Login
Kostenlos testen

Ist hCaptcha DSGVO-konform? Was Website-Besitzer wissen müssen

Illustration, die analysiert, ob hCaptcha DSGVO-konform ist, mit einem Widget zur menschlichen Verifizierung, einer Skala zum Vergleich von Privatsphäre und Sicherheit, EU-Datenschutzsymbolen und einer Checkliste zur Einhaltung der Vorschriften.
ist captcha.eu

hCaptcha kann Teil einer DSGVO-konformen Einrichtung sein, aber es ist nicht von Haus aus konform, und es erfordert mehr Governance-Arbeit als viele Website-Besitzer erwarten.

Intuition Machines, das US-Unternehmen hinter hCaptcha, bietet eine Datenverarbeitungsvereinbarung, eine EU-US-Datenschutzzertifizierung und Standardvertragsklauseln. Das sind echte Werkzeuge, und sie sind wichtig. Aber sie nehmen Ihnen die Arbeit der Einhaltung der Vorschriften nicht ab. Rechtsgrundlage, Cookies, internationale Datenübertragungen und Zugänglichkeit müssen immer noch auf Ihrer Seite geklärt werden, bevor Sie live gehen, und nicht erst, wenn eine Aufsichtsbehörde anklopft.

In diesem Artikel wird erläutert, wo genau diese Fragen auftauchen, was sie in der Praxis bedeuten und wie eine vertretbare Lösung aussieht.

Anmerkung der Redaktion: Dieser Artikel dient zu Informationszwecken und stellt keine Rechtsberatung dar. Bei Fragen zu Ihrer spezifischen Umsetzung oder zum geltenden nationalen Recht wenden Sie sich bitte an einen qualifizierten Datenschutzbeauftragten oder Juristen.

Inhaltsverzeichnis

Auf einen Blick: die vier DSGVO-Fragen, die hCaptcha aufwirft

Bevor wir ins Detail gehen, hier eine kurze Übersicht über die wichtigsten Punkte. Jedes Thema wird im Folgenden ausführlich erläutert.

DSGVO-Frage
Stellung von hCaptcha
Was Sie als Betreiber noch tun müssen
Internationale Datenübertragung
DPF-zertifiziert; SCCs verfügbar in DPA
Prüfen Sie, ob die DPA unterzeichnet ist; dokumentieren Sie Ihre Bewertung der Übertragung
Cookies und ePrivacy
Setzt Cookies einschließlich hmt_id
Prüfen Sie, ob die Ausnahmeregelung für technische Notwendigkeiten in Ihrem Land gilt.
Rolle (Verarbeiter oder Kontrolleur)
Handelt als Prozessor gemäß seiner FAQ
Sie bleiben der für die Verarbeitung Verantwortliche. Die Rechtsgrundlage, die Transparenz und die Aufsicht über den Anbieter bleiben bei Ihnen.
Erreichbarkeit
Erfüllt WCAG 2.2 AA; einige visuelle Herausforderungen bleiben teilweise unzugänglich
Testen Sie den realen Benutzerfluss. Verlassen Sie sich nicht allein auf die Angaben des Anbieters

Wie hCaptcha tatsächlich funktioniert

Wenn jemand ein Formular auf Ihrer Website ausfüllt, schaltet sich hCaptcha ein, um zu entscheiden, ob es sich um einen Menschen oder einen Bot handelt. Je nachdem, was Sie vorhaben, zeigt es entweder eine sichtbare Prüfung an (die bekannte Aufgabe “Nimm alle Ampeln”), verwendet unsichtbare Hintergrundsignale oder wendet eine Mischung aus beidem an. Wenn die Prüfung bestanden wird, erhält das Formular ein Token. Ihr Server prüft dann diesen Token mit hCaptchas API.

