Datum der letzten Aktualisierung: 8. April 2025

Google reCAPTCHA ist mehr als ein einfacher Sicherheitsdienst. Es schützt Ihre Website vor Spam und Missbrauch, indem es menschliche Nutzer von Bots unterscheidet. Doch wie sieht es mit dem Datenschutz aus? Erfahren Sie, was in Ihrer Datenschutzerklärung nicht fehlen darf, um rechtlich auf der sicheren Seite zu sein.

Inhaltsverzeichnis

  1. Was ist Google reCAPTCHA?
  2. Welche personenbezogenen Daten verarbeitet Google reCAPTCHA?
  3. Wer betreibt Google reCAPTCHA?
  4. Rechtslage: Darf man Google reCAPTCHA einsetzen?
  5. Was gehört in die Datenschutzerklärung?
  6. avalex Monitor
  7. Muss ein AV-Vertrag abgeschlossen werden?
  8. Erlaubnis einholen per Consent Banner

Alles Wichtige in der Übersicht

  • Datenschutzerklärung: Informieren Sie die Nutzer klar und verständlich über die Datenverarbeitung und deren Zweck in Ihrer Datenschutzerklärung.
  • US-Anbieter: Beachten Sie die Entwicklungen zum Data Privacy Framework bei US-Anbietern.
  • AV-Vertrag: Schließen Sie einen AV-Vertrag mit dem Anbieter von Google reCAPTCHA ab.
  • Aktive Einwilligung: Holen Sie von Ihren Websitebesuchern per Consent Banner eine ausdrückliche Zustimmung ein, bevor Sie Google reCAPTCHA einsetzen.
Mehr Informationen
Jetzt Website absichern

Was ist Google reCAPTCHA?

Google reCAPTCHA ist ein Sicherheitsdienst, der entwickelt wurde, um zu überprüfen, ob die Interaktionen auf einer Website von einem Menschen oder einem automatisierten Bot ausgeführt werden. Es wird häufig verwendet, um Formulareingaben zu schützen und Spam zu verhindern, indem es sicherstellt, dass nur echte Benutzer Zugang zu bestimmten Funktionen oder Inhalten einer Website erhalten.

Der Dienst funktioniert, indem er verschiedene Tests durchführt, die für Menschen einfach, für Bots jedoch schwer zu lösen sind. Die neueren Versionen von reCAPTCHA, wie reCAPTCHA v3, analysieren das Nutzerverhalten im Hintergrund, um eine Risikobewertung zu erstellen, ohne dass der Nutzer aktiv eingreifen muss.

Ein Beispiel für die Anwendung von Google reCAPTCHA ist der Schutz von Anmelde- und Registrierungsformularen auf einer Website. Hierbei wird sichergestellt, dass nur echte Benutzer Konten erstellen oder sich anmelden können, indem sie aufgefordert werden, einfache Aufgaben wie das Erkennen von Bildern oder das Bestätigen eines Kontrollkästchens zu lösen.

Ein weiteres Beispiel ist der Einsatz von reCAPTCHA auf Kommentar- oder Kontaktformularen. Dies verhindert, dass automatisierte Systeme massenhaft Spam-Nachrichten versenden, indem es sicherstellt, dass nur menschliche Benutzer in der Lage sind, die Formulare erfolgreich abzusenden.

Welche personenbezogenen Daten verarbeitet Google reCAPTCHA?

Welche Daten bei Integration von Google reCAPTCHA verarbeitet werden, ist nicht genau bekannt. Aufgrund der technischen Funktionsweise und öffentlichen Quellen kann man aber davon ausgehen, dass die folgenden Daten verarbeitet werden:

  • IP-Adresse des Nutzers
  • Referrer-URL (Seite, von der der Nutzer kommt)
  • Einstellungen des Endgeräts:
    • Sprache
    • Browser
    • Standort
  • Verweildauer auf der Website
  • Mausbewegungen und Tastaturanschläge
  • Bildschirm- und Fensterauflösung
  • Zeitzone
  • Installierte Browser-Plugins
  • Betriebssystem-Informationen
  • Cookies (einschließlich Google-Cookies der letzten 6 Monate)
  • Vollständiger Screenshot des Browser-Fensters
  • Datum und Uhrzeit des Zugriffs

Wer betreibt Google reCAPTCHA?

Anbietername: Google LLC
Anschrift: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Telefon: +1 650-253-0000
E-Mail: support-de@google.com
Link zu Datenschutzerklärung: https://policies.google.com/privacy

Tochtergesellschaft in Europa

Anbietername: Google Ireland Limited
Anschrift: Gordon House, Barrow Street, Dublin 4, Ireland
Telefon: +353 1 543 1000
E-Mail: support@google.com
Link zu Datenschutzerklärung: https://policies.google.com/privacy

Rechtslage: Darf man Google reCAPTCHA einsetzen?

Um personenbezogene Daten verarbeiten zu dürfen, benötigt man als Websitebetreiber eine Erlaubnisgrundlage im Sinne von Artikel 6 DSGVO. Speichert man dabei Cookies im Browser der Besucher ab oder liest diese aus, ist das nur mit Einwilligung des Besuchers zulässig (§ 25 Abs. 1 Satz 1 TDDDG).

Die Einbindung von Google reCAPTCHA auf der eigenen Internetseite kann nach unserer Einschätzung nicht über ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Sie benötigen von jedem Besucher der Website eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Diese Einwilligung muss eingeholt werden, bevor Google reCAPTCHA auf der Internetseite ausgeführt werden. Das geschieht am sinnvollsten mithilfe eine Consent Banners (auch „Cookie Banner“ genannt).

