{"id":6563,"date":"2026-03-16T19:30:07","date_gmt":"2026-03-16T18:30:07","guid":{"rendered":"https:\/\/www.cookiebot.com\/de\/?p=6563"},"modified":"2026-03-16T19:31:56","modified_gmt":"2026-03-16T18:31:56","slug":"google-recaptcha-dsgvo","status":"publish","type":"post","link":"https:\/\/www.cookiebot.com\/de\/google-recaptcha-dsgvo\/","title":{"rendered":"Google reCAPTCHA DSGVO: So machen Sie reCAPTCHA v3 datenschutzkonform"},"content":{"rendered":"\n

Viele Websites nutzen Google reCAPTCHA, um Formulare vor Spam und Bots zu sch\u00fctzen. Doch besonders reCAPTCHA v3 stellt aus Datenschutzsicht ein Problem dar. reCAPTCHA v3 l\u00e4uft unsichtbar im Hintergrund und sammelt Daten \u00fcber Besucher:innen, bevor diese \u00fcberhaupt wissen, dass das Tool aktiv ist. F\u00fcr Websitebetreiber:innen in Deutschland und der EU stellt das ein Risiko dar. Denn laut DSGVO und TTDSG d\u00fcrfen viele Tracking-Technologien erst aktiviert werden, nachdem Nutzer:innen ihre Einwilligung gegeben haben.<\/p>\n\n\n\n

In diesem Artikel erfahren Sie, welche Daten reCAPTCHA v3 tats\u00e4chlich erfasst, warum es im Standardbetrieb nicht DSGVO-konform ist und mit welchen vier konkreten Schritten Sie das \u00e4ndern k\u00f6nnen, einschlie\u00dflich der automatischen Blockierungsfunktion von Cookiebot.<\/p>\n\n\n\n

Was ist Google reCAPTCHA v3 und welche Daten sammelt es?<\/h2>\n\n\n\n

Google reCAPTCHA ist ein Dienst, der automatisierten Traffic von echten Besucher:innen unterscheidet. W\u00e4hrend reCAPTCHA v2 Nutzer:innen noch aktiv aufforderte, ein Bild auszuw\u00e4hlen oder eine Checkbox anzuklicken, l\u00e4uft v3 vollst\u00e4ndig im Hintergrund. Keine sichtbare Interaktion, kein Hinweis darauf, dass \u00fcberhaupt etwas passiert.<\/p>\n\n\n\n

Das klingt zun\u00e4chst nach einer besseren Nutzererfahrung. Aus Datenschutzsicht ist es jedoch das Gegenteil.<\/p>\n\n\n\n

reCAPTCHA v3 analysiert das Verhalten von Besucher:innen auf Ihrer Website und berechnet einen Risikowert (Score zwischen 0.0 und 1.0), der angibt, ob es sich um einen Menschen oder einen Bot handelt. F\u00fcr diese Analyse \u00fcbertr\u00e4gt reCAPTCHA eine Vielzahl personenbezogener Daten an Google-Server, unter anderem:<\/p>\n\n\n\n

\n
\n
\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

IP-Adresse<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Mausbewegungen, Klicks und Scrollverhalten<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Tastatureingaben<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Browser- und Betriebssystemdaten<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Spracheinstellungen und Bildschirmaufl\u00f6sung<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Bereits vorhandene Google-Cookies (z. B. von YouTube oder Gmail)<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Einen Screenshot des Browserfensters<\/p>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n\n

Ist eine Nutzerin oder ein Nutzer in einem Google-Konto eingeloggt, k\u00f6nnen diese Daten mit dem gesamten Google-Profil verkn\u00fcpft werden. Und Google empfiehlt, den reCAPTCHA v3-Code nicht nur auf Formularen, sondern auf allen Unterseiten der Website einzubinden, um genauere Scores zu erzielen. Das bedeutet: reCAPTCHA beobachtet das gesamte Surfverhalten auf Ihrer Website, nicht nur den Moment der Formularabsendung.<\/p>\n\n\n\n

Warum v3 datenschutzsensibler ist als v2<\/h3>\n\n\n\n

Bei reCAPTCHA v2 wussten Nutzer:innen zumindest, dass etwas passiert. Das H\u00e4kchen oder das Bilderr\u00e4tsel war sichtbar. Bei v3 gibt es keinen solchen Hinweis. Das Skript l\u00e4uft ab dem Seitenaufruf im Hintergrund, sammelt Daten und \u00fcbertr\u00e4gt sie an Google, ohne dass Besucher:innen dies bemerken oder beeinflussen k\u00f6nnen. Das macht v3 nicht nur technisch invasiver, sondern auch rechtlich problematischer: Fehlende Transparenz kann einen eigenst\u00e4ndigen DSGVO-Versto\u00df darstellen.<\/p>\n\n\n\n

