Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

reCAPTCHA

Was macht Google reCAPTCHA?

Google reCAPTCHA ist ein kostenloser Bot- und Spam-Schutz-Dienst von Google, der durch Challenge-Tests (v2) oder unsichtbare Verhaltensanalyse (v3) verifiziert, dass Nutzer Menschen sind. Es setzt Google-Cookies und sendet Browser-Fingerprinting-Daten an Googles US-Server. Europäische Datenschutzbehörden und Gerichte haben die DSGVO-Konformität von reCAPTCHA aufgrund seiner persistenten Google-Cookies und undurchsichtigen Datenverarbeitung hinterfragt. hCaptcha und Cloudflare Turnstile sind datenschutzfreundliche Alternativen.

Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein kostenloser CAPTCHA-Dienst von Google, der Websites vor Bots und Spam schützt. reCAPTCHA v2 präsentiert sichtbare Challenges (Checkbox und Bildauswahl). reCAPTCHA v3 arbeitet unsichtbar im Hintergrund und weist jeder Nutzersitzung ohne sichtbare Interaktion einen Risikowert zu. reCAPTCHA Enterprise bietet erweiterte Datenschutzkontrollen für größere Deployments.

DSGVO-Bedenken: Cookies und Datenverarbeitung

reCAPTCHA setzt mehrere Google-Cookies (NID, _GRECAPTCHA) und sendet Browser-Fingerprinting-Daten an Google. Gemäß der ePrivacy-Richtlinie erfordert das Setzen nicht notwendiger Cookies auf Nutzergeräten eine Einwilligung. Die Landesbeauftragte für den Datenschutz Baden-Württemberg hat konkret Bedenken zur DSGVO-Konformität von reCAPTCHA geäußert. Die zentrale Spannung: reCAPTCHA ist eine Sicherheitsmaßnahme (berechtigtes Interesse), setzt aber Cookies, die möglicherweise für Google-Werbezwecke genutzt werden (erfordert Einwilligung).

reCAPTCHA v3 und Transparenz

reCAPTCHA v3 bringt besondere DSGVO-Herausforderungen mit sich: Es läuft unsichtbar auf jeder Seite ohne Nutzerinteraktion, Nutzer können sich nicht abmelden oder eine alternative Challenge abschließen, und die an Google gesendeten Daten zur Bewertung werden nicht vollständig offengelegt. Das DSGVO-Transparenzprinzip erfordert eine klare Offenlegung aller Datenverarbeitungen. Wenn reCAPTCHA v3 siteübergreifend eingesetzt wird, müssen Nutzer in der Datenschutzerklärung informiert werden.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

DSGVO-konforme Alternativen

hCaptcha ist eine datenschutzorientierte CAPTCHA-Alternative, die Googles Infrastruktur nicht nutzt und klarere DSGVO-Bedingungen bietet. Cloudflare Turnstile ist eine CAPTCHA-freie Challenge, die die Datenerhebung minimiert. Beide bieten Bot-Schutz ohne Googles Datenweitergabebedenken. Für nicht öffentliche Formulare bieten Honeypot-Techniken Bot-Schutz ohne jegliche Datenerhebung.

Praktische Compliance-Schritte

Offenbaren Sie reCAPTCHA in Ihrer Datenschutzerklärung einschließlich Googles Datenverarbeitung und US-Transfer. Unterzeichnen Sie Googles Datenverarbeitungsvereinbarung. Überlegen Sie, ob berechtigtes Interesse den Sicherheits-Anwendungsfall abdeckt oder ob eine Einwilligung erforderlich ist. Für v3: siteübergreifende Offenlegung sicherstellen. Erwägen Sie einen Wechsel zu hCaptcha oder Cloudflare Turnstile für einfachere DSGVO-Konformität.

GDPR consent category

Essenziell

Websites using Google reCAPTCHA must obtain user consent under GDPR regulations.

Legal basisThe legal basis for reCAPTCHA is contested in Europe. Legitimate interest (Art. 6(1)(f)) may support bot prevention as a security measure, but reCAPTCHA also sets persistent Google cookies (NID, _GRECAPTCHA) on user devices. Under the ePrivacy Directive, setting non-essential cookies requires consent. The German DPA and others have questioned reCAPTCHA's GDPR compliance. hCaptcha is a privacy-focused alternative.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, SCCs for US transfers. reCAPTCHA v3 runs invisibly and raises particular transparency concerns.

DPIA considerations

Eine DSFA ist für Standard-reCAPTCHA-Sicherheitsimplementierungen in der Regel nicht erforderlich. reCAPTCHA v3 läuft jedoch unsichtbar auf allen Seiten, was eine umfassendere Überwachung darstellt, die eine Risikobewertung rechtfertigen könnte, insbesondere wenn Google die Daten für Werbezwecke über die Bot-Erkennung hinaus verwendet.

Sample consent text

Diese Website verwendet Google reCAPTCHA zum Schutz von Formularen vor Spam und Missbrauch. reCAPTCHA verwendet Cookies und sendet Daten an Google in den USA zur Sicherheitsanalyse. Durch die Nutzung von Formularen auf dieser Website akzeptieren Sie die Datenverarbeitung durch Google reCAPTCHA.

