.

Google reCAPTCHA wird Auftragsverarbeiter – was ändert sich dadurch für Sie als Webseitenbetreiber und bei CCM19?

Google reCAPTCHA DSGVO Umstellung auf Auftragsverarbeiter – Darstellung eines Formulars mit Sicherheitsprüfung und Datenschutzbezug

Ab dem 2. April 2026 wird Google die datenschutzrechtliche Einordnung von reCAPTCHA grundlegend ändern. Ab diesem Stichtag tritt Google nicht mehr als eigenständiger Verantwortlicher (Data Controller) auf, sondern als Auftragsverarbeiter (Data Processor), gemäß Art. 28 DSGVO.

Seit dieser Ankündigung werden wir immer wieder gefragt, wie wir bei CCM19 die Situation bewerten und welche Anpassungen unsere Kunden vornehmen sollten.

Unsere Bewertung und Anpassungen am Datenbankeintrag

Inhaltsverzeichnis
  1. Unsere Bewertung und Anpassungen am Datenbankeintrag
  2. Warum entscheiden wir uns so?
  3. Was Sie als Webseitenbetreiber nun tun sollten
  4. Fazit

Wir werden ab dem 02.04. einen aktualisierten Datenbank-Eintrag für Google reCAPTCHA veröffentlichen, in dem die neue Vereinbarung (https://cloud.google.com/terms/data-processing-addendum) statt des bisherigen Datenschutzlinks referenziert wird. Kunden mit aktivierter automatischer Aktualisierung der Einbindungen erhalten die aktualisierte Vorlage ganz automatisch und müssen in CCM19 nichts einstellen.

Auch wenn nun einige Stimmen laut werden und fordern, dass Google reCAPTCHA durch diese Änderung bereits vor Consent ausgeführt werden darf, werden wir die Kategorie des reCAPTCHAs allerdings nicht ändern. Es soll auch weiterhin standardmäßig von unserem Banner blockiert werden und wir werden auch nicht auf ein „berechtigtes Interesse“ verweisen, sondern möchten sicherstellen, dass weiterhin die problematische Datenübertragung an US-Server unterbunden wird, ohne dass unsere Kunden tätig werden müssen.

Warum entscheiden wir uns so?

  1. Wir fühlen uns dem Datenschutz verpflichtet und machen hier keine Kompromisse. Daher agieren wir restriktiv und verhindern konsequent die Datenübertragung an US-Server. Wir wissen auch, dass viele unserer Kunden unser Tool genau für diese Haltung schätzen und es nicht begrüßen würden, wenn wir in diesem Fall davon abrücken würden.

    Es steht Ihnen aber natürlich frei, reCAPTCHA nach der Umstellung anders zu bewerten und CCM19 entsprechend zu konfigurieren. Wenn Sie unserer restriktiven Auslegung folgen möchten, müssen Sie nichts weiter tun.

  2. CCM19 bietet eine saubere Lösung für den datenschutzkonformen Einsatz von Google reCAPTCHA, bei der sichergestellt ist, dass Formulare auch ohne initiale Zustimmung zu den Cookies noch genutzt werden können. Diese Lösung beschreiben wir hier: https://docs.ccm19.com/troubleshooting/recaptcha/
    Es besteht also gar keine Notwendigkeit, ein Risiko einzugehen und Google reCAPTCHA bereits vor Consent auszuführen, weil auch bei initialer Blockierung gewährleistet werden kann, dass alle Formulare funktional bleiben.

Was Sie als Webseitenbetreiber nun tun sollten

Zunächst sollten Sie sich bewusst werden, dass Google durch diese Änderung die Verantwortung für die Datenverarbeitung an Sie als Webseitenbetreiber abgibt. Das bedeutet, alles, was bei Google mit den Daten Ihrer Webseitenbesucher passiert, passiert offiziell auf Ihre Weisung. Dadurch ergibt sich natürlich auch ein Haftungsrisiko bei Verstößen.

Um sich abzusichern, sollten Sie folgende Dinge tun:

  1.  Auftragsverarbeitungsvertrag (AVV) mit Google abschließen

    Ab dem 02.04.2026 wechselt Googles Rolle zu der des Auftragsverarbeiters (Data Processor) auf Basis des Google Cloud Data Processing Addendum: https://cloud.google.com/terms/data-processing-addendum
    Dieser Vertrag muss von Ihnen, gemäß Art. 28 DSGVO, mit Google abgeschlossen werden und der Abschluss ist zu dokumentieren.

  2. Datenschutzerklärung anpassen

    In der Datenschutzerklärung muss auf die Verwendung von Google reCAPTCHA hingewiesen und erklärt werden, welche Daten verarbeitet werden. Hier wären gemäß des neuen AVVs also Änderungen notwendig und es muss auch darauf hingewiesen werden, dass Google nur noch Auftragsverarbeiter ist.

  3. Verzeichnis der Verarbeitungstätigkeiten (VTT) aktualisieren

    Falls Ihr Unternehmen zum Führen eines VTTs verpflichtet ist, sollte geprüft werden, ob im Dokument bereits ein Eintrag für Google reCAPTCHA vorhanden ist. Dieser sollte in jedem Fall aktualisiert werden, damit auch hier die geänderte Rolle von Google als Auftragsverarbeiter dokumentiert ist.

Glücklicherweise ergibt sich durch die Umstellung zumindest keine technische Änderung. Sie müssen also keine Anpassungen in Ihrem Google-Account vornehmen und keine Skripte auf Ihrer Webseite aktualisieren.

Fazit

Durch die veränderte Rolle von Google ab dem 02.04.2026 müssen Webseitenbetreiber die Rechtstexte ihrer Webseiten anpassen. Das Cookie-Banner von CCM19 ist davon aber nur wenig betroffen. Unser Datenbank-Eintrag wird mit dem neuen Datenschutz-Link aktualisiert und sofern Sie die automatischen Updates aktiviert haben, erhalten Sie den aktualisierten Eintrag automatisch. Der Datenbankeintrag bleibt so konfiguriert, dass Google reCAPTCHA weiterhin standardmäßig bis zum Consent blockiert wird. Um sicherzustellen, dass die Formulare, die Sie mit reCAPTCHA abgesichert haben, zuverlässig funktionieren, sollte weiterhin unserer Anleitung gefolgt werden.