reCAPTCHA-Umstellung am 2. April

reCAPTCHA-Umstellung am 2. April

Ab dem 2. April 2026 ändert Google reCAPTCHA seine Rolle und macht Sie als Websitebetreiber alleinverantwortlich für alle erfassten Daten. Ihre Datenschutzerklärung und die Rechtsgrundlage müssen dringend angepasst werden, um DSGVO-Verstöße und empfindliche Bußgelder zu verhindern. Handeln Sie jetzt, bevor die Frist abläuft.

Dennis Schwenker-Sanders 13 Min. Lesezeit

Was Websitebetreiber jetzt in ihrer Datenschutzerklärung ändern müssen

Die E-Mail von Google landete in den letzten Wochen bei tausenden Websitebetreibern im Postfach. Betreff: "reCAPTCHA ändert seine Rolle". Klingt nach technischem Detail, ist aber eine fundamentale rechtliche Änderung mit konkreten To-Dos bis zum 2. April 2026.

Was passiert? Google wechselt bei reCAPTCHA vom Verantwortlichen zum Auftragsverarbeiter (Dr. Datenschutz, März 2026). Technisch ändert sich nichts, reCAPTCHA funktioniert weiter wie bisher. Rechtlich ändert sich alles: Du als Websitebetreiber wirst alleinverantwortlich für alle über reCAPTCHA erhobenen Daten (Agentur für Digitale Medien, Datenschutz-Notizen).

Für Betriebe in Oldenburg, Ganderkesee und der Region bedeutet das: Fast jede Website mit Kontaktformularen nutzt reCAPTCHA. Das kleine "Ich bin kein Roboter"-Häkchen oder der diskrete reCAPTCHA-Badge am Bildschirmrand. Die Deadline ist in weniger als 4 Wochen. Wer nicht handelt, riskiert DSGVO-Verstöße mit Bußgeldern bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (DSGVO Art. 83).

Das Problem: Du trägst ab 2. April die volle Verantwortung

Bisher war die rechtliche Lage bei reCAPTCHA diffus. Google agierte als eigenständiger "Datenverantwortlicher" und sammelte Nutzerdaten über den Bot-Schutz (Dr. Datenschutz). Das bedeutete: Google entschied selbst, wie die Daten verarbeitet werden. Datenschützer vermuteten seit Jahren, dass diese Daten in Googles große Profiling-Töpfe fließen und für Werbezwecke genutzt werden (Heise, Techupdate).

Ab dem 2. April 2026 ist das anders. Google wird Auftragsverarbeiter (Art. 28 DSGVO), du wirst Verantwortlicher (Art. 4 Nr. 7 DSGVO). Was das konkret bedeutet:

  1. Du bist verantwortlich für die Rechtsgrundlage: Warum darf reCAPTCHA überhaupt Daten sammeln? Die meisten Datenschutzexperten sagen: Du brauchst eine Einwilligung über dein Cookie-Banner (Proliance, Dein WP Doktor).
  2. Du bist verantwortlich für die Information: Deine Datenschutzerklärung muss korrekt und aktuell beschreiben, was reCAPTCHA macht.
  3. Du bist verantwortlich für die Dokumentation: Auftragsverarbeitungsvertrag mit Google, Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren.
  4. Du trägst das Haftungsrisiko: Bei Verstößen zahlt nicht Google, sondern du.

Was passiert, wenn du nichts tust?

Die DSGVO ist seit 2018 in Kraft und die Durchsetzungspraxis zeigt keine Schwäche. Bis 2025 summieren sich die DSGVO-Bußgelder europaweit auf über 5,6 Milliarden Euro (CMS Enforcement Tracker Report). In Deutschland wurden 2025 allein 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Millionen Euro verhängt (DSGVO-Portal). Das höchste deutsche Bußgeld 2025: 45 Millionen Euro gegen Vodafone (BfDI).

Der häufigste Verstoß laut CMS Enforcement Tracker: Fehlende Rechtsgrundlage für die Datenverarbeitung. 669 Fälle mit durchschnittlich 2,9 Millionen Euro Bußgeld (ODC Legal). Genau dieser Verstoß droht, wenn reCAPTCHA ab 2. April ohne korrekte Rechtsgrundlage läuft.

Und es wird schlimmer: Seit dem BGH-Urteil vom 27. März 2025 können Mitbewerber und Verbraucherschutzverbände DSGVO-Verstöße nach dem UWG abmahnen (ODC Legal). Das heißt: Nicht nur Behörden können dich sanktionieren, sondern auch Konkurrenten können dich abmahnen. Mit Anwaltskosten und Unterlassungserklärungen.

Der Irrtum der meisten Betriebe

Aus meiner Erfahrung mit Website-Checks in der Region höre ich immer wieder:

  1. "Ich habe das Kontaktformular vor Jahren eingerichtet, das läuft doch."
  2. "Google kümmert sich um den Datenschutz bei reCAPTCHA."
  3. "Ich bin nur ein kleiner Betrieb, mich prüft niemand."

Das Problem: Die Rollenänderung macht dich vom passiven Nutzer zum aktiven Verantwortlichen. Bisher konntest du argumentieren: "Google ist verantwortlich, ich nutze nur den Dienst." Ab 2. April geht das nicht mehr. Du bist der Verantwortliche im DSGVO-Sinne (Datenschutz-Notizen).

Was viele nicht wissen: reCAPTCHA sammelt deutlich mehr als nur die IP-Adresse. Google erfasst laut Proliance unter anderem:

  1. Cookies (auch Google-Cookies der letzten 6 Monate)
  2. Mausbewegungen und Tastaturanschläge
  3. Gerätedaten und Browser-Fingerprints
  4. Screenshots des Browserfensters
  5. Bei angemeldeten Google-Nutzern: Zugriff auf bestehende Google-Profile

Das ist keine Kleinigkeit. Das ist umfangreiche Datenverarbeitung, für die du ab 2. April rechtlich einstehen musst.

Was sich konkret ändert und warum das kein vorübergehender Trend ist

Google reagiert mit der Umstellung auf jahrelange Kritik von Datenschützern und den zunehmenden regulatorischen Druck in Europa (Proliance, Heise). Die Änderung ist endgültig und betrifft alle reCAPTCHA-Installationen weltweit.

Die neue Rollenverteilung ab 2. April 2026

Bisher: Google war "Data Controller" (Datenverantwortlicher) und entschied selbst über Zweck und Mittel der Datenverarbeitung.

Ab 2. April: Google wird "Data Processor" (Auftragsverarbeiter) und verarbeitet Daten nur noch auf deine Weisung (Techupdate, Agentur für Digitale Medien).

Was das bedeutet: Die über reCAPTCHA erhobenen Informationen dürfen fortan nur noch für die Bereitstellung, Wartung und Sicherheit des reCAPTCHA-Dienstes selbst verwendet werden. Google darf die Daten nicht mehr für eigene Zwecke wie Profiling oder Werbung nutzen (Heise).

Das klingt erst mal gut. Aber: Die Verantwortung wird komplett auf dich übertragen.

Was sich technisch NICHT ändert

Google versichert, dass es keine Unterbrechungen im Service geben wird (Heise). Bestehende Site-Keys behalten ihre Gültigkeit. Die Funktionsweise von Sicherheitsfunktionen bleibt unangetastet. Die Migration in die Cloud-Plattform wurde bereits im Hintergrund abgeschlossen (Techupdate).

Für dich als Websitebetreiber heißt das: Du musst nichts am Code ändern. reCAPTCHA funktioniert am 3. April genauso wie am 1. April. Aber rechtlich bist du in einer komplett anderen Position.

Was sich sichtbar ändert

Das kleine reCAPTCHA-Logo am Bildschirmrand zeigt bisher oft den Hinweis auf die Google-Datenschutzerklärung und die Nutzungsbedingungen von Google. Diese Verweise werden ab dem 2. April verschwinden (Heise, Techupdate).

Warum? Weil die Nutzer nicht mehr den allgemeinen Google-Bedingungen unterworfen sind. Die rechtliche Verknüpfung im Widget entfällt. Google fordert Websitebetreiber proaktiv auf, bestehende manuelle Hinweise auf die Google-Privacy-Policy im Zusammenhang mit reCAPTCHA zu entfernen (Heise, Schomerus Rechtsanwälte).

Als Webentwickler aus Sandkrug sehe ich das bei Website-Checks regelmäßig: Datenschutzerklärungen mit Copy-Paste-Textbausteinen von 2018. Da steht noch: "Wir nutzen reCAPTCHA von Google. Die Datenverarbeitung erfolgt gemäß der Google-Datenschutzerklärung." Das ist ab 2. April falsch und kann abgemahnt werden.

Die fünf Bereiche, die jetzt geprüft werden müssen

Ich beschreibe jetzt NICHT, wie du das technisch umsetzt. Aber ich zeige dir, WELCHE Bereiche entscheidend sind und warum es nicht trivial ist.

Bereich 1: Datenschutzerklärung aktualisieren

Was gebraucht wird: Deine Datenschutzerklärung muss die neue Rolle (Auftragsverarbeiter) widerspiegeln und die erhobenen Daten korrekt beschreiben. Verweise auf die Google-Privacy-Policy müssen entfernt werden (Dr. Datenschutz, Schomerus).

Warum das komplex ist: Du musst konkret beschreiben, welche Daten reCAPTCHA erhebt und wohin diese fließen. Das ist nicht trivial, weil:

  1. reCAPTCHA unterschiedliche Daten je nach Version sammelt (v2, v3, Enterprise)
  2. Die Datenflüsse zu Google-Servern in den USA gehen (Drittlandtransfer)
  3. Du dokumentieren musst, auf welcher Rechtsgrundlage die Verarbeitung erfolgt
  4. Die Formulierungen DSGVO-konform und für Laien verständlich sein müssen

Ein häufiger Fehler: Einfach den alten Textbaustein mit "Google reCAPTCHA" belassen. Das reicht nicht. Die neue Rolle als Auftragsverarbeiter muss explizit erwähnt werden (ePrivacy Blog).

Bereich 2: Auftragsverarbeitungsvertrag (AVV/DPA) mit Google

Was gebraucht wird: Ab 2. April verarbeitet Google reCAPTCHA-Daten im Rahmen des Google Cloud Data Processing Addendum (DPA). Du musst diesen Vertrag akzeptieren und dokumentieren (Datenschutz-Notizen, Proliance).

Die Komplexität: Das Cloud DPA ist ein umfangreiches rechtliches Dokument. Die Herausforderung:

  1. Verstehen, welche Klauseln für reCAPTCHA gelten
  2. Prüfen, ob deine Organisation das DPA bereits für andere Google-Dienste abgeschlossen hat
  3. Dokumentieren, dass der AVV existiert (für Behördenprüfungen)
  4. Klären, wer bei dir im Betrieb für solche Verträge zuständig ist

Was viele nicht wissen: Ein AVV ist nicht optional. Laut Art. 28 DSGVO ist ein schriftlicher Auftragsverarbeitungsvertrag Pflicht. Ohne AVV ist die gesamte Datenverarbeitung rechtswidrig.

Bereich 3: Cookie-Banner und Consent-Management prüfen

Was gebraucht wird: reCAPTCHA darf erst NACH einer Einwilligung im Cookie-Banner geladen werden. Viele Websites laden reCAPTCHA aber schon beim Seitenaufruf (Dein WP Doktor, Proliance).

Warum das schwieriger ist als gedacht:

  1. Du musst technisch verhindern, dass reCAPTCHA-Scripte vor der Einwilligung ausgeführt werden
  2. Das erfordert angepasste Cookie-Banner-Konfiguration
  3. Viele Form-Plugins (WPForms, Gravity Forms, Contact Form 7) laden reCAPTCHA automatisch
  4. Du musst prüfen, ob dein Cookie-Banner-Plugin reCAPTCHA überhaupt blockieren kann

Was ich bei Website-Checks häufig sehe: Cookie-Banner ist installiert, sieht DSGVO-konform aus, aber blockiert reCAPTCHA nicht. Das ist ein klassischer "Schein-Compliance"-Fall. Sieht gut aus, ist aber rechtlich wertlos.

Bereich 4: Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren

Was gebraucht wird: Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis aller Datenverarbeitungsvorgänge führen. reCAPTCHA muss dort mit der neuen Rolle dokumentiert werden (Dr. Datenschutz).

Die versteckte Komplexität: Das VVT ist oft ein Excel-Sheet oder PDF-Dokument, das niemand regelmäßig pflegt. Die Herausforderung:

  1. Überhaupt wissen, ob ein VVT existiert und wo es liegt
  2. Den Eintrag für reCAPTCHA finden oder neu anlegen
  3. Korrekt dokumentieren: Zweck, Kategorien betroffener Personen, Datenempfänger, Drittlandtransfer, Löschfristen
  4. Abstimmen mit dem Datenschutzbeauftragten (falls vorhanden)

Für kleinere Betriebe ohne Datenschutzbeauftragten ist das VVT oft ein Fremdwort. Aber: Ab 250 Mitarbeitern ist es Pflicht, darunter nur bei "umfangreicher Verarbeitung". reCAPTCHA auf einer Website mit 1.000 Besuchern pro Monat kann bereits als "umfangreich" gelten.

Bereich 5: Prüfung alternativer Lösungen

Was gebraucht wird: Die DSGVO verlangt "Privacy by Design" (Art. 25). Das heißt: Du musst prüfen, ob es datenschutzfreundlichere Alternativen zu reCAPTCHA gibt (Dein WP Doktor, Proliance).

Warum das keine einfache Entscheidung ist: Es gibt Alternativen wie Friendly Captcha, TrustCaptcha oder Honeypot-Verfahren. Aber:

  1. Sind sie genauso effektiv gegen Spam wie reCAPTCHA?
  2. Wie hoch sind die Kosten? (Friendly Captcha: kostenlos bis 1.000 Aufrufe, dann 39 Euro/Monat)
  3. Unterstützt dein CMS oder Form-Plugin diese Alternativen?
  4. Wie aufwendig ist die Migration?

Die meisten Betriebe nutzen reCAPTCHA, weil es "einfach funktioniert" und kostenlos ist. Aber die rechtliche Komplexität macht es mittlerweile weniger einfach als gedacht.

Ein Quick Win, den du JETZT umsetzen kannst:

Öffne deine Website im Inkognito-Modus des Browsers. Gehe auf dein Kontaktformular. Siehst du den reCAPTCHA-Badge schon BEVOR du im Cookie-Banner zugestimmt hast? Dann lädt reCAPTCHA bereits und das ist ein DSGVO-Verstoß. Das ist dein Warnsignal, dass Handlungsbedarf besteht.

Willst du wissen, ob deine Website für die reCAPTCHA-Umstellung vorbereitet ist? Ich biete für Betriebe in Oldenburg, Ganderkesee, Wardenburg und Umgebung einen kostenlosen reCAPTCHA Compliance-Check an. Wir prüfen deine aktuelle reCAPTCHA-Integration, analysieren deine Datenschutzerklärung, testen dein Cookie-Banner und zeigen konkrete Handlungsschritte bis zum 2. April. Kontakt über level-nord.de.

Was funktioniert und was du realistisch erwarten kannst

Die gute Nachricht: reCAPTCHA wird durch die Umstellung DSGVO-konformer (Proliance). Google verarbeitet die Daten nun als weisungsgebundener Auftragsverarbeiter (Art. 28 DSGVO). Das reduziert das datenschutzrechtliche Risiko erheblich.

Die neue Rechtsgrundlage: Berechtigtes Interesse

Nach Einschätzung von Datenschutzexperten kann Google reCAPTCHA ab dem 2. April 2026 auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Bot-Abwehr eingesetzt werden (Proliance). Das heißt: Theoretisch keine Einwilligung mehr nötig.

ABER: Das ist rechtlich umstritten. Viele Datenschützer sagen weiterhin: Du brauchst eine Einwilligung, weil:

  1. US-Datenübermittlung weiterhin stattfindet (Drittlandtransfer-Risiko)
  2. Die Datenerhebung sehr umfangreich ist (Cookies, Mausbewegungen, Fingerprints)
  3. Es datenschutzfreundlichere Alternativen gibt (Erforderlichkeitsprüfung)

Meine Empfehlung basierend auf Website-Checks in der Region: Spiel es sicher und hol dir eine Einwilligung. Die rechtliche Unsicherheit ist zu groß. Eine Einwilligung über das Cookie-Banner ist die sicherere Variante.

