Warum Google reCAPTCHA in DSGVO-konformen Formularen 2026 keine vertretbare Wahl mehr ist — und welche Alternative wir bei jedem neuen Projekt einsetzen.
Wer ein Kontaktformular schützen will, greift seit Jahren reflexhaft zu Google reCAPTCHA. Es funktioniert, ist verbreitet, und der Einbau dauert zehn Minuten. Das Problem: Jede Einbindung lädt Skripte und setzt Identifier von Google — und damit braucht es vor der Einbindung eine wirksame Einwilligung des Besuchers. Genau das macht es zum Cookie-Banner-Pflichtfall.
Was sich rechtlich geändert hat
Mehrere Aufsichtsbehörden haben in den letzten zwei Jahren klargestellt: reCAPTCHA überträgt personenbezogene Daten in die USA, fingerprintet Browser und ist damit nicht ohne explizite Einwilligung einsetzbar. Spätestens seit dem Aus der “anonymen” reCAPTCHA-v3-Variante ist die Argumentation, es handle sich um “berechtigtes Interesse”, nicht mehr haltbar. Wer reCAPTCHA ohne Opt-in lädt, riskiert Abmahnungen — und das bei einem Bauteil, das ein Besucher nicht einmal sieht.
Was Turnstile anders macht
Cloudflare Turnstile löst genau dieses Problem: kein Cookie, kein Browser-Fingerprinting, kein Daten-Transfer in die USA, der über das hinausginge, was ohnehin durch die Cloudflare-Edge läuft. Der Schutz erfolgt serverseitig über Verhalten und Browser-Signale — der Nutzer sieht im Idealfall gar nichts, im Härtefall eine einzige Checkbox.
Konkret bedeutet das:
- Keine Cookie-Banner-Pflicht für das CAPTCHA selbst — in vielen Setups kann es ohne Einwilligung geladen werden.
- Kein Tracking der Besucher über Sessions hinweg.
- Niedrigere Latenz — Cloudflare prüft an seiner Edge, nicht über einen US-Roundtrip.
- Kostenfrei in der überwiegenden Mehrheit der Use-Cases.
Was Sie trotzdem prüfen sollten
Turnstile ist kein Freibrief. Ein paar Punkte gehören in die Datenschutzerklärung und in die Architektur:
- Hinweis in der Datenschutzerklärung, dass Turnstile zur Spam-Abwehr verwendet wird und welche Daten Cloudflare verarbeitet.
- Auftragsverarbeitungsvertrag mit Cloudflare — kostenfrei abrufbar, gehört aber ins Datenschutz-Register.
- Server-seitige Validierung des Tokens — nie nur clientseitig, sonst läuft jeder Bot mit gefälschtem Token durch.
- Fallback für Browser ohne JavaScript, je nach Zielgruppe.
Unser Fazit
Wir setzen Turnstile in jedem neuen Kontakt- und Bestellformular ein. Der Aufwand für den Wechsel ist überschaubar — eine Stunde Arbeit pro Formular — und das DSGVO-Risiko verschwindet. Wer 2026 noch reCAPTCHA ohne Einwilligungs-Layer ausliefert, hat ein Compliance-Problem, das jederzeit eskalieren kann.