Ist Google reCAPTCHA v3 DSGVO-konform?<\/h2>\n\n\n\n

Kurz gesagt: Nein, jedenfalls nicht ohne zus\u00e4tzliche Ma\u00dfnahmen.<\/p>\n\n\n\n

Drei konkrete Probleme machen reCAPTCHA v3 im Standardzustand nicht DSGVO-konform:<\/p>\n\n\n\n

\n
\n
\n
\n
\n 1 <\/div>\n <\/div>\n\n
\n
\n

reCAPTCHA \u00fcbertr\u00e4gt personenbezogene Daten auf Google-Server in den Vereinigten Staaten. Nach dem Schrems-II-Urteil des EuGH (2020) sind solche \u00dcbermittlungen ohne geeignete Schutzma\u00dfnahmen unzul\u00e4ssig. Das EU-US Data Privacy Framework bietet seit 2023 eine neue Grundlage, wird jedoch von Datenschutzbeh\u00f6rden weiterhin kritisch beobachtet.<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n 2 <\/div>\n <\/div>\n\n
\n
\n

Google legt nicht offen, welche Daten reCAPTCHA genau erhebt, wie lange sie gespeichert werden und zu welchen Zwecken sie genutzt werden. Diese Intransparenz verst\u00f6\u00dft gegen die Informationspflichten aus Art. 13 DSGVO.<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n 3 <\/div>\n <\/div>\n\n
\n
\n

reCAPTCHA v3 startet die Datenerfassung sofort beim Laden der Seite, noch bevor Besucher:innen irgendeine Entscheidung getroffen haben. Das widerspricht dem Grundprinzip der DSGVO: Einwilligung vor Verarbeitung, nicht danach.<\/p>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n\n

Reales Bu\u00dfgeldrisiko: Die CNIL bestrafte Cityscoot mit 125.000 Euro<\/h2>\n\n\n\n

Dass reCAPTCHA kein theoretisches Datenschutzproblem ist, zeigt ein konkreter Enforcement-Fall aus Frankreich. Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL verh\u00e4ngte am 16. M\u00e4rz 2023 eine Strafe von 125.000 Euro gegen das E-Roller-Unternehmen Cityscoot. Ein Teil der Beanstandungen betraf direkt den Einsatz von Google reCAPTCHA: Das Unternehmen hatte reCAPTCHA bei der Kontoerstellung, beim Login und bei der Passwortwiederherstellung eingesetzt, ohne Nutzer:innen \u00fcber die Datenerhebung zu informieren und deren Einwilligung einzuholen.<\/p>\n\n\n\n

Die Entscheidung wurde in Zusammenarbeit mit den spanischen und italienischen Datenschutzbeh\u00f6rden getroffen. Das \u00f6sterreichische Bundesverwaltungsgericht kam 2024 zu einem \u00e4hnlichen Schluss: Webseitenbetreiber:innen k\u00f6nnen sich f\u00fcr den Einsatz von reCAPTCHA nicht auf berechtigte Interessen als Rechtsgrundlage berufen, wenn das Tool f\u00fcr den Betrieb der Website nicht technisch unbedingt erforderlich ist.<\/p>\n\n\n\n

Das bedeutet: Es reicht nicht, auf Google zu zeigen. Wer reCAPTCHA auf seiner Website einsetzt, ist als Webseitenbetreiber:in selbst verantwortlich f\u00fcr Einholung und Nachweis der Einwilligung.<\/p>\n\n\n\n

In 4 Schritten zu einem DSGVO-konformen reCAPTCHA v3-Einsatz<\/h2>\n\n\n\n

Schritt 1: reCAPTCHA blockieren, bis die Einwilligung vorliegt<\/h3>\n\n\n\n

Das ist der technisch kritischste Schritt. reCAPTCHA v3 darf erst dann laden, wenn Besucher:innen aktiv zugestimmt haben. Ohne diese Blockierung werden Daten \u00fcbertragen, bevor Consent \u00fcberhaupt m\u00f6glich war.<\/p>\n\n\n\n