Zeitrahmen: Was bis 2. April realistisch ist

Szenario 1: Du machst es selbst

Datenschutzerklärung aktualisieren, Cookie-Banner prüfen, VVT anpassen. Das klingt nach "ein Nachmittag Arbeit". In der Praxis:

  1. Datenschutzerklärung: 1-2 Stunden (wenn du weißt, was du schreibst)
  2. Cookie-Banner: 2-4 Stunden (je nach Plugin und technischem Know-how)
  3. VVT: 1 Stunde (wenn es schon existiert)
  4. Google Cloud DPA: 30 Minuten (Vertrag lesen und akzeptieren)
  5. Testen und Dokumentieren: 1-2 Stunden

Gesamt: 5-10 Stunden Arbeit. Das ist nicht "mal eben nebenbei". Und das setzt voraus, dass du DSGVO-Kenntnisse hast.

Szenario 2: Du beauftragst einen Datenschutzbeauftragten

Ein externer Datenschutzbeauftragter prüft deine gesamte Website auf Compliance. Das umfasst nicht nur reCAPTCHA, sondern auch andere Punkte. Vorteil: Rechtssicherheit. Nachteil: Kosten.

Szenario 3: Du wechselst zu einer Alternative

Friendly Captcha oder Honeypot statt reCAPTCHA. Das kann die DSGVO-Komplexität reduzieren. Aber die Migration braucht Zeit, besonders wenn dein Formular-Plugin die Alternative nicht nativ unterstützt.

Warum "schnell mal selbst machen" oft nach hinten losgeht

Das häufigste Szenario, das ich bei Website-Checks sehe: Der Betrieb googelt "reCAPTCHA Datenschutzerklärung Generator", kopiert einen Textbaustein, fertig. Das Problem:

  1. Der Generator wurde nicht für die neue Rolle (Auftragsverarbeiter) aktualisiert
  2. Der Text passt nicht zur konkreten reCAPTCHA-Version (v2 vs. v3)
  3. Das Cookie-Banner wird nicht angepasst (reCAPTCHA lädt weiter ohne Einwilligung)
  4. Das VVT wird vergessen

Das Ergebnis: Schein-Compliance. Es sieht aus, als wäre alles erledigt. Bei einer Behördenprüfung fällt es aber sofort auf.

Die regionale Chance: Deine Konkurrenz tut wahrscheinlich nichts

Was für Großstadt-Agenturen in Hamburg oder München selbstverständlich ist (DSGVO-Compliance-Team, externe Datenschutzbeauftragte), fehlt in der Region Oldenburg oft komplett. Die meisten lokalen Websites haben:

  1. Datenschutzerklärungen von 2018 ohne Updates
  2. Cookie-Banner, die nichts blockieren
  3. Kein VVT
  4. Keinen Datenschutzbeauftragten

Wer JETZT handelt, ist rechtlich abgesichert, wenn die erste Abmahnwelle nach dem 2. April kommt. Und die kommt. Seit dem BGH-Urteil vom März 2025 können Mitbewerber abmahnen. Wettbewerber mit professionellem Setup werden gezielt nach Compliance-Lücken bei Konkurrenten suchen.

Die positive Botschaft: Die meisten Betriebe in der Region wissen nichts von der Deadline. Wer bis Ende März 2026 seine Website prüft und anpasst, hat einen Vorsprung. In einem Jahr ist es Standard. Aber JETZT kannst du den Konkurrenten einen Schritt voraus sein.

Ist deine Website bereit für die reCAPTCHA-Umstellung?

Du hast jetzt verstanden, warum die Umstellung am 2. April wichtig ist und welche Bereiche geprüft werden müssen. Die Deadline ist in weniger als 4 Wochen. Fast jede Website mit Kontaktformularen ist betroffen. Die Frage ist: Ist DEINE Website vorbereitet?

