Lange Zeit war der Einsatz von Googles reCAPTCHA für europäische Webseitenbetreiber ein datenschutzrechtlicher Drahtseilakt. Der Dienst soll gegen Bots und Spam schützen. Doch die Art der Datenverarbeitung sorgte regelmäßig für Kopfschmerzen in Rechtsabteilungen. Bisher agierte Google bei der Analyse von Nutzerverhalten weitgehend als eigenständiger „Datenverantwortlicher“. Das bedeutete, dass der US-Konzern selbst entschied, wie und zu welchen Zwecken die im Hintergrund gesammelten Informationen verarbeitet wurden – oft unter Verweis auf die allgemeinen Google-Datenschutzbestimmungen. Diese Ära der Unverbindlichkeit geht nun zu Ende.