Technical details

Tracking methodJavaScript widget, browser fingerprinting, behavioural analysis, risk scoring, Google account signals, persistent cookies

Server locationUnited States (Google infrastructure)

Data transferred outside the EUGoogle reCAPTCHA (v2 and v3) processes visitor browser data, IP addresses, cookies, and behavioural signals on Google's US infrastructure for fraud and bot detection purposes. EU personal data transfers require Standard Contractual Clauses. Google reCAPTCHA Enterprise has enhanced privacy controls.

Third-party domains contacted

www.google.comwww.gstatic.comrecaptcha.net

Cookies placed

Name	Type	Duration	Purpose
_GRECAPTCHA	persistent	6 months	Google reCAPTCHA security token used for bot risk scoring and challenge verification

Google reCAPTCHA ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Ist für Google reCAPTCHA eine DSGVO-Einwilligung erforderlich?

Die Rechtsgrundlage ist umstritten. reCAPTCHA setzt Google-Cookies (NID, _GRECAPTCHA) auf Nutzergeräten. Gemäß ePrivacy erfordert das Setzen von Cookies eine Einwilligung. Berechtigtes Interesse kann den Sicherheits-Anwendungsfall stützen. Deutsche Datenschutzbehörden haben Bedenken geäußert. Sicherster Ansatz: reCAPTCHA nur auf Formularseiten verwenden, in der Datenschutzerklärung offenlegen und dokumentieren, ob Einwilligung oder berechtigtes Interesse gilt.

Welche Cookies setzt Google reCAPTCHA?

reCAPTCHA setzt _GRECAPTCHA (Sicherheits-Token, 6 Monate) und kann das NID-Cookie (Google-Identifikator, 6 Monate) lesen, falls bereits vorhanden. Dies sind Google-Cookies, die auf dem Gerät des Nutzers gespeichert werden und eine ePrivacy-Rechtsgrundlage erfordern.

Was ist der Unterschied zwischen reCAPTCHA v2 und v3 in Bezug auf die DSGVO?

reCAPTCHA v2: sichtbare Challenge auf bestimmten Seiten (Checkbox oder Bild), wird nur ausgelöst, wenn der Nutzer mit dem Formular interagiert. reCAPTCHA v3: läuft unsichtbar bei jedem Seitenaufruf ohne Nutzerinteraktion. v3 wirft stärkere DSGVO-Bedenken aufgrund der siteübergreifenden Überwachung ohne Nutzerbewusstsein auf.

Überträgt reCAPTCHA Daten in die USA?

Ja. Die gesamte reCAPTCHA-Verarbeitung erfolgt auf Googles US-Infrastruktur. SCCs sind erforderlich. Akzeptieren Sie die reCAPTCHA-Bedingungen von Google, die Datenverarbeitungsbedingungen enthalten. Offenbaren Sie den US-Transfer in Ihrer Datenschutzerklärung.

Was sind DSGVO-konforme Alternativen zu Google reCAPTCHA?

hCaptcha: datenschutzorientiertes CAPTCHA mit klareren DSGVO-Bedingungen, keine Google-Datenweitergabe. Cloudflare Turnstile: CAPTCHA-freie Challenge mit minimaler Datenerhebung, EU-Option verfügbar. Honeypot-Technik: unsichtbares verstecktes Formularfeld, das nur Bots ausfüllen, keine Datenerhebung. Alle drei bieten Bot-Schutz ohne Googles Datenweitergabebedenken.

Ist reCAPTCHA v3 für die Transparenz unter der DSGVO problematisch?

Ja. reCAPTCHA v3 läuft unsichtbar auf jeder Seite ohne Nutzerbewusstsein. Das Transparenzprinzip der DSGVO erfordert eine klare Offenlegung aller Datenverarbeitungen. Wenn es siteübergreifend eingesetzt wird, müssen Besucher klar darüber informiert werden, dass ihr Browseverhalten von Google für Sicherheitszwecke analysiert wird.

Behebt reCAPTCHA Enterprise DSGVO-Probleme?

reCAPTCHA Enterprise bietet erweiterte Datenschutzkontrollen, darunter die Möglichkeit, keine Daten für Werbezwecke an Google zu senden, und klarere vertragliche Bedingungen. Es ist DSGVO-konformer als Standard-reCAPTCHA, beinhaltet aber weiterhin US-Datentransfers und Google-Verarbeitung. Konsultieren Sie Ihren Datenschutzbeauftragten.

Wie offenbare ich reCAPTCHA in meiner Datenschutzerklärung?

Geben Sie an: dass Formulare auf der Website durch Google reCAPTCHA geschützt sind, dass reCAPTCHA Hardware- und Softwareinformationen sowie Verhaltensdaten sammelt und an Google zur Analyse sendet, dass diese Daten in den USA unter SCCs verarbeitet werden, und verlinken Sie auf die Datenschutzerklärung und Nutzungsbedingungen von Google.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note