Liebe Leserinnen und Leser,
haben Sie auch in den letzten Tagen eine soclhe E-mail von Google erhalten?
We’re writing to let you know that we’ll be changing how we handle your data submitted to our reCAPTCHA service.
Starting on April 2, 2026, we’ll be switching from acting as a data controller, determining how personal data submitted to reCAPTCHA may be used, to a data processor, processing the data strictly for your use in the reCAPTCHA service. This change enables you to have greater control over how your data is used.
We’ve provided a summary of the timeline and the steps needed to prepare for this change.
Entgegen der Ankündigung gibt es nachfolgend in der E-Mail von Google leider kaum informationen darüber, wie mit dieser Ankündigung von Google umgegangen werden soll. Sie ist zwar rechtlich relevant, jedoch operativ ziemlich dünn.
Doch zuerst einmal zu den Hard Facts: Bislang war Google bei reCAPTCHA (teilweise) Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Ab 2. April 2026 kündigt Google nun an, nur noch Auftragsverarbeiter für seinen Dienst ReCaptcha zu sein (Art. 4 Nr. 8 DSGVO).
Das ist keine einfache Formalie, sondern diese Ankündigung hat für den Empfänger der E-Mail in seiner Eigenschaft als Internetseitenbetreiber und Nutzer von Google ReCaptcha Folgen:
- Die Datenschutzhinweise nach Art. 13 DSGVO müssen auf der eigenen Internetseite angepasst werden.
- Eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO muss mit Google (vorab überprüft) und vereinbart werden.
- Es muss eine Rechtsgrundlage identifiziert werden und rechtssicher dokumentiert werden. Dies ist auch abhängig von der eingesetzten Version von reCAPTCHA.
Nur: Wie geht das?
Zu Buchstabe a. - Es muss alles aus den Datenschutzhinweisen entfernt werden, was aussagt, dass Google selbst bei der Datenverarbeitung von ReCaptcha Verantwortlicher ist. Also auch der Verweis auf die Google Datenschutzhinweise oder die Nutzungsbedingungen müssen entfernt werden. Es ist von der Version und Fassung des Datenschutzhinweises abhängig, was hinzugefügt werden muss und was entfernt werden muss. Das lässt sich pauschal nicht beantworten.
Zu Buchstabe b. - Der Abschluss der AVV mit Google geht relativ einfach. Google macht dies zur Voraussetzung, dass der Dienst überhaupt funktioniert. Die Prüfung der AVV ist hingegen schwieriger. Hier ist es wichtig, sich an den Punkten des Art. 28 DSGVO zu orientieren und nachweisbar zu dokumentieren, dass die AVV mit Google genau die Anforderungen des Art. 28 DSGVO erfüllt.
Zu Buchstabe c. - Nun wird es einfacher, ein berechtiges Interesse als Rechtsgrundlage für den Einsatz von Google ReCaptcha zu verargumentieren. Dies geht dokumentiert und rechtssicher mit einer "Prüfung des berechtigten Interesses" - einem sogenannten Legitimate Interest Assessment.
Wenn Sie Fragen zu der Umsetzung der einzelnen Punkte haben, melden Sie sich gerne.
Viele Grüße aus Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen
Das Beitragsbild wurde mithilfe von OpenAI's ChatGPT generiert. Die kommerziellen Nutzungsrechte liegen vollständig beim Ersteller. OpenAI erhebt kein Urheberrecht an diesem Inhalt. Alle dargestellten Elemente sind frei erfunden und dienen ausschließlich illustrativen Zwecken. Marken oder Persönlichkeitsrechte Dritter werden nicht verletzt.