CAPTCHA & DSGVO: reCAPTCHA, hCaptcha & der Datenschutz

Ein CAPTCHA ist die kleine Hürde, die zwischen deinem Formular und dem Internet steht: „Ich bin kein Roboter". Es soll verhindern, dass automatisierte Skripte dein Kontaktformular mit Spam fluten oder Login-Felder mit gestohlenen Zugangsdaten durchprobieren. So sinnvoll der Schutz ist — die populärsten CAPTCHA-Dienste binden externe Server ein und übertragen dabei Daten deiner Besucher. Dieser Beitrag ordnet neutral ein, was dabei passiert und welche datensparsameren Wege es gibt.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Wozu CAPTCHAs überhaupt dienen

CAPTCHAs schützen Eingabepunkte, an denen automatisierte Anfragen Schaden anrichten können: Kontakt- und Anmeldeformulare, Newsletter-Eintragungen, Kommentarfelder und Logins. Bots können solche Felder massenhaft ausfüllen — sei es, um Werbung zu streuen, Adressen abzufischen oder per „Credential Stuffing" erbeutete Passwörter durchzuprobieren. Ein CAPTCHA stellt eine Aufgabe, die für Menschen leicht, für einfache Skripte aber schwer zu lösen ist, und filtert so einen Teil der automatisierten Zugriffe heraus.

Der Schutz selbst ist legitim und in vielen Fällen sinnvoll. Die datenschutzrechtliche Frage ist nicht, ob du dich gegen Bots wehren darfst, sondern wie — und vor allem, welche Daten der eingesetzte Dienst dafür verarbeitet.

Google reCAPTCHA (v2 und v3)

Google reCAPTCHA ist der mit Abstand bekannteste Dienst. Technisch wird dafür Code von Google-Servern (etwa www.google.com/recaptcha und www.gstatic.com/recaptcha) in deine Seite geladen. Damit das funktioniert, übermittelt der Browser deiner Besucher unter anderem ihre IP-Adresse an Google sowie Verhaltens- und Browser-Signale — also Hinweise darauf, wie sich der Mauszeiger bewegt, wie getippt wird und wie der Browser konfiguriert ist. Diese Server stehen in der Regel in den USA.

Bei reCAPTCHA v2 ist die Hürde sichtbar: das bekannte „Ich bin kein Roboter"-Kästchen oder eine Bildaufgabe. reCAPTCHA v3 arbeitet dagegen unsichtbar im Hintergrund und vergibt fortlaufend einen Risiko-Score, ohne dass der Besucher aktiv etwas anklickt. Das ist bequem, erhöht aber die Eingriffstiefe: v3 kann auf vielen oder allen Seiten einer Website dauerhaft mitlaufen und Signale sammeln, nicht nur am einen Formular, das geschützt werden soll.

Daraus folgt aus Datenschutzsicht zweierlei. Erstens braucht es Transparenz: Besucher sollen nachvollziehen können, dass und an wen Daten übertragen werden. Zweitens stellt sich die Frage nach der Rechtsgrundlage. Ob sich der Einsatz auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen lässt oder eine Einwilligung erfordert, wird unterschiedlich beurteilt — gerade beim dauerhaften, seitenweiten Einsatz von v3 ist ein berechtigtes Interesse umstritten, weil die Datenverarbeitung weit über den konkreten Schutzbedarf eines einzelnen Formulars hinausgehen kann. In vielen Konstellationen wird daher eine Einwilligung als der sicherere Weg angesehen. Hinzu kommt der Drittlandbezug: Werden Daten an einen Dienst in den USA übertragen, sind die Anforderungen an Drittlandtransfers nach Art. 44 ff. DSGVO zu beachten.

Wichtig zur Einordnung: Das bedeutet nicht „reCAPTCHA ist verboten". Es bedeutet, dass der Einsatz transparent gemacht und die Rechtsgrundlage sauber bestimmt werden sollte — und dass es Alternativen gibt, die von vornherein weniger Daten verarbeiten.

Datensparsamere Alternativen

Wer die Eingriffstiefe verringern möchte, hat mehrere Optionen — von Drittanbietern mit anderem Datenmodell bis hin zu Methoden, die ganz ohne externen Dienst auskommen. Welche passt, hängt von deinem Schutzbedarf und deinem Technik-Stack ab.

