Google reCAPTCHA DSGVO: So machen Sie reCAPTCHA v3 datenschutzkonform

Viele Websites nutzen Google reCAPTCHA, um Formulare vor Spam und Bots zu schützen. Doch besonders reCAPTCHA v3 stellt aus Datenschutzsicht ein Problem dar. reCAPTCHA v3 läuft unsichtbar im Hintergrund und sammelt Daten über Besucher:innen, bevor diese überhaupt wissen, dass das Tool aktiv ist. Für Websitebetreiber:innen in Deutschland und der EU stellt das ein Risiko dar. Denn laut DSGVO und TTDSG dürfen viele Tracking-Technologien erst aktiviert werden, nachdem Nutzer:innen ihre Einwilligung gegeben haben.

In diesem Artikel erfahren Sie, welche Daten reCAPTCHA v3 tatsächlich erfasst, warum es im Standardbetrieb nicht DSGVO-konform ist und mit welchen vier konkreten Schritten Sie das ändern können, einschließlich der automatischen Blockierungsfunktion von Cookiebot.

Was ist Google reCAPTCHA v3 und welche Daten sammelt es?

Google reCAPTCHA ist ein Dienst, der automatisierten Traffic von echten Besucher:innen unterscheidet. Während reCAPTCHA v2 Nutzer:innen noch aktiv aufforderte, ein Bild auszuwählen oder eine Checkbox anzuklicken, läuft v3 vollständig im Hintergrund. Keine sichtbare Interaktion, kein Hinweis darauf, dass überhaupt etwas passiert.

Das klingt zunächst nach einer besseren Nutzererfahrung. Aus Datenschutzsicht ist es jedoch das Gegenteil.

reCAPTCHA v3 analysiert das Verhalten von Besucher:innen auf Ihrer Website und berechnet einen Risikowert (Score zwischen 0.0 und 1.0), der angibt, ob es sich um einen Menschen oder einen Bot handelt. Für diese Analyse überträgt reCAPTCHA eine Vielzahl personenbezogener Daten an Google-Server, unter anderem:

Ist eine Nutzerin oder ein Nutzer in einem Google-Konto eingeloggt, können diese Daten mit dem gesamten Google-Profil verknüpft werden. Und Google empfiehlt, den reCAPTCHA v3-Code nicht nur auf Formularen, sondern auf allen Unterseiten der Website einzubinden, um genauere Scores zu erzielen. Das bedeutet: reCAPTCHA beobachtet das gesamte Surfverhalten auf Ihrer Website, nicht nur den Moment der Formularabsendung.

Warum v3 datenschutzsensibler ist als v2

Bei reCAPTCHA v2 wussten Nutzer:innen zumindest, dass etwas passiert. Das Häkchen oder das Bilderrätsel war sichtbar. Bei v3 gibt es keinen solchen Hinweis. Das Skript läuft ab dem Seitenaufruf im Hintergrund, sammelt Daten und überträgt sie an Google, ohne dass Besucher:innen dies bemerken oder beeinflussen können. Das macht v3 nicht nur technisch invasiver, sondern auch rechtlich problematischer: Fehlende Transparenz kann einen eigenständigen DSGVO-Verstoß darstellen.

Ist Google reCAPTCHA v3 DSGVO-konform?

Kurz gesagt: Nein, jedenfalls nicht ohne zusätzliche Maßnahmen.

Drei konkrete Probleme machen reCAPTCHA v3 im Standardzustand nicht DSGVO-konform:

Reales Bußgeldrisiko: Die CNIL bestrafte Cityscoot mit 125.000 Euro

Dass reCAPTCHA kein theoretisches Datenschutzproblem ist, zeigt ein konkreter Enforcement-Fall aus Frankreich. Die französische Datenschutzbehörde CNIL verhängte am 16. März 2023 eine Strafe von 125.000 Euro gegen das E-Roller-Unternehmen Cityscoot. Ein Teil der Beanstandungen betraf direkt den Einsatz von Google reCAPTCHA: Das Unternehmen hatte reCAPTCHA bei der Kontoerstellung, beim Login und bei der Passwortwiederherstellung eingesetzt, ohne Nutzer:innen über die Datenerhebung zu informieren und deren Einwilligung einzuholen.

Die Entscheidung wurde in Zusammenarbeit mit den spanischen und italienischen Datenschutzbehörden getroffen. Das österreichische Bundesverwaltungsgericht kam 2024 zu einem ähnlichen Schluss: Webseitenbetreiber:innen können sich für den Einsatz von reCAPTCHA nicht auf berechtigte Interessen als Rechtsgrundlage berufen, wenn das Tool für den Betrieb der Website nicht technisch unbedingt erforderlich ist.

Das bedeutet: Es reicht nicht, auf Google zu zeigen. Wer reCAPTCHA auf seiner Website einsetzt, ist als Webseitenbetreiber:in selbst verantwortlich für Einholung und Nachweis der Einwilligung.

In 4 Schritten zu einem DSGVO-konformen reCAPTCHA v3-Einsatz

Schritt 1: reCAPTCHA blockieren, bis die Einwilligung vorliegt

Das ist der technisch kritischste Schritt. reCAPTCHA v3 darf erst dann laden, wenn Besucher:innen aktiv zugestimmt haben. Ohne diese Blockierung werden Daten übertragen, bevor Consent überhaupt möglich war.

