Jeder, der eine Webseite betreibt, kennt das reCAPTCHA-Dilemma: Man will die Bots draußen halten, aber die Rechtsabteilung kriegt Schnappatmung, sobald Nutzerdaten ungefiltert in Googles große Profiling-Maschine fließen. Bisher agierte Google bei seinem Bot-Schutz nämlich als eigenständiger "Datenverantwortlicher". Das bedeutete übersetzt: Google hat die Daten gesammelt und damit mehr oder weniger gemacht, was es für richtig hielt - meist unter Verweis auf die eigenen, recht dehnbaren Datenschutzbestimmungen.
Damit ist am 2. April 2026 Schluss. Google hat angekündigt, das Betriebsmodell weltweit umzustellen. reCAPTCHA wandelt sich von einer eigenwilligen Blackbox zu einem klassischen Auftragsverarbeiter-Dienst. Damit gliedert sich das Tool in die Riege der professionellen Google Cloud Services ein. Das klingt nach juristischem Kleingedrucktem, ist aber in der Praxis ein echtes politisches Beben im Google-Kosmos.
Der Rollentausch sieht so aus: Ab dem Stichtag bist du als Webseitenbetreiber der "Data Controller". Du sagst an, was mit den Daten passiert. Google rückt in die zweite Reihe als "Data Processor" und darf die erhobenen Informationen nur noch nach deinen strengen Anweisungen verarbeiten. Zweckgebunden heißt das Zauberwort: Die Daten dürfen nur noch für die Wartung, Sicherheit und die eigentliche Bot-Abwehr genutzt werden. Die Zeiten, in denen Nutzerdaten aus Sicherheitsabfragen unbemerkt in Werbetöpfe wanderten, sind damit offiziell vorbei.
Sichtbar wird das Ganze auch für die Endnutzer. Das kleine reCAPTCHA-Badge am Bildschirmrand wird die gewohnten Verweise auf die Google-Datenschutzerklärung und die Nutzungsbedingungen verlieren. Wer auf seiner Seite bisher manuell auf die Google-Privacy-Policy im Zusammenhang mit dem Tool hingewiesen hat, sollte diese Texte zum April schleunigst löschen. Google fordert seine Kunden proaktiv dazu auf, um der neuen Rechtslage gerecht zu werden.
Technisch soll der Übergang übrigens völlig geräuschlos ablaufen. Die bestehenden Site-Keys bleiben gültig, da die Migration in die Cloud-Plattform im Hintergrund bereits abgeschlossen ist. Für Admins bedeutet das vor allem weniger Kopfschmerzen bei der Argumentation für die DSGVO-Konformität. Dass Google diesen Schritt geht, ist ein spätes Eingeständnis an den europäischen Markt - und ein notwendiges, denn die Konkurrenz in Sachen privatsphärenfreundlicher Bot-Abwehr schlief zuletzt nicht.
Kommentare (0)