reCAPTCHA mit Borlabs Cookie: Einrichtung je Formular-Plugin (CF7, WPForms, Elementor)

DSGVO

Ob Ihr reCAPTCHA sauber unter die Cookie-Einwilligung kommt, hängt weniger von Borlabs Cookie ab als von Ihrem Formular-Plugin: Contact Form 7 lädt das Skript anders als WPForms, Elementor oder Forminator – und genau daran scheitern die meisten Einrichtungen. Für jedes gängige Plugin steht unten der konkrete Weg: wo Sie die Schlüssel eintragen, welchen Skript-Handle Borlabs blockieren muss und wie Sie im Browser prüfen, dass reCAPTCHA erst nach der Einwilligung feuert. Die rechtliche Einordnung bleibt hier bewusst kurz; für die Tiefe verlinken wir den passenden Beitrag.

Zuerst klären: Wie lädt Ihr Formular reCAPTCHA?

Die Borlabs-Konfiguration richtet sich danach, wie und wo das reCAPTCHA-Skript ins HTML kommt. Zwei Dinge entscheiden das:

  • Version: reCAPTCHA v2 (die „Ich bin kein Roboter“-Checkbox) rendert ein sichtbares Element und lädt in der Regel nur auf der Formularseite. reCAPTCHA v3 läuft unsichtbar im Hintergrund, vergibt einen Score und wird vom Formular-Plugin oft sitewide eingebunden – samt Badge unten rechts.
  • Einbindungsart: Alle gängigen Plugins laden api.js per JavaScript (WordPress-enqueue), nicht als iframe. Deshalb ist der Script Blocker von Borlabs Cookie das zentrale Werkzeug – ein reiner Content Blocker greift bei v3 allein nicht.

Warum reCAPTCHA überhaupt einwilligungspflichtig ist (Datenübertragung an Google in die USA, _GRECAPTCHA-Cookie) und wie die Rechtslage einzuordnen ist, lesen Sie kompakt unter /borlabs-cookie-google-recaptcha/. Hier geht es um die praktische Umsetzung pro Plugin.

Die drei Borlabs-Bausteine in einem Satz

Damit die Rezepte unten kurz bleiben, hier die Rollen der Bausteine (Borlabs Cookie 3.x; die früheren „Cookies“ heißen jetzt Dienste in Dienstgruppen):

  • Dienst (Service): der Einwilligungs-Eintrag selbst – Name, Anbieter, Cookie _GRECAPTCHA. Gehört in eine einwilligungspflichtige Gruppe, nie in „Essenziell“.
  • Script Blocker: blockiert das per JavaScript geladene reCAPTCHA-Skript über seinen Handle oder ein URL-Muster (google.com/recaptcha), bis der Dienst bestätigt wird. Details zur Einrichtung: /borlabs-einstellungen-script-blocker/.
  • Content Blocker: legt einen Platzhalter mit „Laden“-Button über das Formular, damit der Besucher aktiv einwilligen kann. Der Klick gibt Skript und Formular frei.

Contact Form 7

CF7 unterstützt seit Version 5.1 ausschließlich reCAPTCHA v3 – die alte v2-Checkbox wurde entfernt.

  1. Schlüssel eintragen: WordPress-Menü Kontakt → Integration → reCAPTCHA, dort Site-Key und Secret-Key aus der reCAPTCHA-Admin-Konsole hinterlegen.
  2. Handle blockieren: CF7 registriert das Skript unter dem Handle google-recaptcha. Legen Sie in Borlabs einen Script Blocker auf diesen Handle an und verknüpfen Sie ihn mit dem Dienst „Google reCAPTCHA“.
  3. Formular freigebbar machen: Umschließen Sie den [contact-form-7]-Shortcode mit einem Content Blocker, sonst kann der Besucher nie einwilligen und das Formular meldet „reCAPTCHA konnte nicht geladen werden“.

Wichtig: CF7 lädt v3 auf allen Seiten, sobald die Schlüssel gesetzt sind – das Badge erscheint dann überall. Wie Sie das Skript per wp_dequeue_script( 'google-recaptcha' ) auf die Kontaktseite beschränken, zeigt das Snippet unter /borlabs-cookie-google-recaptcha/.

WPForms

WPForms ist flexibler: Sie wählen zwischen reCAPTCHA v2 (Checkbox/Invisible), v3, hCaptcha und Cloudflare Turnstile.

  1. Schlüssel eintragen: WPForms → Einstellungen → CAPTCHA, Anbieter und Version auswählen, Keys eintragen.
  2. Pro Formular aktivieren: Anders als bei CF7 wird CAPTCHA je Formular zugeschaltet – im Formular-Editor unter Einstellungen → Spamschutz und Sicherheit (englisch „Spam Protection and Security“). Dort im Abschnitt CAPTCHA den Schalter einschalten; seine Beschriftung nennt die zuvor gewählte Version, etwa „Google v3 reCAPTCHA aktivieren“ (Stand: Juli 2026). Vorteil: Das Skript lädt nur auf Seiten mit einem geschützten Formular.
  3. In Borlabs blockieren: WPForms lädt das reCAPTCHA-Skript über einen eigenen Handle, dessen exakter Name sich mit Plugin-Updates ändern kann. Blockieren Sie deshalb zuverlässiger das URL-Muster google.com/recaptcha im Script Blocker – das greift unabhängig vom Handle – und legen Sie zusätzlich einen Content Blocker um das Formular.

