Datenschutz als Verdachtsmoment: Wie Google die Privatsphäre zur Sicherheitsbedrohung erklärt
Wir haben in früheren Artikeln gezeigt, wie globale Konzerne und Institutionen schrittweise die Rahmenbedingungen des digitalen Alltags neu definieren – meist unter dem Deckmantel von Sicherheit, Effizienz oder Komfort. Ein aktuelles Beispiel verdeutlicht diese Verschiebung exemplarisch: Googles stille Revolution beim reCAPTCHA-System.
Was technisch nach einem Update klingt, ist in Wahrheit ein grundlegender Angriff auf das Recht, im Netz anonym und frei zu navigieren – mit direkten Konsequenzen für Millionen von Nutzern in Österreich, Deutschland und der Schweiz. Das Posting, das eine Debatte auslöste wurde am 9. Mai 2026 veröffentlicht. Der Cybersicherheits-Newsletter International Cyber Digest postete einen Beitrag, der binnen Stunden über 1,2 Millionen Aufrufe generierte. Die Botschaft war klar formuliert: Google behandelt Privatsphäre standardmäßig als verdächtiges Verhalten. Konkret geht es um eine neue Verifikationsmethode, die im Rahmen von Googles Cloud Fraud Defense – dem Nachfolger des bekannten reCAPTCHA-Systems – am 22. April beim Google Cloud Next 2026-Kongress offiziell vorgestellt worden war.
Das Prinzip des neuen Systems: Wird ein Nutzer vom System als „verdächtig“ eingestuft, erscheint kein Bilderrätsel mehr. Stattdessen wird ein QR-Code angezeigt – der mit einem zertifizierten Smartphone gescannt werden muss. Was als zertifiziert gilt, definiert Google selbst: Geräte mit Google Play Services ab Version 25.41.30 oder neuere iPhones (ab iOS 16.4). Wer ein datenschutzorientiertes Android-Betriebssystem wie GrapheneOS, CalyxOS oder /e/OS verwendet – also bewusst auf Google-Dienste verzichtet – scheitert an dieser Überprüfung. Automatisch. Systemisch. Ohne Ausweichmöglichkeit.
Die Technik hinter der Schranke
Um zu verstehen, was hier passiert, lohnt ein kurzer Blick in die Funktionsweise. Das neue reCAPTCHA nutzt die sogenannte Play Integrity API – eine kryptographische Attestierungsmethode, die prüft, ob ein Gerät eine gültige Google-Signatur trägt. Kein Play Services bedeutet keine Signatur, keine Signatur bedeutet: Verifikation gescheitert. Ein VPN hilft nicht, ein Browser-Workaround auch nicht. Es geht um die Identität des Geräts, nicht um den Netzwerkpfad.
GrapheneOS hat über 400.000 aktive Nutzer. LineageOS, CalyxOS und /e/OS kommen zusammen auf Millionen von Installationen weltweit – darunter Sicherheitsexperten, Journalisten, Aktivisten und schlicht technikaffine Bürger, die ihr Gerät kontrollieren wollen. All diese Nutzer treffen nun auf eine unsichtbare Mauer: Webseiten, die reCAPTCHA einsetzen, sind für sie faktisch gesperrt – ohne Vorwarnung, ohne Alternative, ohne Begründung.
„Es ist enorm wettbewerbswidrig„, kommentierte das GrapheneOS-Team öffentlich. „Die Kontrolle über reCAPTCHA versetzt Google in die Position, entweder iOS oder ein zertifiziertes Android-Gerät zur Bedingung für die Nutzung weiter Teile des Internets zu machen.“
Dass iOS-Geräte problemlos passieren – ohne jede Google-Software, durch Apple App Attest – zeigt: Es geht nicht um Sicherheit im abstrakten Sinne. Es geht um die Kontrolle des Zugangs zu einem immer größeren Teil der digitalen Infrastruktur.
Nicht das erste Mal: Das Lehrstück Web Environment Integrity
Dies ist kein Präzedenzfall. Im Jahr 2023 versuchte Google mit dem Konzept Web Environment Integrity (WEI) bereits, ein ähnliches System als offenen Webstandard zu etablieren. Der Aufschrei war gewaltig – Entwickler, Datenschützer und Browser-Konkurrenten liefen Sturm. Google zog den Vorschlag zurück.
Die Schlussfolgerung, die Google daraus zog, ist bezeichnend: Statt das Konzept aufzugeben, wurde es kommerzialisiert. Als proprietäres Produkt – Cloud Fraud Defense – lässt es sich ohne öffentliche Standardisierungsdebatte einführen. Die alten Bilderpuzzles existieren als Fallback noch, aber wie lange? Das Unternehmen Mega, spezialisiert auf Datenschutz-Infrastruktur, kommentierte trocken: „Diesmal haben sie es als kommerzielles Produkt statt als öffentlichen Vorschlag eingeführt. Wie lange Google die alte Option offenlässt, ist unklar.“
Die DSGVO-Dimension: Ein doppeltes Spiel
Zeitgleich mit dieser technischen Entwicklung lief ein weiteres reCAPTCHA-Kapitel, das besonders für den deutschsprachigen Raum relevant ist. Zum 2. April 2026 hat Google das datenschutzrechtliche Modell von reCAPTCHA grundlegend geändert: Der Konzern wechselte von der Rolle des eigenständigen „Datenverantwortlichen“ zum sogenannten Auftragsverarbeiter gemäß Art. 28 DSGVO. Das klingt nach einem Zugeständnis an europäischen Datenschutz – ist aber bei näherer Betrachtung komplexer.
