Google ändert datenschutzrechtliche Rolle bei reCAPTCHA
Ab dem 2. April 2026 wechselt Google bei seinem Bot-Schutzdienst reCAPTCHA von der Rolle des Verantwortlichen (Data Controller) in die des Auftragsverarbeiters (Data Processor). Dies hat unmittelbare Konsequenzen für alle Websitebetreiber, die reCAPTCHA einsetzen: Sie werden künftig selbst zum datenschutzrechtlichen Verantwortlichen im Sinne der DSGVO. Darüber hat Google die relevanten Nutzerkreise sowohl per E-Mail als auch über einen entsprechenden Blogbeitrag informiert.
Was sich ändert
Die Datenverarbeitung durch reCAPTCHA wird ab April 2026 nicht mehr unter Googles allgemeiner Datenschutzerklärung und Nutzungsbedingungen erfolgen, sondern auf Grundlage des Google Cloud Data Processing Addendum. Die bisherigen Verweise auf Googles Datenschutzrichtlinie im reCAPTCHA-Badge werden von Google selbst entfernt. Websitebetreiber, die diese Verweise zusätzlich eigenständig in ihre Datenschutzdokumentationen oder Webseiten integriert haben, werden aufgefordert, diese ebenfalls zu entfernen.
Handlungsbedarf für Verantwortliche
Datenschutzbeauftragte und Websitebetreiber sollten prüfen, ob und wo Verweise auf Googles Datenschutzerklärung im Zusammenhang mit reCAPTCHA bestehen – etwa in Cookie-Hinweisen, Datenschutzerklärungen oder im Quellcode. Diese Verweise sind nach dem 2. April 2026 inhaltlich nicht mehr zutreffend. Darüber hinaus empfiehlt sich die Prüfung, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO mit Google abzuschließen bzw. zu aktualisieren ist.
Kritische Einordnung aus der Community
In der Diskussion zum Blogbeitrag weisen Datenschutzpraktiker auf eine strukturelle Spannung hin: Obwohl Websitebetreiber formal die Rolle des Verantwortlichen übernehmen, bleiben Zweck und Mittel der Verarbeitung durch Google weitgehend vorgegeben. Die Frage, inwieweit eine echte Weisungsbefugnis gegenüber Google im Rahmen des standardisierten Vertragswerks besteht, bleibt offen. Google hat angekündigt, die zugehörige Dokumentation vor dem 2. April 2026 zu aktualisieren.
(Foto: Rokas – stock.adobe.com)
Das könnte Sie auch interessieren
-
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren -
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren
