Das "Ich bin kein Roboter"-Häkchen ist ein Datenschutzproblem. Und es steht auf tausenden deutschen Websites.
Du kennst das.
Du füllst ein Kontaktformular aus. Klickst auf das kleine Kästchen. „Ich bin kein Roboter.“ Häkchen. Fertig. Nachricht abgesendet.
Was dabei im Hintergrund passiert, sieht niemand. Und genau das ist das Problem.
Was Google reCAPTCHA wirklich tut
Google reCAPTCHA ist das mit Abstand meistgenutzte Spam-Schutz-Tool auf deutschen Websites. Kostenlos, einfach einzubinden, überall verfügbar.
Klingt gut.
Ist es aber nicht — zumindest nicht aus Datenschutzsicht.
Wenn ein Besucher auf deiner Website das reCAPTCHA-Feld betätigt, passiert folgendes:
Daten wandern zu Google. Auf US-Server. Außerhalb des DSGVO-Geltungsbereichs.
Google nutzt diese Daten für eigene Zwecke. Unter anderem, um sein maschinelles Lernen zu trainieren. Nicht um dir einen Gefallen zu tun — sondern weil das ihr Geschäftsmodell ist.
Deine Besucher haben dem nicht zugestimmt. Nicht explizit. Nicht informiert. Nicht so, wie es die DSGVO verlangt.
Das hat e-recht24 — eine der führenden deutschen Rechtsquellen für Webrecht — in einem aktuellen Update vom 2. April 2026 bestätigt und detailliert beschrieben.
Kurz gesagt: Ein harmloses Häkchen. Ein echtes Rechtsproblem.
Warum das die meisten trotzdem machen
Ich verurteile niemanden dafür.
Google reCAPTCHA wird standardmäßig eingebaut. In WordPress-Plugins. In Kontaktformular-Vorlagen. In Agentur-Paketen.
Kaum eine Agentur erklärt ihren Kunden, was das Tool im Hintergrund macht. Und die meisten Unternehmer haben weder Zeit noch Anlass, das selbst zu recherchieren.
Das ist keine Dummheit. Das ist ein Informationsproblem.
Aber die DSGVO kennt keine Ausnahme für „wusste ich nicht“.
Was Werbeküche stattdessen nutzt: Friendly Captcha
Als ich vor einigen Jahren anfing, meine eigenen Formulare datenschutzkonform aufzusetzen, habe ich mich durch verschiedene Alternativen gearbeitet.
Die Anforderung war klar:
- Gleicher Schutz gegen Bots wie reCAPTCHA
- Keine Datenweitergabe an Dritte
- Kein US-Anbieter
- DSGVO-konform ohne Verrenkungen
Gefunden habe ich: Friendly Captcha.
Ein europäischer Anbieter. Server in der EU. Keine Weitergabe von Nutzerdaten an Dritte. Kein Google. Kein US-Datentransfer.
Technisch funktioniert es anders als reCAPTCHA — es löst im Hintergrund ein kryptografisches Rätsel, ohne dass der Nutzer aktiv eingreifen muss. Für den Besucher kaum spürbar. Für Bots trotzdem eine Hürde.
Das Ergebnis: Formulare, die funktionieren. Und die rechtlich sauber sind.
Ich setze das bei allen Websites um, die wir betreuen. Nicht weil es ein Verkaufsargument ist. Sondern weil es einfach richtig ist.
Welche Alternativen es noch gibt
Friendly Captcha ist nicht die einzige Option. Es gibt weitere DSGVO-konforme Lösungen:
hCaptcha — ebenfalls datenschutzfreundlicher als Google, mit EU-Serveroptionen
Honeypot-Methode — unsichtbares Feld im Formular, das nur Bots ausfüllen; kein externer Dienst, keine Datenübertragung; für viele Anwendungsfälle völlig ausreichend
Mathematische Captchas — simpel, lokal, null externe Abhängigkeiten
Turnstile von Cloudflare — datenschutzfreundlicher als reCAPTCHA, aber auch hier: amerikanischer Anbieter, Datentransfer in die USA möglich — genau prüfen
Welche Lösung passt, hängt vom Einzelfall ab: Formular-Volumen, technische Infrastruktur, Hosting-Umgebung.
Was konkret zu tun ist
Mit dem Update vom 2. April 2026 hat Google seine reCAPTCHA-Struktur auf die Auftragsverarbeitung nach Art. 28 DSGVO umgestellt. Das macht es klarer — aber auch komplexer. Wenn du reCAPTCHA nutzen möchtest, brauchst du:
1. AV-Vertrag (sofort!) Das Cloud Data Processing Addendum (CDPA) ist jetzt die rechtliche Grundlage. Ohne diesen Vertrag ist reCAPTCHA nicht DSGVO-konform — das hat sich durch das Google-Update nicht geändert.
2. Aktualisierte Datenschutzerklärung Deine Datenschutzerklärung muss aufgelistet haben:
- Einsatz von reCAPTCHA
- Zweck (Spam-/Botschutz)
- Datenarten (IP, Nutzerverhalten etc.)
- Google als Auftragsverarbeiter
- Datenübertragung in die USA (über EU-US Data Privacy Framework)
3. Saubere Rechtsgrundlage Entweder explizite Einwilligung über ein Cookie Consent Tool, oder eine dokumentierte Interessensabwägung. Das zweite Szenario ist aufwändig und rechtlich fragwürdig — empfohlen ist die erste Variante.
Orientierung: e-recht24 hat einen ausführlichen Leitfaden mit Risiko-Check veröffentlicht: Aktuelle reCAPTCHA-Anforderungen bei e-recht24
Dort findest du auch eine Checkliste, die zeigt, ob deine Website alle Anforderungen erfüllt.
Warum Werbeküche auf sowas schaut
Ich bin keine Anwältin. Das hier ist keine Rechtsberatung.
Aber ich baue Websites, die für meine Kunden arbeiten. Und eine Website, die rechtlich angreifbar ist, arbeitet gegen dich — nicht für dich.
Datenschutz ist kein Upgrade. Kein nice-to-have. Keine Extraleistung, die man im Agentur-Paket dazubucht.
Es ist Grundlage.
Deshalb gehört die Prüfung und der Austausch datenschutzwidriger Elemente — wie reCAPTCHA — zum Standard, wenn wir eine Website betreuen oder neu bauen.
Nicht weil das Gesetz es verlangt. Weil es das Richtige ist.
Fazit
Google reCAPTCHA war immer ein Grenzfall in der DSGVO-Compliance. Mit dem Update vom 2. April 2026 ist die rechtliche Situation klarer geworden — aber nicht weniger komplex.
Das Gute: Es gibt jetzt einen definierten Weg, reCAPTCHA legal zu nutzen (AV-Vertrag, aktualisierte Datenschutzerklärung, saubere Rechtsgrundlage).
Das Realistische: Viele Websites nutzen reCAPTCHA, ohne diese Anforderungen erfüllt zu haben. Das Risiko ist überschaubar geworden, aber nicht null.
Die Alternative: DSGVO-konforme Captcha-Lösungen wie Friendly Captcha, hCaptcha oder die Honeypot-Methode erfordern weniger Aufwand und keine Grauzone.
Ich nutze bewusst keine US-Captchas — nicht aus Prinzip, sondern aus Pragmatik. Weniger Aufwand, weniger Rechtsrisiko, gleiche Funktionalität.
Wenn du wissen möchtest, ob deine Website diese Anforderungen erfüllt — ich schaue das gerne gemeinsam mit dir an.