Bisher konnte Google als eigenständiger Verantwortlicher die über reCAPTCHA gewonnenen Nutzerdaten – IP-Adressen, Browserinformationen, Mausbewegungen, Tastendrücke, Screenshots des Browserfensters – de facto für eigene Zwecke nutzen, potenziell auch für Werbeprofilierung. Ab April 2026 darf Google diese Daten offiziell nur noch im Auftrag des jeweiligen Website-Betreibers und zweckgebunden verwenden. Die Verantwortung verschiebt sich damit formal auf die Betreiber von Webseiten – mit erheblichem Anpassungsbedarf.
Datenschutzexperten sind gespalten. Einerseits ist die neue Rollenverteilung klarer und DSGVO-konformer. Andererseits – und hier liegt der eigentliche Witz der Sache – hat Google die Haftung nach Europa verlagert, ohne echte Transparenz zu liefern. Daten fließen weiterhin in die USA. Das Drittlandtransfer-Risiko bleibt bestehen, auch wenn Google LLC im Data Privacy Framework (DPF) gelistet ist – einem Rahmenwerk, dessen rechtliche Belastbarkeit nach dem Schrems-II-Urteil und dem politischen Klima in Washington als fragil gelten muss. Das Schrems-II-Urteil (C-311/18) des Europäischen Gerichtshofs vom 16. Juli 2020 erklärte das „EU-US Privacy Shield“-Abkommen, das die Übermittlung personenbezogener Daten aus der EU in die USA regelte, für ungültig, da der Datenschutz für EU-Bürger bei Datenübermittlungen in die USA aufgrund weitreichender Überwachungsgesetze nicht gewährleistet war. Es verschärfte die Regeln für Datentransfers in Drittländer.
Österreich: Das Bundesverwaltungsgericht setzt Zeichen
Österreich hat in der reCAPTCHA-Debatte bereits eine klare Haltung eingenommen. Das Bundesverwaltungsgericht entschied im September 2024 (Az. W298 2274626-1/8E), dass der Einsatz von Google reCAPTCHA auf Websites nur mit ausdrücklicher Einwilligung des Nutzers zulässig ist. Auslöser war eine Beschwerde eines Nutzers, der die Website einer politischen Partei besucht hatte, um eine Mitgliedschaft zu beantragen – ohne zu wissen, dass im Hintergrund reCAPTCHA-Cookies gesetzt und Daten an Google-Server übermittelt wurden.
Die österreichische Datenschutzbehörde stellte einen Verstoß gegen DSGVO-Grundsätze fest: Rechtmäßigkeit, Transparenz und Datenminimierung (Art. 5 Abs. 1 lit. a, b und c DSGVO) sowie die Einwilligungspflicht (Art. 6 Abs. 1 lit. a DSGVO) waren verletzt. Das BVwG bestätigte dies vollumfänglich. Begründung: reCAPTCHA ist für die technische Funktionsfähigkeit einer Website nicht notwendig – es existieren Alternativen, die ohne Google-Dienste auskommen.
Dieses Urteil ist wegweisend. Es zeigt, dass die österreichischen Behörden den Einsatz solcher Tools nicht als selbstverständlich hinnehmen – und dass die nun technisch erzwungene Abhängigkeit von Google Play Services einer neuerlichen Prüfung bedarf.
Deutschland: §25 TDDDG und die Einwilligungspflicht
In Deutschland ist neben der DSGVO das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) relevant, konkret §25. Dieser schreibt vor, dass der Zugriff auf Endgeräte – also das Setzen von Cookies oder ähnlichen Technologien – nur dann ohne Einwilligung zulässig ist, wenn dies für einen „vom Nutzer ausdrücklich gewünschten digitalen Dienst“ unbedingt erforderlich ist. Da reCAPTCHA regelmäßig nicht als technisch notwendig eingestuft wird, bleibt die Einwilligungspflicht bestehen – auch nach Googles April-Reform.
Gleichzeitig stehen deutsche Website-Betreiber nun vor einer paradoxen Situation: Sie sollen die Datenverarbeitung über reCAPTCHA transparent ausweisen und als Verantwortliche dokumentieren – aber das neue System von Cloud Fraud Defense entzieht bestimmten Nutzergruppen den Web-Zugang auf eine Weise, über die Betreiber keine Kontrolle haben. Wer GrapheneOS nutzt, wird geblockt – nicht vom Website-Betreiber, sondern von Google. Die DSGVO-Rechenschaftspflicht liegt beim Betreiber, die technische Macht bei Google.
