Cloudflare Turnstile vs Google reCAPTCHA 2026: das datenschutzfreundliche Captcha

Inhalt in Kürze

• Google reCAPTCHA trackt Nutzer per Cookie, überträgt Daten in die USA — nach Schrems II rechtlich umstritten ohne aktuelle SCC + TIA.
• Cloudflare Turnstile verarbeitet nur Browser-Telemetrie, kein Cookie nötig, kostenfrei auch für kommerzielle Sites.
• Migration in 5 Minuten pro Formular: Site-Key tauschen, Script-URL ersetzen, Server-Validierung anpassen.
• Aufsichtsbehörden haben reCAPTCHA-Einsätze 2024/2025 mehrfach abgemahnt — Turnstile gilt als der pragmatische Sicherheitsersatz.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 7 Minuten

Wer 2026 noch Google reCAPTCHA auf seinem Kontaktformular hat, lebt rechtlich auf dünnem Eis. Spätestens mit Schrems II und der aktuellen ePrivacy-Diskussion ist das US-Captcha mit Cookie-Einsatz ein laufendes Compliance-Risiko. Die Alternative gibt es — kostenfrei, in 5 Minuten umziehbar, und auf vielen Sites schon Marktstandard.

Warum reCAPTCHA datenschutzrechtlich umstritten ist

Google reCAPTCHA gibt es in zwei Varianten — v2 (Klick-Häkchen oder Bilder-Auswahl) und v3 (unsichtbar, Score-basiert). Beide haben dasselbe Problem aus DSGVO-Sicht:

• Cookie-Setzung beim Seitenaufruf — auch ohne Klick. ePrivacy verlangt Einwilligung nach Art. 5(3) ePrivacy-Richtlinie.
• Datenübermittlung in die USA — IP, Maus-Bewegungen, Tastatur-Telemetrie, Browser-Fingerprint. Nach Schrems II nur mit aktuellen SCC plus Transfer Impact Assessment zulässig.
• Werbe-Tracking-Synergie — reCAPTCHA-Daten können laut Datenschutzhinweis auch zur Verbesserung anderer Google-Dienste genutzt werden. Das ist Profiling, das eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfordert.
• Aufsichtsbehörden-Konflikt — Italien, Frankreich, Deutschland haben Beschwerden bereits geprüft. Vollständige Verbote stehen noch aus, aber Bußgeld-Risiko besteht.

Der e-recht24-Praxisartikel und die VGSD-Analyse zur Turnstile-Frage bestätigen die Problematik.

Wie Turnstile funktioniert (Privacy Pass + lokale Heuristiken)

Cloudflare Turnstile ersetzt das klassische CAPTCHA durch ein non-interactive Verfahren:

1. Browser-Heuristik: Cloudflare-Edge prüft Browser-Eigenschaften, JavaScript-Verhalten, Touch-Patterns — ohne Eingabe.
2. Privacy Pass: Bei früheren Cloudflare-Interaktionen ausgestellte Tokens werden verwendet — der Nutzer muss kein Bild auswählen.
3. Challenge bei Verdacht: Nur wenn die Heuristik unsicher ist, gibt es einen interaktiven Schritt — anonymisiert, ohne Profil-Tracking.
4. Server-Validierung: Ihr Server prüft das Turnstile-Token gegen die Cloudflare-API, bekommt „Pass / Challenge / Fail" zurück.

Wichtig: Turnstile setzt keine Cookies, übermittelt keine Werbe-Daten, profitiert nicht von einem Werbe-Geschäftsmodell. Es ist Teil des Cloudflare-Sicherheits-Stacks.

DSGVO-Compliance-Vergleich

Quelle: captcha.eu Cloudflare Turnstile DSGVO-Bewertung · Cloudflare-Blog zur Turnstile-Privacy-Architektur.

Migration: 5 Schritte für jedes Formular

Praxisreif für die meisten Stacks (PHP, Node, Python, Astro, WordPress):

1. Cloudflare-Account anlegen (kostenfrei) — über das Dashboard zu Turnstile navigieren, Site hinzufügen, Site-Key + Secret-Key generieren.
2. HTML-Snippet austauschen: reCAPTCHA-Script-Tag entfernen, Turnstile-Script einfügen.
3. Site-Key im Formular tauschen: `data-sitekey`-Attribut auf den neuen Cloudflare-Key setzen.
4. Server-Validierung anpassen: Endpoint von https://www.google.com/recaptcha/api/siteverify auf https://challenges.cloudflare.com/turnstile/v0/siteverify ändern, Secret-Key tauschen.
5. AVV mit Cloudflare schließen + Datenschutzhinweis anpassen: Im Datenschutzerklärungs-Abschnitt den reCAPTCHA-Block durch den Turnstile-Block ersetzen — Vorlagen z. B. bei e-recht24.