Um diese Analyse durchzuführen, verarbeitet hCaptcha technische und verhaltensbezogene Daten. Seine Datenschutzbestimmungen listet Kommunikations-Metadaten wie die IP-Adresse des Absenders sowie Analysedaten wie Browsertyp, ISP, Plattform, Gerätetyp, Betriebssystem und Zugriffszeitstempel auf. Es werden auch Cookies gesetzt, einschließlich htm_id, das als Erstanbieter-Cookie für unbedingt notwendige, anonyme, dienstbezogene Statistiken und technische Funktionen einschließlich der Unterstützung der Barrierefreiheit verwendet wird.

Diese Datenverarbeitung, die IP-Adressen, die Browsersignale, die Cookies, ist der Punkt, an dem die Fragen der DSGVO beginnen.

Warum dies wichtiger ist, als es scheinen mag

Ist es einfach, CAPTCHA als ein kleines technisches Detail zu betrachten? Das ist es nicht. CAPTCHA befindet sich an der Eingangstür der sensibelsten Arbeitsabläufe auf Ihrer Website: Anmeldung, Passwortrücksetzung, Registrierung, Kasse und Kontaktformulare. Dies sind genau die Abläufe, auf die Angreifer zuerst abzielen.

Credential Stuffing, bei dem automatisierte Tools Millionen gestohlener Kombinationen von Benutzernamen und Passwörtern testen, betrifft insbesondere Anmeldeformulare. Gefälschte Kontoerstellung, Kartentests und Formularspam sind die anderen Angriffsarten. In den Berichten der ENISA über die Bedrohungslandschaft wird der automatisierte Missbrauch von Webanwendungen immer wieder zu den häufigsten Angriffsarten gezählt, von denen europäische Organisationen betroffen sind.

Daher ist die Entscheidung für ein CAPTCHA sowohl eine Entscheidung für die Sicherheit als auch für den Datenschutz. Ein Tool, das zwar das Bot-Risiko verringert, aber durch eine ungeklärte Cookie-Einwilligung, eine unklare Übermittlungsgrundlage oder Lücken in der Zugänglichkeit rechtliche Risiken schafft, löst ein Problem und schafft im Stillen ein anderes. Für IT-Manager, Entwickler und Datenschutzbeauftragte lohnt es sich, diese beiden Seiten der Frage gemeinsam zu behandeln.

Die drei DSGVO-Risikobereiche, erklärt

1. Internationale Datenübermittlung

Intuition Machines ist ein US-Unternehmen. In seiner Datenschutzerklärung heißt es, dass es im Rahmen der Bereitstellung des Dienstes personenbezogene Daten von betroffenen Personen in den Vereinigten Staaten verarbeiten kann. Das Unternehmen ist auch nach dem EU-US-Datenschutzrahmen zertifiziert.

DPF certification is a legitimate and meaningful transfer tool, but it is not a blank cheque. The EDPB’s guidance makes clear that organisations must verify the mechanism is in place and in scope. It must not simply assume that certification covers every scenario. A useful reference point is the Austrian Data Protection Authority’s 2022 ruling on Google Analytics (GZ: 2021-0.586.257). Which found that transmitting IP addresses and browser identifiers to a US server constitutes a transfer of personal data. While that ruling concerned Google Analytics specifically, it illustrates how strictly EU supervisory authorities may scrutinise transfers of technical metadata to US-based providers and why the analysis cannot be skipped simply because a tool holds DPF certification.

In der Praxis heißt das: Unterschreiben Sie die DPA, bestätigen Sie, dass die DPF-Zertifizierung aktuell ist, und dokumentieren Sie Ihre Transferbewertung schriftlich. Gehen Sie nicht davon aus, dass die Arbeit auf Ihrer Seite getan ist, nur weil ein Verkäufer das DPF-Kästchen angekreuzt hat.

2. Cookies und ePrivacy, eine separate Frage, die die DSGVO nicht beantwortet

Dies ist der am häufigsten übersehene Risikobereich, der die Betreiber von Websites zuverlässig überrumpelt.

