02.09.2025 | Datenschutzrecht

Cookies des Google-Dienstes reCAPTCHA datenschutzwidrig

Das Urteil aus Österreich und seine Brisanz für Deutschland

Das österreichische Bundesverwaltungsgericht (ÖBVwG) hat entschieden: Cookies des Google-Dienstes reCAPTCHA sind datenschutzwidrig. Die Autorenzusammenfassung warnt ausdrücklich vor „Sprengstoff“ auch für deutsche Anbieter, inklusive der Gefahr von Wettbewerberklagen. Die Entscheidung wird in der Literatur als ÖBVwG ZD 2025, 210 geführt.

Kernpunkt der Entscheidung ist, dass reCAPTCHA Cookies setzt, die das ÖBVwG als datenschutzwidrig bewertet hat. Das ist besonders kritisch, da reCAPTCHA sehr weit verbreitet ist, etwa beim Schutz von Kontaktformularen oder bei Login- und Checkout-Prozessen. Für deutsche Anbieter birgt die Bewertung erhebliches Risiko, da daraus Abmahn- und Klagerisiken entstehen können. Zudem ist die UWG-Schiene eröffnet, da EuGH und BGH klargestellt haben, dass die DSGVO Mitbewerberklagen nicht sperrt. Damit können Datenschutzverstöße auch wettbewerbsrechtlich angegriffen werden.

Das Risikobild ist eindeutig: Zum einen drohen wettbewerbsrechtliche Abmahnungen oder Klagen, wenn ein DSGVO-Verstoß vorliegt. Zum anderen können auch Verfahren durch Datenschutzaufsichtsbehörden oder zivilrechtliche Schadensersatzansprüche folgen. Ein Beispiel liefert der EuG: Dort wurden 400 Euro immaterieller Schadenersatz zugesprochen, weil bei einem Login über „Sign in with Facebook“ rechtswidrige Drittlandtransfers erfolgt waren – ein Hinweis auf die generelle Relevanz bei der Einbindung externer US-Dienste. Dieser Beitrag liefert Informationen, was Website-Betreiber jetzt beachten müssen.

Konkrete Risiken und Handlungsbedarf für Betreiber:innen

Um Risiken zu minimieren, bis höchstrichterlich geklärt ist, unter welchen Bedingungen Captcha-Dienste rechtssicher sind, sollten Website-Betreiber jetzt handeln. Zunächst empfiehlt sich ein Sofort-Audit der Einbindung: Betreiber:innen sollten prüfen, ob und wie reCAPTCHA geladen wird, insbesondere ob vor einer Nutzer-Einwilligung bereits Cookies gesetzt oder Requests an Drittanbieter erfolgen.

Darauf aufbauend ist Consent-Gating bzw. ein „Two-Click“-Verfahren sinnvoll, bei dem reCAPTCHA erst nach expliziter Einwilligung geladen wird. Zwar mindert ein solcher Consent das Risiko, er ist jedoch kein Freifahrtschein, solange die Rechtmäßigkeit der Cookies selbst infrage steht. Ebenso wichtig ist die Minimierung von Drittlandtransfers. Betreiber:innen sollten prüfen, ob durch den Dienst Datenübermittlungen in die USA stattfinden. Ohne geeignete Garantien droht Haftung, da die EuG-Rechtsprechung zeigt, dass schon die rechtswidrige Übermittlung Schadenersatz auslösen kann.

Auch Datenminimierung und Erforderlichkeit spielen eine Rolle: Captchas sollten nur dort eingesetzt werden, wo sie wirklich nötig sind, etwa bei Checkout oder Login. Ergänzend empfiehlt es sich, serverseitige Schutzmechanismen wie Rate-Limiting oder IP- und Header-Checks einzusetzen.

Darüber hinaus müssen Datenschutzhinweise und Consent-Management-Plattformen (CMP) angepasst werden. Die Datenschutzerklärung sollte die Zwecke, Anbieter, Cookies und mögliche Drittlandtransfers transparent aufführen. Das Consent-Banner bzw. CMP muss so konfiguriert sein, dass ohne Einwilligung kein Laden des Captcha-Dienstes erfolgt.

Parallel sollten technische Alternativen geprüft werden, etwa datensparsame Captcha-Verfahren ohne Tracking-Cookies oder selbst gehostete Lösungen. Ein Proof-of-Concept auf einer Testumgebung kann hier Aufschluss über Barrierefreiheit, Conversion-Impact und False-Positive-Rate geben.

Nicht zuletzt ist Vorsorge gegen UWG-Abmahnungen gefragt: Betreiber:innen sollten eine interne Dokumentation zu Consent-Flows, Technik und Datenschutz-Folgenabschätzungen bereithalten und einen Schnellreaktionsplan für Abmahnungen entwickeln. Dazu gehören Standardantworten und sofortige technische Abhilfemaßnahmen.

Quick-Check, FAQ und nächste Schritte

Quick-Check: Die wichtigsten Fragen für Betreiber

• Lädt reCAPTCHA erst nach Consent?
• Werden Cookies oder Requests bereits vor Zustimmung gesetzt?
• Sind Drittlandbezüge dokumentiert und abgesichert?
• Sind Datenschutzerklärung und CMP aktuell und konsistent?
• Wurden technische Alternativen geprüft und bewertet?

FAQ: Häufige Fragen zu reCAPTCHA, DSGVO & UWG

1. Macht Consent reCAPTCHA automatisch rechtmäßig?

Nein. Consent kann Risiken mindern, aber das ÖBVwG hat die Cookies selbst als datenschutzwidrig eingestuft, weshalb die rechtliche Bewertung heikel bleibt.

2. Warum drohen Abmahnungen nach UWG?

Weil Datenschutzverstöße wettbewerbsrechtlich angreifbar sind und die DSGVO Mitbewerberklagen nicht sperrt.

3. Gibt es echte Präzedenzfälle zu Drittdiensten und Schadenersatz?

Ja. Der EuG sprach 400 Euro immateriellen Schadenersatz wegen rechtswidriger Drittlandübermittlung bei Einbindung eines externen Login-Dienstes zu.

SBS LEGAL – Kanzlei für Datenschutzrecht

Haben Sie Fragen zu den Folgen des ÖBVwG-Urteils zu Google reCAPTCHA? Sind Sie unsicher, ob Ihre Website noch DSGVO-konform ist oder ob Ihnen Abmahnungen nach dem UWG drohen? 

Dann sind Sie bei SBS LEGAL genau richtig! 

Unsere Kanzlei unterstützt Website-Betreiber und Unternehmen bei der rechtlichen Umsetzung der aktuellen Rechtsprechung zum Einsatz von Google reCAPTCHA. Nach der Entscheidung des ÖBVwG drohen nicht nur datenschutzrechtliche Konsequenzen nach der DSGVO, sondern auch Abmahnungen und Klagen nach dem UWG. Wir prüfen für Sie den Einsatz bestehender Tools, entwickeln datenschutzkonforme Alternativen und begleiten Sie bei der Abwehr von Ansprüchen. Mit Erfahrung, Durchsetzungskraft und praxisnahen Lösungen steht Ihnen das Team von SBS LEGAL zur Seite.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

Zurück zur Blog-Übersicht