Zum Inhalt springen
konfora
Bot-Schutz / Captcha

Google reCAPTCHA & DSGVO: Bot-Schutz datenschutzbewusst einsetzen

Google reCAPTCHA schützt Formulare vor automatisierten Eingaben. Dafür lädt es ein Skript von Google und analysiert das Verhalten der Besucher — teils im Hintergrund (v3). Dabei können Daten an einen US-Anbieter übertragen werden, weshalb der Einsatz datenschutzrechtlich relevant ist.

Kostenlos prüfenBeispiel-Report ansehen

Das Risiko

  • reCAPTCHA lädt von Google und kann Verhaltensdaten sowie technische Angaben übertragen — als US-Dienst möglicherweise in ein Drittland.
  • Insbesondere die unsichtbare Variante (v3) läuft oft seitenweit mit, nicht nur am Formular.
  • Je nach Einbindung kann der Zugriff auf das Endgerät einwilligungsrelevant sein.

Wie konfora das erkennt

konfora erkennt reCAPTCHA an seinen Lade-Requests und ordnet es der Kategorie Bot-Schutz / Captcha zu. Erkannt werden:

  • www.google.com/recaptcha
  • recaptcha/api.js
  • www.gstatic.com/recaptcha

Was im Report steht

  • Ein Befund „Google reCAPTCHA“ mit standardmäßiger Severity Warnung.
  • Belege: die kontaktierten Hosts, Beispiel-Request-URLs, die Anzahl passender Requests und das Vendor-Land (US).
  • Ein Soll-Ist-Hinweis, falls reCAPTCHA technisch erkannt, aber in der Datenschutzerklärung nicht genannt ist.

Typische Maßnahmen

  • Prüfe, ob reCAPTCHA wirklich seitenweit nötig ist oder nur auf einzelnen Formularen geladen werden sollte.
  • Erwäge datensparsamere Alternativen wie Cloudflare Turnstile oder hCaptcha, die ohne Verhaltensprofile auskommen wollen.
  • Nenne den Dienst und den Anbieter in deiner Datenschutzerklärung und kläre die Rechtsgrundlage mit DSB oder Kanzlei.

Grenzen der automatischen Prüfung

Der Check macht technische Hinweise sichtbar und hilft beim Priorisieren. Er ist kein Rechtsgutachten, keine Vollständigkeitsgarantie und ersetzt keine fachkundige Prüfung durch eine Datenschutzbeauftragte oder eine Kanzlei.

  • konfora erkennt das Laden von reCAPTCHA, nicht die konkrete Konfiguration (v2/v3, Score-Schwellen).
  • Ob und wann eine Einwilligung nötig ist, bleibt eine rechtliche Einzelfallfrage.
Prüfbereich · Bot-Schutz / Captcha

konfora prüft als einen von 16 Bereichen automatisiert, welche Dienste deine Seite lädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Den schnellen, kostenlosen ersten Eindruck bekommst du im Schnellcheck. Der Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo); den Zugang bekommst du per Magic-Link an deine E-Mail.

Kostenlos prüfenReport ansehen

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.