Schweiz: nDSG und die Frage der Verhältnismäßigkeit
Die Schweiz ist mit dem revidierten Datenschutzgesetz (nDSG), das seit September 2023 gilt, der europäischen DSGVO formal angenähert. Das Grundprinzip der Verhältnismäßigkeit und Datensparsamkeit gilt auch hier. Ein System, das Millionen von Nutzern mit datenschutzorientierten Geräten strukturell vom Internet ausschließt, dürfte kaum als verhältnismäßig einzustufen sein – selbst wenn es unter dem Label „Betrugsabwehr“ firmiert.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat sich zu dieser spezifischen Entwicklung noch nicht öffentlich positioniert. Angesichts der Tragweite – Schweizer Nutzer privater Android-Systeme treffen dieselbe Blockade – wäre eine Stellungnahme angebracht.
Das eigentliche Problem: Infrastrukturmacht
Was diese Debatte über einen technischen Streit hinaushebt, ist die Frage der Infrastrukturmacht. reCAPTCHA ist kein Nischenprodukt. Es ist auf Millionen von Websites eingebettet – Behörden, Banken, Medien, Online-Shops. Wer dieses System kontrolliert, kontrolliert de facto einen erheblichen Teil der Zugangsbedingungen zum Internet.
Google hat diese Macht nie demokratisch legitimiert erhalten. Sie ist durch Marktdominanz entstanden – und wird nun genutzt, um Nutzer, die sich bewusst gegen das Google-Ökosystem entschieden haben, strukturell auszugrenzen. Das Argument der „Sicherheit“ – Abwehr von KI-gestützten Bots – ist nicht von der Hand zu weisen. Aber es rechtfertigt nicht, dass Privatsphäre als Standard-Verdachtsmoment behandelt wird.
Die Frage, die sich stellt: Wer hat Google ermächtigt, festzulegen, welche Geräte als vertrauenswürdig gelten und welche nicht? Und wer kontrolliert, wie diese Kriterien in Zukunft ausgeweitet werden? In den USA wird man sagen: „Der Markt hat Google berechtigt„.
Alternativen existieren – und sie kommen aus Europa
Es ist kein Zufall, dass in dieser Debatte immer wieder auf Friendly Captcha hingewiesen wird – ein deutsches Unternehmen, das eine DSGVO-konforme, cookiefreie Bot-Abwehr ohne Google-Abhängigkeit anbietet. Die Technik funktioniert über individuelle Krypto-Puzzles, die im Browser gelöst werden, ohne Nutzerdaten an Dritte zu übertragen. Serverstandort: Deutschland bzw. EU.
Auch Cloudflares Turnstile und andere Dienste zeigen: Es gibt technische Alternativen. Der Markt hat sich verändert. Die Entscheidung, Google reCAPTCHA einzusetzen, ist keine Zwangsläufigkeit – sie ist eine Wahl. Eine Wahl mit datenpolitischen Konsequenzen.
Fazit: Datenschutz ist kein Luxus
Das Posting von International Cyber Digest hat einen Nerv getroffen – weil es etwas benennt, das viele spüren, aber selten so deutlich formuliert wird: Wer heute aktiv für seine Privatsphäre einsteht, wird von den Systemen, die das digitale Leben strukturieren, zunehmend als Problem behandelt.
In Österreich, Deutschland und der Schweiz gibt es Rechtsnormen, die dem entgegenwirken sollen – DSGVO, TDDDG, nDSG. Das österreichische Bundesverwaltungsgericht hat gezeigt, dass diese Normen durchsetzbar sind. Aber die Entwicklungsgeschwindigkeit technischer Fakten überholt die regulatorische Reaktionsfähigkeit regelmäßig.
Die eigentliche Frage ist politisch: Wollen europäische Gesellschaften, dass die Zugangsbedingungen zum digitalen Raum von einem US-Konzern definiert werden – der Privatsphäre zur Anomalie erklärt? Die Antwort sollte unmissverständlich sein.
Links zu früheren TKP-Beiträgen zum Thema finden Sie unterhalb 👇
Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.
Folge TKP auf Telegram oder GETTR und abonniere unseren Newsletter.
Europol betrieb jahrelang geheime Datenplattformen mit Millionen Unschuldiger
Bundestrojaner: Datenschutzverein warnt vor Massengefährdung und autoritärem Staat
Datenkrake Smart Meter – auch EuGH verhandelt Datenschutz und „Smart Meter“
Regeln für Kommentare: Bitte bleibt respektvoll - keine Diffamierungen oder persönliche Angriffe. Keine Video-Links. Manche Kommentare werden erst nach Prüfung freigegeben, was gelegentlich länger dauern kann.
Sie müssen angemeldet sein um Kommentare zu posten. Noch kein Konto? Jetzt registrieren.