Die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für die elektronische Kommunikation sind zwei unterschiedliche Instrumente. Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation requires consent before placing cookies or accessing information on a user’s device, unless a specific technical necessity exemption applies. The EDPB’s guidelines on cookies make clear that this exemption is narrow. It must be assessed on a use-case-by-use-case basis; it is not a general carve-out for security or anti-bot tools.

hCaptcha sets cookies. Its cookie policy listshtm_id  and describes it as used for technical and service-related purposes. Whether the technical necessity exemption applies to your specific deployment depends on the concrete use case and the position of your national supervisory authority.

Hier ist der springende Punkt: Selbst wenn Ihre DSGVO-Rechtsgrundlage die Vertragserfüllung oder die berechtigten Interessen sind, ist damit die Frage der ePrivacy-Cookies noch nicht geklärt. Es handelt sich um unabhängige Verpflichtungen. Wenn Sie das eine richtig machen, bekommen Sie nicht automatisch auch das andere. Wenn Sie nicht eindeutig nachweisen können, dass die Ausnahmeregelung in Ihrer Gerichtsbarkeit gilt, sind die betrieblich saubereren Wege entweder das Laden von hCaptcha nur nach ausdrücklicher Zustimmung oder die Verwendung eines Cookie-freien CAPTCHA, das die Frage vollständig beseitigt.

3. Rollenzuweisung: Was bedeutet “Bearbeiter” eigentlich für Sie?

In den FAQ von hCaptcha heißt es, dass Intuition Machines im relevanten DSGVO-Kontext als Auftragsverarbeiter für seine Kunden handelt. Diese Formulierung ist hilfreich, und die DPA spiegelt sie für die Erbringung von Kerndienstleistungen wider.

Aber hier ändert sich nichts: Sie sind immer noch der für die Verarbeitung Verantwortliche. Sie entscheiden, auf welchen Seiten das CAPTCHA eingesetzt wird, auf welche Rechtsgrundlage Sie sich stützen, wie die Nutzer informiert werden und wie Sie eine Anfrage einer betroffenen Person behandeln, die mit hCaptcha verarbeitete Daten betrifft. Das Widget ist outgesourct. Die Rechenschaftspflicht ist es nicht.

In practice: your privacy notice should disclose hCaptcha’s processing. Your record of processing activities should list Intuition Machines as a sub-processor, and you should be able to explain to a supervisory authority why you made the deployment choices you made.

Ändert die Planebene etwas an der Einhaltung der Vorschriften?

Ja, und das ist das Detail, das bei den meisten Einsätzen völlig übersehen wird.

Auf einigen Tarifebenen können die Datennutzung und die vertraglichen Kontrollen erheblich voneinander abweichen. Unternehmenskunden können unter Umständen strengere Datenschutzbedingungen aushandeln als Kunden mit kostenlosen Tarifen, einschließlich Beschränkungen für die Verwendung von Interaktionsdaten über die Bereitstellung der Kerndienste hinaus.

Wenn Ihr Unternehmen Daten von Nutzern aus regulierten Sektoren wie dem Gesundheitswesen, dem Finanzwesen oder dem öffentlichen Dienst verarbeitet, sollten Sie die geltenden Datennutzungsbedingungen vor dem Einsatz sorgfältig prüfen, nicht erst danach. Die Überprüfung der aktuellen Bedingungen für Ihr spezifisches Vorhaben und gegebenenfalls die Aushandlung von DSGVO-Klauseln, die Ihre Verpflichtungen widerspiegeln, sind Teil einer verantwortungsvollen Anbieterauswahl im Rahmen des Grundsatzes der Rechenschaftspflicht nach der DSGVO.

