Cloudflare Turnstile vs Google reCAPTCHA 2026: das datenschutzfreundliche Captcha
reCAPTCHA trackt Nutzer. Turnstile ist DSGVO-freundlich, kostenlos, browserseitig. Direktvergleich 2026 mit Schritt-für-Schritt-Migration. Fuer den Hamburger Mittelstand 2026.
Inhalt in Kürze
- Google reCAPTCHA trackt Nutzer per Cookie, überträgt Daten in die USA — nach Schrems II rechtlich umstritten ohne aktuelle SCC + TIA.
- Cloudflare Turnstile verarbeitet nur Browser-Telemetrie, kein Cookie nötig, kostenfrei auch für kommerzielle Sites.
- Migration in 5 Minuten pro Formular: Site-Key tauschen, Script-URL ersetzen, Server-Validierung anpassen.
- Aufsichtsbehörden haben reCAPTCHA-Einsätze 2024/2025 mehrfach abgemahnt — Turnstile gilt als der pragmatische Sicherheitsersatz.
Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 7 Minuten
Wer 2026 noch Google reCAPTCHA auf seinem Kontaktformular hat, lebt rechtlich auf dünnem Eis. Spätestens mit Schrems II und der aktuellen ePrivacy-Diskussion ist das US-Captcha mit Cookie-Einsatz ein laufendes Compliance-Risiko. Die Alternative gibt es — kostenfrei, in 5 Minuten umziehbar, und auf vielen Sites schon Marktstandard.
Der HmbBfDI hat 2024 mehrere Verfahren zu reCAPTCHA-Einsatz ohne Einwilligung abgeschlossen — Bussgeldbescheide zwischen 7.500 und 38.000 Euro. Wer in Hamburg ein Auskunftsformular oder ein Kontaktformular betreibt, muss seinen Bot-Schutz heute anders denken als 2018.
Warum reCAPTCHA datenschutzrechtlich umstritten ist
Google reCAPTCHA gibt es in zwei Varianten — v2 (Klick-Häkchen oder Bilder-Auswahl) und v3 (unsichtbar, Score-basiert). Beide haben dasselbe Problem aus DSGVO-Sicht:
- Cookie-Setzung beim Seitenaufruf — auch ohne Klick. ePrivacy verlangt Einwilligung nach Art. 5(3) ePrivacy-Richtlinie.
- Datenübermittlung in die USA — IP, Maus-Bewegungen, Tastatur-Telemetrie, Browser-Fingerprint. Nach Schrems II nur mit aktuellen SCC plus Transfer Impact Assessment zulässig.
- Werbe-Tracking-Synergie — reCAPTCHA-Daten können laut Datenschutzhinweis auch zur Verbesserung anderer Google-Dienste genutzt werden. Das ist Profiling, das eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfordert.
- Aufsichtsbehörden-Konflikt — Italien, Frankreich, Deutschland haben Beschwerden bereits geprüft. Vollständige Verbote stehen noch aus, aber Bußgeld-Risiko besteht.
Der e-recht24-Praxisartikel und die VGSD-Analyse zur Turnstile-Frage bestätigen die Problematik.
Wie Turnstile funktioniert (Privacy Pass + lokale Heuristiken)
Cloudflare Turnstile ersetzt das klassische CAPTCHA durch ein non-interactive Verfahren:
- Browser-Heuristik: Cloudflare-Edge prüft Browser-Eigenschaften, JavaScript-Verhalten, Touch-Patterns — ohne Eingabe.
- Privacy Pass: Bei früheren Cloudflare-Interaktionen ausgestellte Tokens werden verwendet — der Nutzer muss kein Bild auswählen.
- Challenge bei Verdacht: Nur wenn die Heuristik unsicher ist, gibt es einen interaktiven Schritt — anonymisiert, ohne Profil-Tracking.
- Server-Validierung: Ihr Server prüft das Turnstile-Token gegen die Cloudflare-API, bekommt „Pass / Challenge / Fail" zurück.
Wichtig: Turnstile setzt keine Cookies, übermittelt keine Werbe-Daten, profitiert nicht von einem Werbe-Geschäftsmodell. Es ist Teil des Cloudflare-Sicherheits-Stacks.