Datenübermittlung in Drittländer

Der Sitz des Mutterunternehmens Google LLC befindet sich in den USA. Es ist nicht auszuschließen, dass das Tochterunternehmen Zugriff auf personenbezogene Daten von europäischen Nutzern erlaubt oder erlauben muss. Um personenbezogenen Daten aus der EU in ein Drittland senden zu dürfen, muss dort ein angemessenes Datenschutzniveau gewährleistet sein. Die EU-Kommission hat einen Angemessenheitsbeschluss gefasst, der die USA als ein sicheres Drittland einstuft (EU-U.S. Data Privacy Framework), ohne dass weitere angemessene Garantien wie z.B. Standardvertragsklauseln oder zusätzliche Maßnahmen erforderlich sind.

Das Mutterunternehmen ist nach dem Data Privacy Framework zertifiziert.

Ich möchte meine Website absichern

Was gehört in die Datenschutzerklärung?

Eine umfassende Datenschutzerklärung ist essenziell, um die Transparenz gegenüber den Nutzern zu gewährleisten und den rechtlichen Anforderungen zu entsprechen. Dies ist ein Auszug der wesentlichen Bestandteile, die in Ihrer Datenschutzerklärung enthalten sein sollten:

  • Verantwortlicher: Geben Sie den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen an.
  • Zweck der Datenverarbeitung: Erklären Sie, warum und zu welchem Zweck die Daten erhoben und verarbeitet werden.
  • Rechtsgrundlage: Nennen Sie die rechtlichen Grundlagen, auf denen die Datenverarbeitung basiert, wie z.B. Einwilligung oder berechtigtes Interesse.
  • Betroffenenrechte: Informieren Sie über die Rechte der Nutzer, wie Auskunft, Berichtigung, Löschung und Widerspruch.
  • Datensicherheit: Beschreiben Sie die Maßnahmen, die zum Schutz der Daten ergriffen werden.
  • Übermittlung in Drittländer: Erklären Sie, ob und unter welchen Bedingungen Daten in Länder außerhalb der EU übermittelt werden.
  • Beschwerderecht: Weisen Sie auf das Recht hin, sich bei einer Aufsichtsbehörde zu beschweren.
avalex generiert für Sie Ihre Datenschutzerklärung. Einmal auf der eigenen Internetseite installiert, hält avalex die generierten Rechtstexte automatisch aktuell. Wir schicken Ihnen keine E-Mails mit Updates, die per Copy & Paste eingefügt werden müssen. Unsere Aktualisierungen erfolgen vollautomatisch, ohne dass Sie etwas tun müssen. Mehr zu unserem Service


avalex Datenschutzerklärung bestellen

avalex Monitor

Es ist unser Anspruch, avalex so einfach und sicher zu gestalten, dass jeder Shop- bzw. Websitebetreiber guten Gewissens unsere Rechtstexte einsetzen kann – auch ohne jede Programmierkenntnisse.

Eine zentrale Unterstützung ist der avalex Monitor, unser technisches Überwachungssystem. Der avalex Monitor prüft die Kundendomain laufend auf technische Fehler und zeigt diese ggf. im Kundenkonto an. So wird sichergestellt, dass Ihre avalex Rechtstexte korrekt ausgespielt werden.
Mehr zum avalex Monitor

Muss ein AV-Vertrag abgeschlossen werden?

Nach unserer Einschätzung muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abgeschlossen werden.

Unter folgendem Link können Sie den entsprechenden AV-Vertrag herunterladen:
https://cloud.google.com/terms/data-processing-addendum

Starten Sie mit einem Rechts-Scan

Gestaltung des Consent Banners

Bei der Gestaltung des Consent Banners für Google reCAPTCHA sollten Sie auf eine benutzerfreundliche und transparente Gestaltung achten. Verwenden Sie klare und verständliche Sprache, um den Zweck der Datenerhebung zu erklären. Die Button-Farben sollten kontrastreich sein, um eine einfache Erkennbarkeit zu gewährleisten. Achten Sie darauf, keine manipulativen Taktiken (Nudging) zu verwenden, die den Nutzer dazu verleiten, unbewusst eine Einwilligung zu erteilen.

Widerrufsrecht und Dokumentation der Einwilligung

Es ist essenziell, den Nutzern ein einfaches Verfahren zum Widerruf ihrer Einwilligung anzubieten. Dies sollte auch in der Datenschutzerklärung deutlich erklärt werden. Zudem muss die Einwilligung ordnungsgemäß dokumentiert werden, um im Falle eines Audits nachweisen zu können, dass die Einwilligung rechtskonform eingeholt wurde.

Übereinstimmung der Angaben im Consent Banner mit der Datenschutzerklärung

Stellen Sie sicher, dass die Informationen im Consent Banner mit den Angaben in Ihrer Datenschutzerklärung übereinstimmen. Jede Abweichung könnte zu Unsicherheiten beim Nutzer führen und rechtliche Risiken bergen. Die Datenschutzerklärung sollte detaillierte Informationen zu den Datenverarbeitungsprozessen durch Google reCAPTCHA enthalten.

Technische Funktionalität des Banners

Der Consent Banner muss technisch einwandfrei funktionieren. Führen Sie regelmäßige Tests durch, um sicherzustellen, dass der Banner korrekt angezeigt wird und die Einwilligung ordnungsgemäß erfasst und gespeichert wird. Überprüfen Sie auch, ob der Banner auf verschiedenen Geräten und Browsern fehlerfrei funktioniert.

Zusätzlich zu Abmahnsicheren Rechtstexten, erhalten Sie als avalex Kunde einen Consent Banner von consentmanager.de für bis zu 40.000 Websiteaufrufe pro Monat inklusive. Mehr als 40.000 Websiteaufrufe pro Monat? avalex Kunden erhalten 20% Sonderrabatt auf alle Paket-Upgrades bei consentmanager.de (ausgenommen: Enterprise-Paket).