Barrierefreiheit: eine Frage der Einhaltung der Vorschriften, keine Fußnote

Die Zugänglichkeit wird bei CAPTCHA-Entscheidungen in der Regel als zweitrangig betrachtet. Für viele digitale Dienste, die in der EU angeboten werden, ist sie nicht mehr optional. Das Europäische Gesetz zur Barrierefreiheit, das im Juni 2025 in allen Mitgliedstaaten in Kraft getreten ist, bedeutet, dass die betroffenen Unternehmen und Dienste die Anforderungen an die Barrierefreiheit erfüllen müssen, wobei die WCAG 2.2 AA die relevante technische Norm für die meisten webbasierten Implementierungen ist.

In der Zugänglichkeitserklärung von hCaptcha heißt es, dass das Unternehmen die Einhaltung der WCAG 2.2 AA anstrebt und interne und externe Audits durchgeführt hat. Es räumt auch ehrlich ein, dass einige visuelle Bildherausforderungen nicht vollständig zugänglich gemacht werden können und dennoch ihre Sicherheitsfunktion erfüllen.

Diese Lücke hat reale Konsequenzen. Eine Erklärung des Herstellers zur Barrierefreiheit macht Ihre spezielle Anwendung nicht barrierefrei. Die folgenden Bereiche erfordern echte Tests im realen Benutzerfluss, nicht eine Überprüfung anhand einer PDF-Datei des Anbieters:

  • Tastatur-Navigation. Kann das Widget ohne Maus aktiviert und ausgefüllt werden? Das muss für jeden Benutzer funktionieren.
  • Kompatibilität mit Bildschirmlesegeräten und akustischen Herausforderungen. Die Audio-Challenge und die Fallback-Erfahrung sollten mit verschiedenen Screenreadern und Browserkombinationen getestet werden, bevor Sie sich auf sie als Zugänglichkeitspfad verlassen. Das Verhalten kann zwischen NVDA, JAWS und VoiceOver sowie zwischen verschiedenen Browsern erheblich variieren.
  • Behandlung von Fehlerzuständen. Werden Fehlermeldungen für Hilfsmittel angezeigt, wenn eine Aufgabe fehlschlägt oder eine Zeitüberschreitung eintritt, oder werden sie nur visuell angezeigt?
  • Mobiles Verhalten. Wird das Widget in einem mobilen Browser mit aktivierter Barrierefreiheit korrekt dargestellt und funktioniert es?

Für Organisationen des öffentlichen Sektors und Dienste mit einer breiten Nutzerbasis sind diese Tests keine optionalen Extras. Sie sind Teil dessen, was die Einhaltung der Vorschriften tatsächlich erfordert.

Wie Sie das DSGVO-Risiko verringern, wenn Sie weiterhin hCaptcha verwenden

Wenn Sie die oben genannten Punkte durchgearbeitet und entschieden haben, dass hCaptcha das richtige Tool für Ihren Kontext ist, werden Sie durch die folgenden Schritte in eine wesentlich bessere Position gebracht.

  • Unterschreiben Sie die DPA und bewahren Sie sie auf.

    Allgemeine Datenschutzrichtlinien reichen nicht aus. Die DPA regelt die Beziehung zu Ihrem Auftragsverarbeiter und sollte in Ihrer Anbieterdokumentation enthalten sein, unterschrieben und datiert und abrufbar, wenn eine DPA danach fragt.

  • Überprüfen Sie Ihre Transferbasis.

    Vergewissern Sie sich, dass die DPF-Zertifizierung zum Zeitpunkt des Einsatzes aktuell ist, nicht erst, wenn Sie zum ersten Mal davon lesen. Dokumentieren Sie Ihre Versetzungsbewertung schriftlich.

  • Bearbeiten Sie die Frage der ePrivacy-Cookies separat.

    Legen Sie genau fest, wann Cookies gesetzt werden. Wenn Sie nicht eindeutig argumentieren können, dass die Ausnahmeregelung der technischen Notwendigkeit in Ihrer Gerichtsbarkeit gilt, laden Sie hCaptcha nach der Zustimmung oder verwenden Sie eine kochfreie Alternative. Wenn Sie diese Prüfung überspringen, entfällt die Verpflichtung nicht.