DSGVO-Compliance-Vergleich
| Kriterium | Google reCAPTCHA v3 | Cloudflare Turnstile |
|---|---|---|
| Cookie-Setzung | ja (Tracking) | nein |
| Datenübermittlung USA | ja, via Google LLC | ja, via Cloudflare Inc. (auch USA, aber AVV verfügbar) |
| AVV nach Art. 28 DSGVO | ja, via Google Ads-AVV | ja, via Cloudflare DPA |
| EU-Hosting-Option | nein (always US) | ja, EU-Edge-Nodes |
| Werbe-Tracking | implizit über Google-Account | nein |
| Einwilligung nötig | ja, nach ePrivacy + DSGVO | umstritten — viele Anwälte halten sie für nicht zwingend |
| Banner-Pflicht | typisch ja | meist nein, abhängig von Implementierung |
| EuGH-Schrems-II-Risiko | hoch | mittel (Cloudflare hat eigene SCC + TIA-Pakete) |
| Aufsichtsbehörden-Status | mehrfach abgemahnt | bisher keine Sanktionen |
Quelle: captcha.eu Cloudflare Turnstile DSGVO-Bewertung · Cloudflare-Blog zur Turnstile-Privacy-Architektur.
Migration: 5 Schritte für jedes Formular
Praxisreif für die meisten Stacks (PHP, Node, Python, Astro, WordPress):
- Cloudflare-Account anlegen (kostenfrei) — über das Dashboard zu Turnstile navigieren, Site hinzufügen, Site-Key + Secret-Key generieren.
- HTML-Snippet austauschen: reCAPTCHA-Script-Tag entfernen, Turnstile-Script einfügen.
- Site-Key im Formular tauschen: `data-sitekey`-Attribut auf den neuen Cloudflare-Key setzen.
- Server-Validierung anpassen: Endpoint von
https://www.google.com/recaptcha/api/siteverifyaufhttps://challenges.cloudflare.com/turnstile/v0/siteverifyändern, Secret-Key tauschen. - AVV mit Cloudflare schließen + Datenschutzhinweis anpassen: Im Datenschutzerklärungs-Abschnitt den reCAPTCHA-Block durch den Turnstile-Block ersetzen — Vorlagen z. B. bei e-recht24.
<!-- Vorher (reCAPTCHA v2) -->
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<div class="g-recaptcha" data-sitekey="6LcXX..."></div>
<!-- Nachher (Turnstile) -->
<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
<div class="cf-turnstile" data-sitekey="0x4AAAAAACtoun3ENdrQKBi4"></div>
// Server-side Validierung (Node.js Beispiel)
const formData = new FormData();
formData.append('secret', process.env.TURNSTILE_SECRET);
formData.append('response', token);
const result = await fetch(
'https://challenges.cloudflare.com/turnstile/v0/siteverify',
{ method: 'POST', body: formData }
);
const json = await result.json();
if (!json.success) return res.status(403).send('Bot detected');
Plugins wie „Turnstile for Forminator" oder „CF7 Turnstile" liefern den Migration-Schritt fertig — Site-Key + Secret eingeben, Plugin aktivieren. Mehr Setup-Hilfe bei WP Ninjas.
Limitierungen — was Turnstile nicht kann
- Kein Risk-Score wie reCAPTCHA Enterprise — nur Pass / Challenge / Fail. Wer differenzierte Schwellwert-Logik braucht, behält reCAPTCHA Enterprise oder wechselt zu hCaptcha Enterprise.
- JavaScript-Pflicht: Bei Nicht-JS-Clients (Crawler, Screen-Reader-Edge-Cases) fällt Turnstile aus. Server-side Fallback einplanen.
- Aggressive Bot-Wellen: Bei DDoS-ähnlichen Spam-Wellen reicht Turnstile allein nicht — Cloudflare-Rate-Limiting + Bot-Management dazu schalten.
- Browser-Inkompatibilität: Sehr alte Browser (IE11) werden nicht unterstützt — was 2026 aber kein Problem mehr ist.
Aus der Praxis
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Genau dafür ist Turnstile da: pragmatischer Bot-Schutz ohne reCAPTCHA-Tracking.
Nils OehmichenDatenschutzberater bei frag.hugo
Wo Turnstile besonders Sinn ergibt
- Kontaktformulare auf KMU-Webseiten: Standardfall — keine Risk-Scoring-Logik nötig.
- DSAR-Portale: Spam-Schutz vor Lösch-Anfragen-Wellen, ohne reCAPTCHA-Cookie-Hürde. Praxis: DSAR-Portal in 30 Sekunden einrichten.
- Newsletter-Anmeldung: Schutz vor Bot-Anmeldungen mit Wegwerf-Mailadressen.
- Cookie-Banner-Klick-Forms: Wenn die Einwilligung selbst per Formular eingeholt wird.
- Login-Formulare: Brute-Force-Schutz vor Credential-Stuffing — Cloudflare empfiehlt Turnstile speziell hier.
Hugo nutzt Turnstile selbst — siehe Site-Key 0x4AAAAAACtoun3ENdrQKBi4 im Hugo Check-Scanner-Frontend.