Mit Cookiebot wird reCAPTCHA automatisch als Drittanbieter-Dienst erkannt und in die Kategorie \u201eMarketing\" oder \u201eStatistik\" eingeordnet. Das Skript wird technisch blockiert, bis Nutzer:innen im Cookie-Banner ihre Einwilligung erteilen. Es ist keine manuelle Code-Anpassung erforderlich. Mehr dazu im letzten Abschnitt dieses Artikels.<\/p>\n\n\n\n

Schritt 2: Datenschutzerkl\u00e4rung um reCAPTCHA erg\u00e4nzen<\/h3>\n\n\n\n

Ihre Datenschutzerkl\u00e4rung muss einen eigenen Abschnitt zu Google reCAPTCHA enthalten. Darin m\u00fcssen folgende Informationen stehen:<\/p>\n\n\n\n

\n
\n
\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Welche Daten reCAPTCHA erfasst (IP-Adresse, Verhaltensdaten, Cookies)<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Dass diese Daten an Google in die USA \u00fcbertragen werden<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Die Rechtsgrundlage der Verarbeitung (Einwilligung gem\u00e4\u00df Art. 6 Abs. 1 lit. a DSGVO)<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Wie Nutzer:innen ihre Einwilligung widerrufen k\u00f6nnen<\/p>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n \n\n<\/svg>\n <\/div>\n <\/div>\n\n
\n
\n

Ein Verweis auf die Datenschutzrichtlinie von Google<\/p>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n\n

Ohne diese Angaben in der Datenschutzerkl\u00e4rung ist der Einsatz von reCAPTCHA selbst dann rechtswidrig, wenn die technische Blockierung korrekt eingerichtet ist.<\/p>\n\n\n\n

Schritt 3: reCAPTCHA in Ihre Cookie-Deklaration aufnehmen<\/h3>\n\n\n\n

Neben der Datenschutzerkl\u00e4rung muss reCAPTCHA auch in Ihrer Cookie-Deklaration erscheinen, also in der Liste aller Dienste und Cookies, die Ihre Website einsetzt. Cookiebot erkennt reCAPTCHA beim automatischen Scan und f\u00fcgt es der Deklaration hinzu, inklusive Zweck, Laufzeit und Drittanbieter. Diese Liste wird bei jedem neuen Scan aktualisiert.<\/p>\n\n\n\n

Schritt 4: Kontextuelle Einbindung statt seitenweiter Ausf\u00fchrung pr\u00fcfen<\/h3>\n\n\n\n

Google empfiehlt, reCAPTCHA v3 auf allen Seiten einzubinden. Aus Datenschutzsicht ist das problematisch. Pr\u00fcfen Sie, ob es ausreicht, reCAPTCHA nur dort zu laden, wo es tats\u00e4chlich ben\u00f6tigt wird, also auf Kontaktformularen, Login-Seiten oder Bestellprozessen. Eine kontextuelle Einbindung reduziert das Datenvolumen und macht es einfacher, den Bezug zwischen der Einwilligung und dem konkreten Nutzungskontext herzustellen.<\/p>\n\n\n\n

Hinweis f\u00fcr WordPress-Nutzer:innen: Viele Kontaktformular-Plugins wie Contact Form 7 oder WPForms binden reCAPTCHA automatisch seitenweit ein. Pr\u00fcfen Sie die Einstellungen Ihres Plugins und nutzen Sie die Cookiebot-Blockierungsfunktion, um die Kontrolle zur\u00fcckzugewinnen.<\/p>\n\n\n\n

reCAPTCHA v3 vs. v2: Welche Version ist leichter DSGVO-konform zu gestalten?<\/h2>\n\n\n\n

Beide Versionen erfordern eine Einwilligung, da beide personenbezogene Daten \u00fcbertragen. Der Unterschied liegt in der Transparenz:<\/p>\n\n\n\n

Bei reCAPTCHA v2<\/strong> sehen Nutzer:innen eine sichtbare Interaktion (Checkbox oder Bilderr\u00e4tsel). Das schafft zumindest eine gewisse Bewusstheit daf\u00fcr, dass ein Drittanbieter-Dienst aktiv ist. Die Einwilligungslogik kann mit einem vorgeschalteten Platzhalter oder einer Zwei-Klick-L\u00f6sung sauber umgesetzt werden.<\/p>\n\n\n\n

