Lange Zeit war der Einsatz von Googles reCAPTCHA für europäische Webseitenbetreiber ein datenschutzrechtlicher Drahtseilakt. Der Dienst soll gegen Bots und Spam schützen. Doch die Art der Datenverarbeitung sorgte regelmäßig für Kopfschmerzen in Rechtsabteilungen. Bisher agierte Google bei der Analyse von Nutzerverhalten weitgehend als eigenständiger „Datenverantwortlicher“. Das bedeutete, dass der US-Konzern selbst entschied, wie und zu welchen Zwecken die im Hintergrund gesammelten Informationen verarbeitet wurden – oft unter Verweis auf die allgemeinen Google-Datenschutzbestimmungen. Diese Ära der Unverbindlichkeit geht nun zu Ende.
Wie Google angekündigt hat, steht ein Richtungswechsel bevor. Zum 2. April 2026 stellt der Tech-Riese das Betriebsmodell von reCAPTCHA weltweit um. Der Dienst wandelt sich von einem Angebot mit eigener Datenhoheit hin zu einer klassischen Auftragsverarbeitung.
Damit gliedert sich der Bot-Schutz in die Riege der professionellen Google Cloud Services ein und folgt künftig denselben Compliance-Vorgaben, die Kunden bereits von der Cloud-Plattform des Hyperscalers kennen. Der Schritt geht über eine formale Anpassung der Allgemeinen Geschäftsbedingungen hinaus: er verschiebt das Machtgefüge in der Datenverarbeitung zugunsten der Betreiber.
Rollentausch bei der Datenverantwortung
In der Praxis bedeutet die Transformation, dass vom Frühjahr an die Webseitenbetreiber selbst in die Rolle des „Data Controllers“ schlüpfen. Sie bestimmen damit Zweck und Mittel der Datenverarbeitung, während Google lediglich als „Data Processor“ agiert. Google verarbeitet die auf den Kunden-Webseiten erhobenen Daten also nur noch nach strengen Anweisungen der jeweiligen Betreiber.
Damit reagiert das Unternehmen auf anhaltende Kritik von Datenschützern. Sie monierten, dass Nutzerdaten aus Sicherheitsabfragen unbemerkt in die riesigen Profiling-Töpfe des Werbekonzerns fließen könnten. Mit der neuen Struktur wird eine klare Trennwand eingezogen: Die erhobenen Informationen dürfen fortan nur noch für die Bereitstellung, Wartung und Sicherheit des reCAPTCHA-Dienstes selbst verwendet werden.
Besonders deutlich dürfte die Änderung für die Anwender sein. Wer eine Webseite aufruft, die durch reCAPTCHA geschützt ist, sieht im kleinen Logo-Badge oft noch den Hinweis auf die Google-Datenschutzerklärung und die Nutzungsbedingungen des Konzerns. Diese Verweise werden ab dem Stichtag verschwinden. Da die Nutzer nicht mehr den allgemeinen Google-Bedingungen unterworfen sind, entfällt die direkte rechtliche Verknüpfung im Widget. Google fordert seine Kunden proaktiv dazu auf, bestehende manuelle Hinweise auf die Google-Privacy-Policy im Zusammenhang mit reCAPTCHA von ihren Präsenzen zu entfernen, um der neuen Rechtslage gerecht zu werden.
Nahtloser Übergang und rechtliche Klarheit
Technisch gesehen soll der Übergang für Admins weitgehend geräuschlos erfolgen. Google versichert, dass es keine Unterbrechungen im Service geben werde. Bestehende Site-Keys behielten ihre Gültigkeit. Auch die Funktionsweise von Sicherheitsfunktionen wie Account Defense oder SMS-Schutz bleibe unangetastet. Interessant ist indes die strategische Einbettung: Da alle Classic-Keys bereits in die Cloud-Plattform migriert wurden, erfolgt die Verarbeitung nun einheitlich im Rahmen des sogenannten Cloud Data Processing Addendum. Dieser Zusatz soll Firmen die benötigte Rechtssicherheit geben, da die Datenverarbeitung nun zweckgebunden auf die Bedrohungserkennung und Betrugsprävention limitiert ist.
Der Wandel kommt zu einem kritischen Zeitpunkt. In einer Ära, in der KI nicht nur zur Abwehr, sondern auch zur Erstellung immer raffinierterer Bots genutzt wird, steigt der Bedarf an verlässlichen Verifizierungswerkzeugen. Webseitenbetreiber können prinzipiell künftig mit deutlich weniger Bedenken argumentieren, dass der Einsatz des Tools zur Wahrung berechtigter Interessen nach der Datenschutz-Grundverordnung (DSGVO) erfolgt. Denn die Gefahr, Nutzerrechte durch unkontrolliertes Tracking zu verletzen, ist erst einmal vom Tisch.
(nie)
English (US) ·