Was bei einem Audit überprüft wird
Wer eine Datenschutz-Audit-Software nutzt, sieht das reCAPTCHA-Risiko meist im automatisierten Scan. Die typischen Audit-Befunde:
- Cookie-Banner enthält reCAPTCHA-Cookie nicht
- Datenschutzerklärung nennt reCAPTCHA nicht
- AVV mit Google fehlt
- TIA / Schrems-II-Bewertung fehlt
- Einwilligung wird vor reCAPTCHA-Lade-Zeitpunkt nicht abgefragt
All diese fünf Punkte fallen mit Turnstile weitgehend weg. Mehr zur Audit-Engine: Audit-Software-Vergleich 2026.
Fazit / Ihr nächster Schritt
Wer 2026 ein Kontaktformular oder DSAR-Portal betreibt, sollte Turnstile als Default setzen. Migrationsaufwand minimal, Compliance-Gewinn maximal, Bot-Schutz auf vergleichbarem Niveau wie reCAPTCHA.
Hugo nutzt Turnstile auf allen Frontends
Im Hugo-DSB-Plan ab 149 €/Monat sind DSAR-Portal, AVV-Liste und Datenpannen-Wizard mit Turnstile-Bot-Schutz vorkonfiguriert. Migration Ihrer eigenen Formulare ist Teil unserer Beratung im Kick-off. 15-Minuten-Erstgespräch.
Erstgespräch buchen →Häufige Fragen (FAQ)
Ist Google reCAPTCHA datenschutzkonform?
Nicht ohne weiteres. reCAPTCHA v2 und v3 setzen Cookies und übertragen Daten in die USA. Nach EuGH-Schrems-II ist diese Übermittlung nur mit aktuellen EU-Standardvertragsklauseln und Transfer Impact Assessment zulässig — und nur, wenn der Nutzer rechtskräftig eingewilligt hat. Mehrere Aufsichtsbehörden haben reCAPTCHA-Einsätze bereits als problematisch markiert.
Ist Cloudflare Turnstile DSGVO-konform?
Turnstile minimiert die Datensammlung und verzichtet auf Werbe-Tracking. Standardmäßig verarbeitet es nur das Nötigste zur Bot-Erkennung. DSGVO-konform ist es aber nicht „out of the box” — Sie brauchen weiterhin AVV mit Cloudflare, korrekten Datenschutzhinweis und ggf. Einwilligung je nach ePrivacy-Auslegung.
Was kostet Cloudflare Turnstile?
Turnstile ist kostenfrei — auch für kommerzielle Nutzung. Cloudflare hat es im Sept. 2022 als CAPTCHA-Alternative eingeführt und 2023 frei verfügbar gemacht. Es gibt keine Anfragelimit-Beschränkung im Free-Plan, anders als bei reCAPTCHA Enterprise.
Wie lange dauert die Migration von reCAPTCHA zu Turnstile?
Pro Formular rund 5 Minuten — Site-Key tauschen, Script-URL ersetzen, Server-seitige Validierungs-URL anpassen. Bei 5–10 Formularen sind 30–60 Minuten realistisch. Schwieriger wird es nur bei Custom-Implementierungen, die tief in reCAPTCHA-spezifische Token-Strukturen integriert sind.
Hat Turnstile Limitierungen gegenüber reCAPTCHA?
Ja. Turnstile fokussiert auf Browser-Verhalten und kann bei nicht-JavaScript-fähigen Clients Probleme machen. Bei sehr aggressiven Bot-Wellen ist die Detection-Rate vergleichbar, aber nicht überlegen. Wer reCAPTCHA Enterprise mit Risk-Score nutzt, hat in Turnstile keinen 1:1-Ersatz — bekommt aber „Pass / Challenge / Fail”.
Konkurrenz-Recherche-Stand: Daten verifiziert am 8. Mai 2026 über Cloudflare Turnstile Docs, e-recht24-Datenschutzerklärung Turnstile, captcha.eu DSGVO-Analyse und Nexter WP Vergleich Turnstile vs reCAPTCHA.
BSI Grundschutz++ 2026/2030: was sich für KMU ändert (OSCAL, JSON, ISMS-Tools)
Grundschutz++ = BSI-Reform seit Januar 2026. Wer betroffen ist, was OSCAL bedeutet, wie ISMS-Tools migrieren — Vorbereitungs-Guide für KMU. Fuer den Hamburger Mittelstand 2026.
DSAR-Portal in 30 Sekunden einrichten — ohne IT, ohne CNAME
3 Embed-Varianten: Direct-Link, Iframe, JS-Widget. Code-Snippets zum Copy-Paste. Ohne IT, ohne DNS-Setup. Mit Best-Practice-Beispielen 2026. Fuer den Hamburger Mittelstand 2026.