  • Überprüfen Sie Ihre Tarifstufe und die Bedingungen für die Datennutzung.

    Prüfen Sie, ob die geltenden Bedingungen mit Ihren Verpflichtungen vereinbar sind, insbesondere wenn Sie Daten von Nutzern in regulierten oder sensiblen Bereichen verarbeiten.

  • Testen Sie die Zugänglichkeit in der Praxis.

    Führen Sie die oben beschriebenen Tests für Tastaturnavigation, Audio-Fallback, Fehlerstatus und mobile Geräte durch. Betrachten Sie eine Konformitätserklärung des Anbieters nicht als Ersatz für einen Live-Test.

  • Schichten Sie Ihre Verteidigungsmaßnahmen.

    Dies ist wichtiger, als es auf den ersten Blick erscheinen mag. Je mehr Sie durch Ratenbegrenzung, serverseitige Validierung, Honeypot-Felder und Überwachung der Anmeldeversuche reduzieren können, wie oft eine CAPTCHA-Aufforderung tatsächlich ausgelöst wird, desto weniger Daten werden überhaupt von einem CAPTCHA-Tool eines Drittanbieters verarbeitet. Weniger Auslöser bedeuten weniger Datenpunkte, die an einen externen Prozessor gesendet werden. Das ist gut für den Datenschutz und gleichzeitig gut für die Benutzerfreundlichkeit. Die CNIL hebt CAPTCHA ausdrücklich als ein Instrument innerhalb eines größeren Maßnahmenpakets hervor, nicht als eigenständige Lösung. Layering bedeutet auch, dass Ihr Kernschutz nicht völlig zusammenbricht, wenn hCaptcha nicht verfügbar ist oder vom Datenschutztool eines Nutzers blockiert wird, was durchaus vorkommen kann.

  • Aktualisieren Sie Ihren Datenschutzhinweis.

    Bestätigen Sie, dass die Verarbeitung von hCaptcha offengelegt wird, dass die Nutzer über die US-Übermittlungsgrundlage informiert werden und dass Ihre Aufzeichnung der Verarbeitungstätigkeiten Intuition Machines als Unterauftragsverarbeiter ausweist.

Fazit

hCaptcha is not automatically unlawful in Europe. For organisations prepared to do the governance work, signed DPA, transfer documentation, ePrivacy cookie assessment, plan-tier review and real accessibility testing, it can be part of a compliant deployment.

Die ehrliche Antwort auf die Frage, ob hCaptcha DSGVO-konform ist, lautet: Es hängt davon ab, wie Sie es einsetzen, auf welcher Planungsebene Sie sich befinden, in welchem Sektor Sie tätig sind und wie gründlich Sie Ihre Entscheidungen dokumentiert haben. Die Herstellerzertifizierung ist ein Ausgangspunkt, keine Ziellinie.

Für einige Organisationen mag dieser Kompromiss noch akzeptabel sein. Andere hingegen bevorzugen vielleicht eine europäische CAPTCHA-Lösung, die die Reibungsverluste beim Datenschutz reduziert und visuelle Hindernisse vermeidet. In diesem Zusammenhang, ist captcha.eu kann eine interessante Alternative sein. Sie wird in Österreich gehostet, ist DSGVO-konform, verwendet keine Cookies und kein Tracking und ist nach WACA Silber / WCAG 2.2 AA zertifiziert.

FAQ – Häufig gestellte Fragen

Ist hCaptcha standardmäßig DSGVO-konform?

Nein. hCaptcha bietet eine DPA, eine DPF-Zertifizierung und SCCs, aber dies sind Werkzeuge, die die Betreiber nutzen können - keine Garantie für die Einhaltung der Vorschriften. Die Rechtsgrundlage, die Frage der ePrivacy-Cookies, die Übermittlungsdokumentation und die Zugänglichkeit bleiben in der Verantwortung des Website-Betreibers.

