Google hat mitgeteilt, dass sich am 02.04.2026 die datenschutzrechtliche Stellung von Google bei der Nutzung von Google ReCaptcha auf Webseiten ändert, wodurch die Datenschutzerklärungen auf Webseiten angepasst werden müssen.
Bislang war Google für die Verarbeitung der Daten bei Verwendung von Google ReCaptcha auf Webseiten verantwortlich. Entsprechend wurde in den Datenschutzerklärungen der Webseiten häufig auf die Verarbeitung der Daten durch Google sowie die entsprechenden Hinweise in der Datenschutzerklärung von Google verwiesen.
Laut Mitteilung von Google werden die bei Nutzung von Google ReCaptcha verarbeiteten Daten seit 02.04.2026 von Google über die Google-Cloud (nur noch) im Auftrag des Seitenbetreibers zu Zwecken der Verifikation verarbeitet.
Google wechselt also datenschutzrechtlich von der verantwortlichen Stelle zum Auftragsverarbeiter. Dies bedingt, dass zukünftig ein Auftragsverarbeitungsvertrag mit Google abgeschlossen werden muss. Die Seitenbetreiber müssen hierfür aber nicht gesondert tätig werden. Bei der Registrierung zu Googles Cloud-Plattform wird als Teil der Google-Nutzungsvereinbarung auch ein Auftragsverarbeitungsvertrag abgeschlossen. Die Nutzung von Google ReCaptcha fällt zukünftig unter diesen Vertrag.
Angepasst werden müssen allerdings die Formulierungen der auf den Webseiten verwendeten Datenschutzerklärungen. Die bislang verwendeten Formulierungen sind seit 02.04.2026 nicht mehr korrekt und können ggfs. abgemahnt werden.