Dein WP Doktor Logo
Schnelle Hilfe

Google reCAPTCHA ändert sich: Was du als WordPress Betreiber bis April 2026 tun solltest

Google reCaptcha Änderung 2026

Vielleicht hast du in den letzten Tagen eine Mail von Google bekommen, die dich verunsichert hat. Betreff sinngemäß: reCAPTCHA ändert seine Rolle. Klingt nach DSGVO-Problem, oder?


Ich bekomme gerade viele Anfragen dazu. Die gute Nachricht: Technisch ändert sich nichts. reCAPTCHA funktioniert weiterhin wie bisher.

Es geht um eine rechtliche Umstellung, die aber konkrete Auswirkungen auf deine Website hat. Und um ein paar Dinge, die du bis Anfang April erledigen solltest.

Was steht in der Google Mail

Google schreibt, dass reCAPTCHA ab dem 2. April 2026 nicht mehr als sogenannter „Data Controller“ (Datenverantwortlicher) auftritt, sondern als „Data Processor“ (Auftragsverarbeiter).

In einfachen Worten: Bisher hat Google selbst entschieden, wie Daten im Rahmen von reCAPTCHA verarbeitet werden. Ab April verarbeitet Google diese Daten nur noch in deinem Auftrag. Du als Website-Betreiber bist dann formal der Verantwortliche.

Google sagt ausdrücklich, dass sich keine Funktionen ändern. Die Umstellung ist rein organisatorisch und rechtlich. Es ist also keine technische Anpassung an deiner Website nötig.

Was bedeutet das für den Datenschutz

Auf den ersten Blick ist die Änderung eine Verbesserung, weil die Rollen klarer werden. Google darf die Daten nicht mehr für eigene Zwecke nutzen, sondern nur noch für das, wofür du reCAPTCHA einsetzt: Spam- und Bot-Schutz.

Es gibt aber eine Kehrseite: Du trägst jetzt die volle Verantwortung. Als Datenverantwortlicher musst du sicherstellen, dass der Einsatz von reCAPTCHA auf deiner Website DSGVO-konform ist. Das betrifft vor allem drei Dinge:

  • Rechtsgrundlage: Du brauchst eine saubere Rechtsgrundlage für den Einsatz. In der Praxis bedeutet das meistens eine Einwilligung über dein Cookie-Banner, bevor reCAPTCHA geladen wird.
  • Datenschutzerklärung: reCAPTCHA muss korrekt und aktuell in deiner Datenschutzerklärung beschrieben sein.
  • Consent-Setup: Wenn reCAPTCHA bei dir schon beim Laden der Seite aktiv wird, also bevor der Besucher überhaupt etwas angeklickt hat, ist das ein Problem.

 

Wichtig: reCAPTCHA erfasst deutlich mehr als nur die IP-Adresse. Google sammelt unter anderem Cookies, Mausbewegungen, Tastenanschläge, Gerätedaten und Browser-Fingerprints. Bei angemeldeten Google-Nutzern kann auch auf bestehende Google-Cookies zugegriffen werden. Genau deshalb ist das Thema Einwilligung so relevant.

Noch ein Hinweis, der mir wichtig ist: Ich bin Entwickler, kein Anwalt und kein Datenschutzexperte.

Was ich dir hier gebe, ist eine technische und praktische Einordnung. Wenn du maximal sicher sein willst, sprich die Details mit deinem Datenschutz-Ansprechpartner oder einem spezialisierten Juristen ab.

reCaptcha

Was du konkret tun solltest

Google nennt in der Mail einen Punkt sehr deutlich: Wenn deine Website im Zusammenhang mit reCAPTCHA noch auf Googles Privacy Policy oder Terms of Use verweist, sollst du diese Verweise ab dem 2. April 2026 entfernen. Google entfernt sie auch aus dem reCAPTCHA-Badge selbst.


In WordPress tauchen solche Verweise typischerweise an diesen Stellen auf:

  • Unter Kontaktformularen, oft als kleiner Hinweistext wie „This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply“
  • Im Footer, wenn dort irgendwann mal ein Standardtext eingefügt wurde
  • Auf der Datenschutzseite, wenn du ältere Textbausteine übernommen hast
  • In Formular-Plugins, die automatisch einen reCAPTCHA-Hinweis ausgeben

Meine Empfehlung: Diese vier Schritte bis Anfang April erledigen

Schritt 1: Hinweise suchen. Durchsuche deine Website nach „Privacy Policy“, „Terms of Service“, „reCAPTCHA“ und „Google“. Schau dir besonders Formulare, Footer und Datenschutzseite an.

Schritt 2: Veraltete Verweise entfernen oder ersetzen. Alles, was explizit auf Googles Privacy Policy und Terms im reCAPTCHA-Kontext verlinkt, muss raus.