Ich biete für Betriebe in Oldenburg, Ganderkesee, Wardenburg, Hude und Wildeshausen einen kostenlosen reCAPTCHA Compliance-Check an:

  1. reCAPTCHA-Audit: Welche reCAPTCHA-Version läuft? Wo wird sie geladen? Sind mehrere Formulare betroffen?
  2. Datenschutzerklärung-Review: Ist die neue Rolle als Auftragsverarbeiter beschrieben? Müssen Verweise entfernt werden? Fehlen Angaben?
  3. Cookie-Banner-Test: Wird reCAPTCHA vor der Einwilligung geladen? Ist das Consent-Management korrekt konfiguriert?
  4. Handlungsplan bis 2. April: Konkrete nächste Schritte mit realistischen Zeitangaben und Prioritäten

Der Check ist kostenlos, unverbindlich und dauert etwa 20 Minuten. Du erfährst konkret, wo deine Website steht und was bis zum 2. April getan werden muss.

Kontaktiere mich über das Formular auf level-nord.de. Betreff: "reCAPTCHA Compliance-Check".

Die Kernbotschaft: Die Umstellung am 2. April ist keine optionale Verbesserung. Es ist eine rechtliche Änderung mit echten Konsequenzen. DSGVO-Bußgelder von bis zu 20 Millionen Euro oder 4% Jahresumsatz sind keine theoretische Bedrohung, sondern Realität. Deutschland verhängte 2025 Bußgelder von 46,9 Millionen Euro. Mitbewerber können seit März 2025 abmahnen. Wer JETZT handelt, vermeidet Risiken und ist rechtlich abgesichert. Wer wartet, steht am 3. April mit einer nicht-compliant Website da und hofft, dass niemand prüft.

Autor: Dennis Schwenker-Sanders, Webentwickler aus Sandkrug bei Oldenburg. Seit 2015 spezialisiert auf DSGVO-konforme Websiteentwicklung und technische Compliance-Umsetzung für lokale Betriebe. Schwerpunkt: Cookie-Consent-Management, Datenschutzerklärungen und DSGVO-Audits für KMU in der Region Oldenburg.

Quellen: Dr. Datenschutz "reCAPTCHA: Google will Auftragsverarbeiter werden" (März 2026), Datenschutz-Notizen "Neues zu reCAPTCHA – Google wird Auftragsverarbeiter" (18.02.2026, Philip Kroll), Agentur für Digitale Medien "Google reCAPTCHA: Überraschende Änderungen ab April 2026" (04.03.2026), Proliance "reCAPTCHA DSGVO-konform? Das ändert sich ab April 2026!", Schomerus Rechtsanwälte "Wichtige Änderung bei Google reCAPTCHA ab April 2026", Techupdate.io "reCAPTCHA wird zum braven Auftragsverarbeiter: Google gibt die Datenhoheit ab", Dein WP Doktor "Google reCAPTCHA Änderung April 2026: Was du tun musst", Robin Herold (Entwickler), Heise "Schluss mit Datensammelwut: Google macht reCAPTCHA DSGVO-konformer", Webersohn & Scholtz "Wird Googles 'reCAPTCHA' bald DSGVO-konformer?", ePrivacy Blog "Google reCAPTCHA: Neue DSGVO-Verantwortung", CMS Enforcement Tracker Report 2025 (5,6 Mrd. EUR DSGVO-Bußgelder europaweit), DSGVO-Portal "DSGVO-Bußgelder, Urteile & Sicherheitsvorfälle 2025" (Deutschland: 249 Bußgelder, 46,9 Mio. EUR), ODC Legal "Die wichtigsten DSGVO Bußgelder 2025" (BfDI 45 Mio. EUR gegen Vodafone, BGH-Urteil 27.03.2025 UWG-Abmahnungen), Behörden Spiegel "Über fünf Milliarden Euro DSGVO-Strafen" (Mai 2025), Datenschutzkanzlei "Übersicht DSGVO-Bußgelder Deutschland und Europa", Der Windows Papst "DSGVO-Entwicklungen 2025" (10.259 Datenpannen Deutschland), Datenschutz.org "DSGVO-Bußgeld Bußgeldkatalog 2026"

#reCAPTCHA #DSGVO #Datenschutzerklärung #Websitebetreiber

Artikel teilen: