Im Mai 2025 hat das österreichische Bundesverwaltungsgericht ein spannendes Urteil (bereits als zweite Instanz) getroffen. Mit weitreichenden Konsequenzen.
Denn spätestens mit diesem Erkenntnis ist der Einsatz von Google ReCAPTCHA (v3) illegal.
Kurz zum Hintergrund
Ein Betroffener hat bei der österreichischen Datenschutzbehörde eine Beschwerde eingereicht, weil auf einer Website Google ReCAPTCHA in der Version 3 für ein Formular eingesetzt wurde, um es vor Formular-Spam zu schützen.
Für die Version 3 von ReCAPTCHA muss man keine blödes Bilderrätsel lösen, sondern die Unterscheidung zwischen Mensch und Bot erfolgt im Hintergrund und automatisch.
Allerdings sammelt Google über dieses Tool einen ganzen Haufen von personenbezogenen Daten. Darunter nicht nur die IP-Adresse der Besucher, sondern auch die Tastatur-Eingaben und sogar die Mausbewegungen (!) sowie weitere Informationen, zum Beispiel Browserdaten.
Das geschieht ohne Wissen und ohne Zustimmung der Betroffenen.
Bereits die Datenschutzbehörde hatte erkannt, dass dieser Einsatz von ReCAPTCHA unzulässig war, weil hier ohne rechtliche Grundlage personenbezogene Daten verarbeitet wurden. Der Betreiber der Website hat dagegen berufen.
Das Bundesverwaltungsgericht bestätigte das Urteil.
In dem Erkenntnis von Mai 2025 hat das Bundesverwaltungsgericht in einem ausführlichen (und gut begründeten) Erkenntnis das Urteil der Datenschutzbehörde bestätigt.
Kurz zusammengefasst bestätigte das Gericht, dass in diesem Fall keine Verhältnismäßigkeit vorlag. Denn der Website-Betreiber hatte argumentiert, dass der Einsatz von ReCAPTCHA v3 aus Gründen der Barrierefreiheit zwingend notwendig war.
Doch das Gericht brachte es auf den Punkt:
„Die Gewährleistung der Barrierefreiheit der Website […] kann nicht die systematische und allgemeine Verarbeitung der Browserinformationen, Mausbewegungen, Cookie-Informationen ect sämtlicher Website-Besucher:innen rechtfertigen.“
Eine Revision gegen dieses Urteil ist nicht zulässig.
Und was bedeutet das für die Praxis?
Ganz einfach: Google ReCAPTCHA v3 darf nicht (mehr) eingesetzt werden.
Die gute Nachricht: Es gibt durchaus eine ganze Reihe von Alternativen, die nicht ohne Wissen der Betroffenen derart viele Daten sammeln.
Eine der bekanntesten Alternativen ist Friendly Captcha. Allerdings ist dieses Tool zwar günstig (ab 9,- pro Monat), jedoch nicht kostenlos wie jenes von Google. Aber dafür datenschutzkonform.
Es gibt mit mCaptcha übrigens auch eine open-source Lösung.
Über den Autor
Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.