<!-- Vorher (reCAPTCHA v2) -->
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<div class="g-recaptcha" data-sitekey="6LcXX..."></div>

<!-- Nachher (Turnstile) -->
<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
<div class="cf-turnstile" data-sitekey="0x4AAAAAACtoun3ENdrQKBi4"></div>

// Server-side Validierung (Node.js Beispiel)
const formData = new FormData();
formData.append('secret', process.env.TURNSTILE_SECRET);
formData.append('response', token);
const result = await fetch(
  'https://challenges.cloudflare.com/turnstile/v0/siteverify',
  { method: 'POST', body: formData }
);
const json = await result.json();
if (!json.success) return res.status(403).send('Bot detected');

Limitierungen — was Turnstile nicht kann

• Kein Risk-Score wie reCAPTCHA Enterprise — nur Pass / Challenge / Fail. Wer differenzierte Schwellwert-Logik braucht, behält reCAPTCHA Enterprise oder wechselt zu hCaptcha Enterprise.
• JavaScript-Pflicht: Bei Nicht-JS-Clients (Crawler, Screen-Reader-Edge-Cases) fällt Turnstile aus. Server-side Fallback einplanen.
• Aggressive Bot-Wellen: Bei DDoS-ähnlichen Spam-Wellen reicht Turnstile allein nicht — Cloudflare-Rate-Limiting + Bot-Management dazu schalten.
• Browser-Inkompatibilität: Sehr alte Browser (IE11) werden nicht unterstützt — was 2026 aber kein Problem mehr ist.

Aus der Praxis

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Genau dafür ist Turnstile da: pragmatischer Bot-Schutz ohne reCAPTCHA-Tracking.

Nils OehmichenDatenschutzberater bei frag.hugo

Wo Turnstile besonders Sinn ergibt

• Kontaktformulare auf KMU-Webseiten: Standardfall — keine Risk-Scoring-Logik nötig.
• DSAR-Portale: Spam-Schutz vor Lösch-Anfragen-Wellen, ohne reCAPTCHA-Cookie-Hürde. Praxis: DSAR-Portal in 30 Sekunden einrichten.
• Newsletter-Anmeldung: Schutz vor Bot-Anmeldungen mit Wegwerf-Mailadressen.
• Cookie-Banner-Klick-Forms: Wenn die Einwilligung selbst per Formular eingeholt wird.
• Login-Formulare: Brute-Force-Schutz vor Credential-Stuffing — Cloudflare empfiehlt Turnstile speziell hier.

Hugo nutzt Turnstile selbst — siehe Site-Key 0x4AAAAAACtoun3ENdrQKBi4 im Hugo Check-Scanner-Frontend.

Was bei einem Audit überprüft wird

Wer eine Datenschutz-Audit-Software nutzt, sieht das reCAPTCHA-Risiko meist im automatisierten Scan. Die typischen Audit-Befunde:

• Cookie-Banner enthält reCAPTCHA-Cookie nicht
• Datenschutzerklärung nennt reCAPTCHA nicht
• AVV mit Google fehlt
• TIA / Schrems-II-Bewertung fehlt
• Einwilligung wird vor reCAPTCHA-Lade-Zeitpunkt nicht abgefragt

All diese fünf Punkte fallen mit Turnstile weitgehend weg. Mehr zur Audit-Engine: Audit-Software-Vergleich 2026.

Fazit / Ihr nächster Schritt

Wer 2026 ein Kontaktformular oder DSAR-Portal betreibt, sollte Turnstile als Default setzen. Migrationsaufwand minimal, Compliance-Gewinn maximal, Bot-Schutz auf vergleichbarem Niveau wie reCAPTCHA.

Häufige Fragen (FAQ)

Ist Google reCAPTCHA datenschutzkonform?

Nicht ohne weiteres. reCAPTCHA v2 und v3 setzen Cookies und übertragen Daten in die USA. Nach EuGH-Schrems-II ist diese Übermittlung nur mit aktuellen EU-Standardvertragsklauseln und Transfer Impact Assessment zulässig — und nur, wenn der Nutzer rechtskräftig eingewilligt hat. Mehrere Aufsichtsbehörden haben reCAPTCHA-Einsätze bereits als problematisch markiert.

Ist Cloudflare Turnstile DSGVO-konform?

Turnstile minimiert die Datensammlung und verzichtet auf Werbe-Tracking. Standardmäßig verarbeitet es nur das Nötigste zur Bot-Erkennung. DSGVO-konform ist es aber nicht „out of the box” — Sie brauchen weiterhin AVV mit Cloudflare, korrekten Datenschutzhinweis und ggf. Einwilligung je nach ePrivacy-Auslegung.

Was kostet Cloudflare Turnstile?

Turnstile ist kostenfrei — auch für kommerzielle Nutzung. Cloudflare hat es im Sept. 2022 als CAPTCHA-Alternative eingeführt und 2023 frei verfügbar gemacht. Es gibt keine Anfragelimit-Beschränkung im Free-Plan, anders als bei reCAPTCHA Enterprise.

Wie lange dauert die Migration von reCAPTCHA zu Turnstile?

Pro Formular rund 5 Minuten — Site-Key tauschen, Script-URL ersetzen, Server-seitige Validierungs-URL anpassen. Bei 5–10 Formularen sind 30–60 Minuten realistisch. Schwieriger wird es nur bei Custom-Implementierungen, die tief in reCAPTCHA-spezifische Token-Strukturen integriert sind.

Hat Turnstile Limitierungen gegenüber reCAPTCHA?

Ja. Turnstile fokussiert auf Browser-Verhalten und kann bei nicht-JavaScript-fähigen Clients Probleme machen. Bei sehr aggressiven Bot-Wellen ist die Detection-Rate vergleichbar, aber nicht überlegen. Wer reCAPTCHA Enterprise mit Risk-Score nutzt, hat in Turnstile keinen 1:1-Ersatz — bekommt aber „Pass / Challenge / Fail”.

Konkurrenz-Recherche-Stand: Daten verifiziert am 8. Mai 2026 über Cloudflare Turnstile Docs, e-recht24-Datenschutzerklärung Turnstile, captcha.eu DSGVO-Analyse und Nexter WP Vergleich Turnstile vs reCAPTCHA.