Bei reCAPTCHA v3<\/strong> l\u00e4uft alles unsichtbar im Hintergrund. Das macht die DSGVO-konforme Einbindung technisch anspruchsvoller, da es keine nat\u00fcrliche Nutzerinteraktion gibt, an die eine Einwilligung angeh\u00e4ngt werden k\u00f6nnte. Die einzige zuverl\u00e4ssige L\u00f6sung ist die vollst\u00e4ndige Blockierung des Skripts \u00fcber ein Consent Management Tool bis zur aktiven Zustimmung.<\/p>\n\n\n\n

Aus Datenschutzsicht kann reCAPTCHA v2 daher in manchen F\u00e4llen einfacher umzusetzen sein, weil der Zeitpunkt der Aktivierung klarer erkennbar ist.<\/p>\n\n\n\n

DSGVO-konforme Alternativen zu Google reCAPTCHA<\/h2>\n\n\n\n

Wer den Aufwand vermeiden oder die Abh\u00e4ngigkeit von Google reduzieren m\u00f6chte, findet europ\u00e4ische Alternativen:<\/p>\n\n\n\n

Friendly Captcha<\/strong> ist eine datenschutzfreundliche Alternative aus Deutschland. Es verwendet einen Proof-of-Work-Mechanismus, setzt keine Tracking-Cookies, \u00fcbertr\u00e4gt keine Daten in die USA und speichert keine personenbezogenen Daten. Die L\u00f6sung ist DSGVO-konform ohne zus\u00e4tzliche Einwilligung und l\u00e4sst sich in WordPress, TYPO3 und andere CMS integrieren.<\/p>\n\n\n\n

hCaptcha<\/strong> erhebt nach eigenen Angaben nur die f\u00fcr die Bot-Erkennung notwendigen Daten und bietet strengere Datenschutzoptionen als Google reCAPTCHA. Da hCaptcha jedoch in den USA ans\u00e4ssig ist, bleibt das Thema Drittland\u00fcbermittlung relevant und sollte in der Datenschutzerkl\u00e4rung adressiert werden.<\/p>\n\n\n\n

F\u00fcr Websites, bei denen Datenschutz oberste Priorit\u00e4t hat, beispielsweise im Gesundheits- oder Finanzbereich, ist Friendly Captcha derzeit die empfehlenswerteste Option.<\/p>\n\n\n\n

Wie Cookiebot Google reCAPTCHA automatisch blockiert<\/h2>\n\n\n\n

Wenn Sie Google reCAPTCHA auf Ihrer Website einsetzen, ob im Kontaktformular, auf der Login-Seite oder im Checkout, dann sammelt dieses Skript bereits beim Seitenaufruf Daten \u00fcber Ihre Besucher:innen und \u00fcbertr\u00e4gt sie an Google. Ohne aktive Blockierung passiert das, bevor Ihr Cookie-Banner \u00fcberhaupt erschienen ist.<\/p>\n\n\n\n

Cookiebot erkennt reCAPTCHA beim automatischen Website-Scan als Drittanbieter-Dienst und blockiert das zugeh\u00f6rige Skript technisch, bis Nutzer:innen im Consent Banner aktiv zugestimmt haben. Lehnen Besucher:innen die entsprechende Kategorie ab oder schlie\u00dfen das Banner ohne Auswahl, bleibt reCAPTCHA blockiert. Erst nach erteilter Einwilligung wird es geladen.<\/p>\n\n\n

\n
\n
\n
\n

\n Jetzt Cookiebot 14 Tage kostenlos testen <\/h2>\n <\/div>\n
\n
\n
\n \nJetzt kostenlos starten<\/span><\/a>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Viele Websites nutzen Google reCAPTCHA, um Formulare vor Spam und Bots zu sch\u00fctzen. Doch besonders reCAPTCHA v3 stellt aus Datenschutzsicht ein Problem dar. reCAPTCHA v3 l\u00e4uft unsichtbar im Hintergrund und sammelt Daten \u00fcber Besucher:innen, bevor diese \u00fcberhaupt wissen, dass das Tool aktiv ist. F\u00fcr Websitebetreiber:innen in Deutschland und der EU stellt das ein Risiko dar. […]<\/p>\n","protected":false},"author":28,"featured_media":6566,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":true,"editor_notices":[],"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6563","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"thumbnail_status":false,"thumbnail_url":"https:\/\/www.cookiebot.com\/de\/wp-content\/uploads\/sites\/2\/2026\/03\/Google-reCAPTCHA-DSGVO_SoMe.jpg","_links":{"self":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts\/6563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/comments?post=6563"}],"version-history":[{"count":0,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts\/6563\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/media\/6566"}],"wp:attachment":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/media?parent=6563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/categories?post=6563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/tags?post=6563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}