Mit Cookiebot wird reCAPTCHA automatisch als Drittanbieter-Dienst erkannt und in die Kategorie „Marketing" oder „Statistik" eingeordnet. Das Skript wird technisch blockiert, bis Nutzer:innen im Cookie-Banner ihre Einwilligung erteilen. Es ist keine manuelle Code-Anpassung erforderlich. Mehr dazu im letzten Abschnitt dieses Artikels.

Schritt 2: Datenschutzerklärung um reCAPTCHA ergänzen

Ihre Datenschutzerklärung muss einen eigenen Abschnitt zu Google reCAPTCHA enthalten. Darin müssen folgende Informationen stehen:

Ohne diese Angaben in der Datenschutzerklärung ist der Einsatz von reCAPTCHA selbst dann rechtswidrig, wenn die technische Blockierung korrekt eingerichtet ist.

Schritt 3: reCAPTCHA in Ihre Cookie-Deklaration aufnehmen

Neben der Datenschutzerklärung muss reCAPTCHA auch in Ihrer Cookie-Deklaration erscheinen, also in der Liste aller Dienste und Cookies, die Ihre Website einsetzt. Cookiebot erkennt reCAPTCHA beim automatischen Scan und fügt es der Deklaration hinzu, inklusive Zweck, Laufzeit und Drittanbieter. Diese Liste wird bei jedem neuen Scan aktualisiert.

Schritt 4: Kontextuelle Einbindung statt seitenweiter Ausführung prüfen

Google empfiehlt, reCAPTCHA v3 auf allen Seiten einzubinden. Aus Datenschutzsicht ist das problematisch. Prüfen Sie, ob es ausreicht, reCAPTCHA nur dort zu laden, wo es tatsächlich benötigt wird, also auf Kontaktformularen, Login-Seiten oder Bestellprozessen. Eine kontextuelle Einbindung reduziert das Datenvolumen und macht es einfacher, den Bezug zwischen der Einwilligung und dem konkreten Nutzungskontext herzustellen.

Hinweis für WordPress-Nutzer:innen: Viele Kontaktformular-Plugins wie Contact Form 7 oder WPForms binden reCAPTCHA automatisch seitenweit ein. Prüfen Sie die Einstellungen Ihres Plugins und nutzen Sie die Cookiebot-Blockierungsfunktion, um die Kontrolle zurückzugewinnen.

reCAPTCHA v3 vs. v2: Welche Version ist leichter DSGVO-konform zu gestalten?

Beide Versionen erfordern eine Einwilligung, da beide personenbezogene Daten übertragen. Der Unterschied liegt in der Transparenz:

Bei reCAPTCHA v2 sehen Nutzer:innen eine sichtbare Interaktion (Checkbox oder Bilderrätsel). Das schafft zumindest eine gewisse Bewusstheit dafür, dass ein Drittanbieter-Dienst aktiv ist. Die Einwilligungslogik kann mit einem vorgeschalteten Platzhalter oder einer Zwei-Klick-Lösung sauber umgesetzt werden.

Bei reCAPTCHA v3 läuft alles unsichtbar im Hintergrund. Das macht die DSGVO-konforme Einbindung technisch anspruchsvoller, da es keine natürliche Nutzerinteraktion gibt, an die eine Einwilligung angehängt werden könnte. Die einzige zuverlässige Lösung ist die vollständige Blockierung des Skripts über ein Consent Management Tool bis zur aktiven Zustimmung.

Aus Datenschutzsicht kann reCAPTCHA v2 daher in manchen Fällen einfacher umzusetzen sein, weil der Zeitpunkt der Aktivierung klarer erkennbar ist.

DSGVO-konforme Alternativen zu Google reCAPTCHA

Wer den Aufwand vermeiden oder die Abhängigkeit von Google reduzieren möchte, findet europäische Alternativen:

Friendly Captcha ist eine datenschutzfreundliche Alternative aus Deutschland. Es verwendet einen Proof-of-Work-Mechanismus, setzt keine Tracking-Cookies, überträgt keine Daten in die USA und speichert keine personenbezogenen Daten. Die Lösung ist DSGVO-konform ohne zusätzliche Einwilligung und lässt sich in WordPress, TYPO3 und andere CMS integrieren.

hCaptcha erhebt nach eigenen Angaben nur die für die Bot-Erkennung notwendigen Daten und bietet strengere Datenschutzoptionen als Google reCAPTCHA. Da hCaptcha jedoch in den USA ansässig ist, bleibt das Thema Drittlandübermittlung relevant und sollte in der Datenschutzerklärung adressiert werden.

Für Websites, bei denen Datenschutz oberste Priorität hat, beispielsweise im Gesundheits- oder Finanzbereich, ist Friendly Captcha derzeit die empfehlenswerteste Option.

Wie Cookiebot Google reCAPTCHA automatisch blockiert

Wenn Sie Google reCAPTCHA auf Ihrer Website einsetzen, ob im Kontaktformular, auf der Login-Seite oder im Checkout, dann sammelt dieses Skript bereits beim Seitenaufruf Daten über Ihre Besucher:innen und überträgt sie an Google. Ohne aktive Blockierung passiert das, bevor Ihr Cookie-Banner überhaupt erschienen ist.

Cookiebot erkennt reCAPTCHA beim automatischen Website-Scan als Drittanbieter-Dienst und blockiert das zugehörige Skript technisch, bis Nutzer:innen im Consent Banner aktiv zugestimmt haben. Lehnen Besucher:innen die entsprechende Kategorie ab oder schließen das Banner ohne Auswahl, bleibt reCAPTCHA blockiert. Erst nach erteilter Einwilligung wird es geladen.