Google: datenschutzrechtliche Rolle bei reCAPTCHA ändert sich
Ab dem 2. April 2026 wechselt Google bei seinem Bot-Schutzdienst reCAPTCHA von der Rolle des Verantwortlichen (Data Controller) in die des Auftragsverarbeiters (Data Processor). Dies hat unmittelbare Konsequenzen für alle Websitebetreiber, die reCAPTCHA einsetzen: Sie werden künftig selbst zum datenschutzrechtlichen Verantwortlichen im Sinne der DS-GVO. Darüber hat Google die relevanten Nutzerkreise sowohl per E-Mail als auch über einen entsprechenden Blogbeitrag informiert.
Was sich ändert
Die Datenverarbeitung durch reCAPTCHA wird ab April 2026 nicht mehr unter Googles allgemeiner Datenschutzerklärung und Nutzungsbedingungen erfolgen, sondern auf Grundlage des Google Cloud Data Processing Addendum. Die bisherigen Verweise auf Googles Datenschutzrichtlinie im reCAPTCHA-Badge werden von Google selbst entfernt. Websitebetreiber, die diese Verweise zusätzlich eigenständig in ihre Datenschutzdokumentationen oder Webseiten integriert haben, werden aufgefordert, diese ebenfalls zu entfernen.
Handlungsbedarf für Unternehmen
Datenschutzbeauftragte und Websitebetreiber sollten prüfen, ob und wo Verweise auf Googles Datenschutzerklärung im Zusammenhang mit reCAPTCHA bestehen – etwa in Cookie-Hinweisen, Datenschutzerklärungen oder im Quellcode. Diese Verweise sind nach dem 2. April 2026 inhaltlich nicht mehr zutreffend. Darüber hinaus empfiehlt sich die Prüfung, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO mit Google abzuschließen bzw. zu aktualisieren ist.
Kritische Einordnung
In der Diskussion zum Blogbeitrag weisen Datenschutzpraktiker auf eine strukturelle Spannung hin: Obwohl Websitebetreiber formal die Rolle des Verantwortlichen übernehmen, bleiben Zweck und Mittel der Verarbeitung durch Google weitgehend vorgegeben. Die Frage, inwieweit eine echte Weisungsbefugnis gegenüber Google im Rahmen des standardisierten Vertragswerks besteht, bleibt offen. Google hat angekündigt, die zugehörige Dokumentation vor dem 2. April 2026 zu aktualisieren.
