DSGVO & Compliance6 Min. Lesezeit10. Juli 2026
reCAPTCHA & DSGVO 2026: Was Googles Umstellung ändert
Kurz gesagt
Zum 2. April 2026 stellt Google reCAPTCHA vertraglich um: Google wird weisungsgebundener Auftragsverarbeiter, Websitebetreiber werden Verantwortliche. Der US-Datentransfer und die Transparenzlücken bleiben aber ungelöst – eine ausdrückliche Einwilligung bleibt die sichere Variante, und unsichtbare Verfahren ohne externe Server vermeiden das Problem ganz.
Zum 2. April 2026 ändert Google die Vertragsstruktur hinter reCAPTCHA. Viele Websitebetreiber fragen sich: Ist das Captcha damit endlich „DSGVO-sicher"? Die kurze Antwort: Es wird sauberer geregelt – das Kernproblem bleibt aber bestehen. Hier die Einordnung.
Dieser Beitrag ist eine allgemeine Einordnung und keine Rechtsberatung.
Was ändert sich am 2. April 2026?
Google positioniert sich künftig ausdrücklich als weisungsgebundener Auftragsverarbeiter nach Art. 28 DSGVO; die Websitebetreiber werden zu Verantwortlichen. Damit lässt sich der Einsatz eher über ein „berechtigtes Interesse" (Art. 6 Abs. 1 lit. f) argumentieren. Ungelöst bleiben laut Datenschutz-Fachleuten aber der US-Datentransfer und Transparenzlücken – eine ausdrückliche Einwilligung gilt weiterhin als sicherste Variante (Proliance).
Warum ist reCAPTCHA überhaupt ein Problem?
reCAPTCHA überträgt IP-Adresse und Nutzerverhalten an Google-Server in den USA – oft schon, bevor überhaupt auf „Senden" geklickt wird. Das österreichische Bundesverwaltungsgericht entschied bereits im September 2024, dass reCAPTCHA nicht technisch notwendig ist und nur mit ausdrücklicher Einwilligung eingesetzt werden darf (Ratgeberrecht).
Wie real ist das Abmahnrisiko?
Realer als vielen lieb ist. Mit dem BGH-Urteil vom 27. März 2025 können DSGVO-Verstöße von Mitbewerbern und Verbraucherverbänden abgemahnt werden – auch ohne Auftrag einer betroffenen Person (Kanzlei Kramarz). Parallel kursieren gezielte „DSGVO-Anfragen" zu reCAPTCHA, die als Vorbereitung für Abmahnungen dienen.
Was ist die sichere Alternative?
Wer die Debatte umgehen will, setzt auf Verfahren, die keine personenbezogenen Daten an Dritte senden: Honeypot-Felder, Zeitmessung und Verhaltensanalyse blockieren Bots unsichtbar und ohne externen Server. Genau so arbeitet WordPress Captcha (SilentShield) – ohne Rätsel, ohne Cookies, ohne US-Cloud.
Fazit
Die Google-Umstellung macht reCAPTCHA vertraglich sauberer, löst aber weder den US-Transfer noch die Einwilligungsfrage. Einen direkten Vergleich der Optionen findest du auf DSGVO-konforme Captcha-Alternative; einen Überblick DSGVO-konformer Spam-Schutz-Plugins liefert der Beitrag DSGVO-konforme Captcha-Plugins. Die unsichtbare Lösung selbst ist WordPress Captcha.