Weil WPForms das Skript nicht sitewide streut, entfällt hier die Dequeue-Bastelei aus dem CF7-Abschnitt.

Elementor Pro Formulare

  1. Schlüssel eintragen: Elementor → Einstellungen → Integrationen, dort die Abschnitte reCAPTCHA und reCAPTCHA V3 – je nach gewünschter Version die passenden Keys eintragen.
  2. Feld einfügen: Fügen Sie dem Formular-Widget ein Feld vom Typ reCAPTCHA bzw. reCAPTCHA V3 hinzu.
  3. In Borlabs blockieren: Blockieren Sie das reCAPTCHA-Skript im Script Blocker über das URL-Muster google.com/recaptcha – das greift unabhängig vom internen Handle-Namen und fängt auch die von Elementor teils mehrfach eingebundene v3-Ausgabe ab. Für den Platzhalter weisen Sie dem Abschnitt bzw. Widget, das das Formular enthält, den Content Blocker zu.

Auch Elementor kann v3 sitewide laden, sobald die V3-Keys gesetzt sind – testen Sie das (siehe unten) und beschränken Sie es notfalls auf die Formularseite.

Gravity Forms und Forminator (kurz)

  • Gravity Forms: v2 ist im Core enthalten – die Schlüssel tragen Sie unter Formulare → Einstellungen → reCAPTCHA (v2-Bereich) ein und ziehen anschließend das CAPTCHA-Feld aus den „Erweiterten Feldern“ ins Formular (Stand: Juli 2026). Für reCAPTCHA v3 ist das offizielle reCAPTCHA-Add-on von Gravity Forms nötig; v2 kommt ohne Add-on aus. Die Borlabs-Logik bleibt identisch: Script Blocker auf das reCAPTCHA-Skript, Content Blocker um das Formular.
  • Forminator: Keys global unter Forminator → Einstellungen → reCAPTCHA, danach das CAPTCHA-Feld im Formular platzieren. Blockierung wie oben.

So testen Sie, ob es wirklich greift

Der einzige verlässliche Nachweis kommt aus dem Browser, nicht aus dem Plugin:

  1. Öffnen Sie die Formularseite im Inkognito-Fenster (kein gespeicherter Consent).
  2. Öffnen Sie die Entwicklertools (F12) → Reiter Netzwerk, filtern Sie nach recaptcha.
  3. Vor dem Klick auf „Akzeptieren“ bzw. „Laden“ darf keine Anfrage an www.google.com/recaptcha/api.js erscheinen. Taucht sie schon beim reinen Seitenaufruf auf, greift die Blockierung nicht – meist, weil ein zweites Plugin oder das Theme dasselbe Skript ein weiteres Mal einbindet.
  4. Nach der Einwilligung muss die Anfrage erscheinen und das Formular abschickbar sein.

Leeren Sie nach jeder Änderung Ihren Seiten-Cache und den Borlabs-Cache – sonst testen Sie eine alte Version.

Typische Fehler je Plugin

  • CF7: Badge auf jeder Seite. v3 lädt sitewide. Skript per Snippet auf die Kontaktseite beschränken oder – wenn das Badge stört – ausblenden und den vorgeschriebenen Google-Hinweistext ins Formular aufnehmen.
  • WPForms/Elementor: Formular sendet nach Einwilligung nicht. Das Skript wird nach der Freigabe zu spät initialisiert. Aktivieren Sie in Borlabs die Option, nach der Einwilligung neu zu laden, oder wechseln Sie (wo möglich) auf v2-Checkbox, die robuster nachlädt.
  • Alle Plugins: Blockierung wirkungslos. Der Handle stimmt nicht. Blockieren Sie stattdessen das URL-Muster google.com/recaptcha – das trifft die Skript-Quelle unabhängig vom Plugin-Handle.
  • Consent-Log bleibt leer. Der Dienst liegt in „Essenziell“. In eine einwilligungspflichtige Gruppe verschieben.

FAQ

Ich nutze mehrere Formular-Plugins – brauche ich mehrere Dienste? Nein. reCAPTCHA ist derselbe Google-Dienst, egal welches Plugin ihn aufruft. Ein einziger Borlabs-Dienst „Google reCAPTCHA“ genügt; Sie verknüpfen lediglich alle relevanten Skript-Handles bzw. das URL-Muster google.com/recaptcha mit diesem Dienst.

Handle oder URL-Muster – was soll ich blockieren? Das URL-Muster google.com/recaptcha ist robuster, weil es unabhängig vom Plugin-Handle greift und auch doppelte Einbindungen abfängt. Der Handle ist präziser, kann sich aber mit Plugin-Updates ändern. Im Zweifel das Muster.

Warum funktioniert mein Content Blocker bei reCAPTCHA v3 nicht allein? Weil v3 kein sichtbares Embed (iframe) ist, sondern ein Hintergrund-Skript. Der Content Blocker liefert nur den „Laden“-Button für die Einwilligung; das tatsächliche Stoppen des Skripts übernimmt der Script Blocker. Beide zusammen ergeben die saubere Lösung.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.