rechtsanwältin, einen Rechtsanwalt oder Ihre zuständige Datenschutzaufsicht. Stand: Juli 2026.

DSGVO-konformes CAPTCHA aus Deutschland

ByeBot schützt Ihre Website vor Bots — ohne Google, ohne Cookies und ohne Datenabfluss in die USA. Gehostet ausschließlich in Deutschland.

ByeBot ansehen →