reCAPTCHA ist das CAPTCHA, das die meisten Entwickler zuerst einbauen. Es ist kostenlos, in fünf Minuten integriert und fängt Bots zuverlässig ab. Der Haken zeigt sich erst, wenn jemand aus der Rechtsabteilung oder ein Datenschutzbeauftragter auf die Seite schaut: reCAPTCHA ist ein US-Dienst, und damit hängt an jedem geschützten Formular eine Kette von Pflichten, die seit 2026 vollständig bei Ihnen liegt.
Dieser Beitrag erklärt, was reCAPTCHA datenschutzrechtlich auslöst, warum ein Bußgeldbescheid das nicht nur theoretisch macht, und wie eine EU-gehostete Alternative dieselbe Aufgabe ohne Cookies und ohne Banner löst.
Die kurze Antwort
reCAPTCHA lässt sich DSGVO-konform betreiben, aber die Konformität entsteht nicht durch einen Schalter beim Anbieter, sondern durch das, was Sie drumherum aufsetzen: eine Einwilligung samt Cookie-Banner, eine Risikoabschätzung der Übermittlung in die USA und seit April 2026 die volle Verantwortlichkeit für die Verarbeitung. Wer diese Aufgaben nicht tragen will, ist mit einem CAPTCHA besser bedient, das von vornherein in der EU bleibt und keine Cookies setzt.
Im direkten Vergleich: die vollständige Gegenüberstellung mit reCAPTCHA, hCaptcha, Turnstile und Friendly Captcha zeigt jede Zeile mit den Quellen.
| reCAPTCHA | captchaapi.eu | |
|---|---|---|
| Betreiber | Google LLC (USA) | Einzelunternehmer (Tschechien, EU) |
| Hosting | global, US-verankert | nur EU (Hetzner, Nürnberg) |
| Cookies | ja (_GRECAPTCHA) |
keine |
| Cookie-Banner nötig | ja | nein |
| Übermittlung in die USA | ja (Standarddatenschutzklauseln / DPF) | keine |
| Abwehr | ML-Risk-Scoring | deterministischer Proof of Work |
| Kostenlos | 10.000/Monat pro Organisation | 10.000/Monat, kommerziell erlaubt |
| Einstiegstarif | ab 8 $ (10.001-100.000) | 9 €/Monat (20.000 Anfragen) |
Was reCAPTCHA datenschutzrechtlich auslöst
Drei Dinge passieren, sobald ein Besucher auf eine Seite mit reCAPTCHA trifft, und alle drei sind aus DSGVO-Sicht relevant.
Erstens: Daten verlassen die EU. Googles Infrastruktur ist global und in den USA verankert. Seit der EuGH im Verfahren Schrems II (C-311/18) das Privacy Shield gekippt hat, stützt sich jede Übermittlung in die USA auf Standarddatenschutzklauseln plus eine Transferprüfung, die das vom Gericht benannte Überwachungsrisiko berücksichtigen muss. Das EU-US Data Privacy Framework von 2023 hat zwar wieder einen Angemessenheitsweg für zertifizierte Importeure geschaffen, steht aber bereits unter rechtlicher Anfechtung. So oder so verlassen Sie sich auf einen US-Transfermechanismus, statt die Daten gar nicht erst aus der EU zu lassen.
Zweitens: reCAPTCHA setzt Cookies und analysiert seitenübergreifend. Das Widget setzt ein _GRECAPTCHA-Cookie und berechnet einen Risikowert aus dem Verhalten des Besuchers über alle reCAPTCHA-geschützten Seiten hinweg - und, falls er angemeldet ist, zusätzlich aus seinem Google-Kontostatus. Google nennt das "advanced risk analysis"; aus DSGVO-Sicht ist eine solche seitenübergreifende Analyse meines Erachtens als Profiling nach Art. 4 Nr. 4 einzuordnen. (Google gibt an, diese Daten nicht für personalisierte Werbung zu nutzen.) Weil hier nicht nur unbedingt erforderliche Informationen im Spiel sind, brauchen Sie nach § 25 TDDDG und Art. 6 Abs. 1 DSGVO eine Einwilligung, und damit ein Cookie-Banner vor dem Formular.
Drittens: Sie sind seit April 2026 allein verantwortlich. Zum 2. April 2026 tritt Google für reCAPTCHA nur noch als Auftragsverarbeiter auf. Sie waren immer Verantwortlicher, weil Sie entscheiden, warum und wie das CAPTCHA läuft, aber Google hat die Daten zuvor auch für eigene Zwecke verarbeitet. Jetzt liegt die Verantwortung vollständig bei Ihnen, und Googles eigener Migrationshinweis fordert Sie auf, Verweise auf Googles Datenschutzerklärung und Nutzungsbedingungen von Ihrer Seite zu entfernen. Das heißt konkret: AVV prüfen, Transferprüfung dokumentieren, Einwilligung sauber einholen, Informationspflichten nach Art. 13 erfüllen. Alles bei Ihnen.
Der Fall Cityscoot: kein theoretisches Risiko
Dass das kein Papiertiger ist, zeigt ein konkreter Bescheid. Die französische Aufsichtsbehörde CNIL verhängte im März 2023 ein Bußgeld von 125.000 € gegen den Anbieter Cityscoot. Einer der Gründe war der Einsatz von reCAPTCHA ohne vorherige Einwilligung, geahndet nach Art. 82 des französischen Datenschutzgesetzes (Entscheidung SAN-2023-003). Der Punkt ist nicht "reCAPTCHA ist verboten", sondern: ein CAPTCHA, das Cookies setzt und ohne Einwilligung läuft, ist ein bekanntes und bereits geahndetes Risiko.
Wo reCAPTCHA trotzdem gewinnt
Damit das fair bleibt: reCAPTCHA ist technisch stark und bei bestimmtem Traffic schwer zu schlagen. Das ML-Scoring läuft unsichtbar im Hintergrund, und wer normal wirkt, kommt ganz ohne sichtbare Aufgabe durch. Bei sehr hohem Consumer-Traffic, bei dem jede zusätzliche Sekunde Conversion kostet, ist dieser reibungslose Durchlauf ein echter Vorteil. Wenn Sie auf möglichst geringe Reibung optimieren und mit einer Verarbeitung außerhalb der EU einverstanden sind, kann reCAPTCHA die richtige Wahl bleiben.
Der Tausch ist nur eben nicht kostenlos: Sie zahlen ihn in Cookie-Banner, Drittlandtransfer und Verantwortlichkeit.
Die Alternative: nur EU, ab der ersten Anfrage
captchaapi.eu setzt an genau diesem Tausch an. Der Schutz ist deterministischer Proof of Work: Der Browser des Besuchers löst ein kleines Rechenrätsel, bevor das Formular abgeschickt wird. Kein Scoring, das Verhalten über Seiten hinweg auswertet, kein Profil.
Daraus folgt der datenschutzrechtliche Unterschied:
- Hosting nur in der EU. Verarbeitung ausschließlich bei Hetzner in Nürnberg. Keine Übermittlung in ein Drittland, also auch keine Transferprüfung und keine Standarddatenschutzklauseln nötig.
- Keine Cookies, kein Banner. Das Widget setzt keine Cookies und macht kein Fingerprinting. Die einzige betroffene Information ist die IP-Adresse des Besuchers, und die wird nur als Einweg-Hash (SHA-256 mit serverseitigem Salt) im flüchtigen Cache gehalten, nie in einer Datenbank gespeichert. Damit besteht für die CAPTCHA-Ebene kein Einwilligungserfordernis nach § 25 TDDDG.
- AVV liegt vor. Einen vorab unterzeichneten AVV nach Art. 28 gibt es als öffentliche Seite zum Herunterladen, ohne Beschaffungsschleife. Federführende Aufsichtsbehörde ist die tschechische ÚOOÚ.
Der Abwehrmechanismus ist bewusst anders gelagert: Proof of Work hält seine Kosten unter koordinierten Angriffen vorhersehbar, weil sie nicht davon abhängen, dass die Erkennungsgenauigkeit eines Modells stabil bleibt. Und die Entscheidungslogik ist nachvollziehbar statt undurchsichtig.
Tarife
| Tarif | reCAPTCHA | captchaapi.eu |
|---|---|---|
| Kostenlos | 10.000/Monat pro Organisation | 10.000/Monat, kommerziell erlaubt |
| Einstieg | ab 8 $ (10.001-100.000) | 9 €/Monat - 20.000 Anfragen |
| Wachstum | 1 $/1.000 darüber | 29 €/Monat - 100.000 Anfragen |
Der kostenlose Tarif bei captchaapi.eu erlaubt ausdrücklich die kommerzielle Nutzung, und über das Kontingent hinaus werden zahlende Tarife nicht hart blockiert, sondern weiter mit derselben Schwierigkeit bedient. Der Besucher hat den Tarif nicht ausgesucht, also trägt er auch nicht die Folgen, wenn das Kontingent erschöpft ist.
Umstieg in der Praxis
Der Wechsel ist kein Projekt. Sie tauschen das reCAPTCHA-Skript gegen captcha.js, ersetzen die Server-Prüfung durch einen Aufruf gegen den /verify-Endpoint und entfernen anschließend den Cookie-Banner-Eintrag für das CAPTCHA. Letzteres ist oft die sichtbarste Verbesserung für Ihre Besucher.
Worum es eigentlich geht
reCAPTCHA ist nicht verschwunden und nicht verboten. Es ist nach dem Wechsel zu Google Cloud nur ehrlicher geworden, was die Rollenverteilung angeht: Die Verantwortung sitzt jetzt klar bei Ihnen. Für einen Anbieter mit EU-Nutzern war die datenschutzrechtliche Lage aber schon vorher der unangenehme Teil - Drittlandtransfer, Einwilligung, Cookie-Banner auf jeder geschützten Seite.
Wenn Sie diese Aufgaben übernehmen wollen, ist reCAPTCHA weiterhin ein solides Werkzeug. Wenn Sie sie lieber gar nicht erst entstehen lassen, ist genau das der Grund, warum dieses Produkt existiert. Kostenlos starten, keine Karte nötig.
reCAPTCHA-Konditionen: Stand Juni 2026, laut Googles eigener Preisübersicht. Preise und Bedingungen ändern sich - prüfen Sie vor einer Entscheidung die aktuellen Angaben auf Googles Seite.