Übermittelt hCaptcha personenbezogene Daten in die Vereinigten Staaten?

Ja. Intuition Machines gibt an, dass es im Rahmen der Erbringung der Dienstleistung personenbezogene Daten in den Vereinigten Staaten verarbeiten kann und dass es nach dem EU-US Data Privacy Framework zertifiziert ist. Die DPF-Zertifizierung ist ein gültiger Übermittlungsmechanismus, muss aber als Teil Ihrer Übermittlungsprotokolle als aktuell verifiziert und dokumentiert werden.

Verwendet hCaptcha Cookies?

Ja. In der Cookie-Richtlinie sind Cookies aufgeführt, darunter htm_id, die als für technische und dienstbezogene Zwecke verwendet beschrieben werden. Ob vor dem Setzen dieser Cookies eine ePrivacy-Zustimmung erforderlich ist, hängt davon ab, ob die Ausnahmeregelung für technische Notwendigkeiten in Ihrem speziellen Rechtsgebiet und Anwendungsfall gilt. Dies kann nicht vorausgesetzt werden, sondern erfordert eine bewusste Bewertung.

Wirkt sich der hCaptcha-Preisplan auf die Einhaltung der Vorschriften aus?

Das kann es. Die Datennutzung und die vertraglichen Kontrollen können sich je nach Tarifstufe unterscheiden, und Unternehmenskunden können unter Umständen strengere Datenschutzbestimmungen aushandeln als andere Kunden. Wenn Sie Daten von Nutzern aus regulierten Sektoren verarbeiten, sollten Sie sich vor der Bereitstellung über die für Ihren speziellen Plan geltenden Bedingungen informieren.

Ist hCaptcha zugänglich?

hCaptcha zielt auf die Einhaltung der WCAG 2.2 AA ab und bietet eine Audio-Herausforderung als Alternative zu visuellen Aufgaben. Es wird jedoch eingeräumt, dass einige visuelle Aufgaben nicht vollständig zugänglich gemacht werden können und dennoch ihre Sicherheitsfunktion erfüllen. Die Zugänglichkeit muss durch reale Tests, Tastaturnavigation, die Audio-Fallback-Erfahrung bei verschiedenen Screenreadern und Browsern sowie durch Fehlerzustandsmeldungen überprüft werden und darf nicht allein aus der Aussage des Anbieters abgeleitet werden.

Kann ich die Bewertung der Cookie-Einwilligung überspringen, wenn meine DSGVO-Rechtsgrundlage legitime Interessen sind?

Nein. Die Cookie-Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation sind unabhängig von der Datenschutz-Grundverordnung. Selbst bei einer gültigen GDPR-Rechtsgrundlage gilt Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation immer noch separat. Eine Lücke bei der Einhaltung einer Vorschrift wird nicht dadurch geschlossen, dass man die andere richtig macht.

Was ist eine DSGVO-konforme Alternative zu hCaptcha?

Für Organisationen, für die EU-Datenhosting, keine Cookies und zertifizierte Zugänglichkeit eher eine Voraussetzung als eine Vorliebe sind, wurde captcha.eu nach genau diesen Vorgaben entwickelt. Österreichisches Hosting, keine Cookies, kein Tracking, unsichtbare Integration und unabhängig verifizierte WCAG 2.2 AA-Konformität über die WACA-Silber-Zertifizierung des TÜV Austria.

100 kostenlose Anfragen

Testen Sie unser Produkt kostenlos mit 100 Verifizierungen – keine Kreditkarte erforderlich.

Testversion starten

Bei Fragen

Kontaktieren Sie uns

Unser Support-Team steht Ihnen gerne zur Verfügung.

Kontaktieren Sie uns

kürzliche Posts

de_DEGerman
en_USEnglish fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian de_DEGerman