Schritt 3: Datenschutzerklärung aktualisieren. Der Abschnitt zu reCAPTCHA sollte die neue Rolle (Auftragsverarbeiter) widerspiegeln und die erhobenen Daten korrekt beschreiben. Wenn du einen Datenschutz-Generator wie den von eRecht24 nutzt, prüfe ob der reCAPTCHA-Abschnitt aktuell ist.

Schritt 4: Cookie-Banner prüfen. Öffne deine Website im Inkognito-Fenster und schau, ob reCAPTCHA schon vor einer Entscheidung im Cookie-Banner geladen wird. Das ist ein häufiger Stolperstein, den ich bei Kunden immer wieder sehe.

Wo reCAPTCHA auf deiner WordPress Website überall stecken kann

Viele denken nur ans Kontaktformular. Aber reCAPTCHA wird in WordPress oft an mehreren Stellen eingebunden. Prüfe besonders:

  • Kontaktformulare (Anfrage, Termin, Newsletter)
  • Login-Formulare (wp-login, Membership-Plugins)
  • Registrierung und Passwort-Reset
  • Blog-Kommentare
  • WooCommerce (Login, Registrierung, Checkout, Produktbewertungen)
  • Formular-Plugins wie WPForms, Gravity Forms, Contact Form 7 oder Elementor Forms, die eigene reCAPTCHA-Integrationen mitbringen

Mein Tipp: Wenn du dir unsicher bist, ob und wo reCAPTCHA geladen wird, öffne die Entwicklertools deines Browsers (F12) und suche im Netzwerk-Tab nach „recaptcha“. Oder frag mich, ich schaue mir das für dich an.

Brauchst du reCAPTCHA überhaupt noch

Die Umstellung ist ein guter Moment, um sich eine ehrliche Frage zu stellen: Willst du weiter einen Google-Dienst nutzen, der Cookies setzt, Nutzerdaten erfasst und regelmäßig Datenschutz-Diskussionen auslöst? Oder gibt es eine schlankere Lösung, die für deine Website genauso gut funktioniert?

WP Armour: Honeypot ohne Datenverarbeitung

WP Armour ist meine Empfehlung für die meisten WordPress-Websites.

Das Plugin nutzt die sogenannte Honeypot-Technik: Es baut unsichtbare Felder in deine Formulare ein, die echte Besucher nie sehen, aber Bots automatisch ausfüllen. Sobald ein Bot das tut, wird die Eingabe blockiert.

Der große Vorteil: WP Armour verarbeitet keinerlei Daten.

Keine Cookies, kein Tracking, keine externen Server-Aufrufe. Das Plugin ist DSGVO-konform, ohne dass du irgendetwas in deine Datenschutzerklärung schreiben oder im Cookie-Banner konfigurieren musst.

WP Armour unterstützt in der kostenlosen Version bereits WordPress-Kommentare, Registrierung, Contact Form 7, WPForms, Gravity Forms, Elementor Forms und viele weitere Formular-Plugins.

Ich setze es bei vielen Kunden-Websites ein und die Erfahrung zeigt: Für kleine bis mittlere WordPress-Seiten reicht Honeypot überraschend gut gegen Spam.

Fazit

reCAPTCHA funktioniert nach dem 2. April 2026 genauso wie vorher. Aber du bist jetzt formal der Verantwortliche für die Datenverarbeitung. Das heißt: Hinweistexte prüfen, Datenschutzerklärung aktualisieren, Cookie-Banner checken. Drei Aufgaben, die du in einer Stunde erledigen kannst.

Und wenn du ohnehin gerade aufräumst: Schau dir an, ob du reCAPTCHA überhaupt noch brauchst. Ein Plugin wie WP Armour löst das Spam-Problem für viele WordPress-Websites sauberer, schneller und ohne jede Datenschutz-Diskussion.

Du möchtest das lieber prüfen lassen

Wenn du dir nicht sicher bist, ob reCAPTCHA bei dir korrekt eingebunden ist oder ob du es sauber ersetzen kannst: Schick mir deine Website-URL und ich sage dir, ob und wo reCAPTCHA aktiv ist und was du konkret ändern musst.

reCaptcha

Weitere Beiträge

Bild von Robin Herold

Robin Herold

Ich löse dein WordPress Problem und schreibe hier über Tipps und Tricks rund um WordPress, Sicherheit und mehr!

WordPress Notfall?

Deine Website wurde gehackt oder sie ist nicht mehr erreichbar?
Notfall-Hilfe
Kontakt

Kommentare, Wünsche oder Feedback?

Du möchtest, dass ich über ein bestimmtes Thema schreibe oder mir Feedback zu einem bestehenden Beitrag schicken?

Feedback Blog