• hCaptcha: ein direkter reCAPTCHA-Konkurrent, der mit EU-Optionen und einem stärker auf Datenschutz ausgerichteten Modell wirbt. Auch hier wird ein externer Dienst eingebunden — eine Einbindung über hcaptcha.com bleibt also ein Drittanbieter, dessen Datenverarbeitung du in der Datenschutzerklärung benennen solltest.
• Friendly Captcha: ein in Deutschland entwickelter Dienst, der auf ein „Proof of Work"-Verfahren setzt: Statt Verhaltensdaten zu analysieren, lässt er den Browser eine kleine Rechenaufgabe lösen. Das funktioniert ohne Cookies und kommt nach Anbieterangaben mit deutlich weniger personenbezogenen Daten aus.
• Cloudflare Turnstile: eine CAPTCHA-Alternative von Cloudflare (eingebunden über challenges.cloudflare.com), die ohne klassische Bildrätsel auskommt und Bots überwiegend anhand technischer Signale erkennt. Auch das ist ein Drittanbieter — prüfe daher, welche Daten verarbeitet werden und wo.
• Serverseitige Methoden ohne Drittanbieter: Für viele Formulare reicht schon ein Bündel klassischer Techniken, die ganz ohne externen Dienst auskommen — etwa Honeypot-Felder (ein für Menschen unsichtbares Feld, das nur Bots ausfüllen), Rate-Limiting (Begrenzung der Absendeversuche pro Zeit) und Zeitmessung (ein Formular, das in Sekundenbruchteilen abgeschickt wird, stammt meist von einem Skript). Diese Verfahren laufen auf deinem eigenen Server und übertragen keine Besucherdaten an Dritte.

Einen schnellen ersten Eindruck — ob deine Seite überhaupt einen externen CAPTCHA-Dienst nachlädt — bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Er ersetzt keine fachkundige Prüfung, zeigt dir aber sofort, ob an dieser Stelle Handlungsbedarf besteht.

Transparenz & rechtlicher Rahmen

Unabhängig davon, für welchen Dienst du dich entscheidest, gibt es ein paar Punkte, die sich in der Praxis bewährt haben:

• Dienst in der Datenschutzerklärung benennen: Welcher CAPTCHA-Dienst eingesetzt wird, welche Daten dabei verarbeitet werden und auf welcher Rechtsgrundlage, gehört transparent in deine Datenschutzerklärung. Bei reCAPTCHA verlangen im Übrigen schon die Google-Nutzungsbedingungen einen entsprechenden Transparenzhinweis gegenüber den Nutzern.
• Auftragsverarbeitung (AVV): Verarbeitet ein Dienstleister in deinem Auftrag Daten, ist in der Regel ein Vertrag zur Auftragsverarbeitung erforderlich.
• Drittland prüfen: Fließen Daten in ein Land außerhalb der EU/des EWR, sind die Anforderungen an Drittlandtransfers nach Art. 44 ff. DSGVO zu beachten.
• Einwilligung mitdenken: Lädt der Dienst beim Seitenaufruf bereits externe Skripte oder setzt er auf Cookies bzw. den Zugriff auf Endeinrichtungen, kann zusätzlich § 25 TDDDG einschlägig sein — dann ist häufig eine vorherige Einwilligung über dein Consent-Banner nötig, bevor der Dienst überhaupt laden darf.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen:

• Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu. Sieh nach, ob Requests an google.com/recaptcha, gstatic.com/recaptcha, hcaptcha.com oder challenges.cloudflare.com auftauchen.
• Schon beim Laden oder erst nach Klick? Achte darauf, ob die CAPTCHA-Requests bereits beim Aufruf der Seite feuern oder erst, nachdem du eine Einwilligung erteilt hast — das ist für die Frage nach der Rechtsgrundlage relevant.
• Unterseiten nicht vergessen: Ein unsichtbares v3 kann auf vielen Templates mitlaufen, während ein sichtbares CAPTCHA nur am Kontaktformular sitzt — prüfe mehrere Seitentypen.

Kurz zusammengefasst

• CAPTCHAs schützen Formulare und Logins vor Bots — der Schutz selbst ist legitim, entscheidend ist, welche Daten der Dienst dafür verarbeitet.
• Google reCAPTCHA bindet Google-Server ein und überträgt u. a. die IP-Adresse sowie Verhaltens- und Browser-Signale, in der Regel in die USA; das unsichtbare v3 kann dauerhaft mitlaufen und erhöht so die Eingriffstiefe.
• Transparenz ist nötig, häufig auch eine Einwilligung; ein berechtigtes Interesse ist gerade beim seitenweiten v3-Einsatz umstritten. Drittlandtransfers (Art. 44 ff. DSGVO) sind zu beachten.
• Datensparsamere Wege: hCaptcha (mit EU-Optionen), Friendly Captcha (Proof of Work, ohne Cookies), Cloudflare Turnstile sowie serverseitige Methoden ganz ohne Drittanbieter (Honeypot, Rate-Limiting, Zeitmessung).
• Prüfen kannst du das im Netzwerk-Tab — Treffer auf recaptcha, hcaptcha.com oder challenges.cloudflare.com deuten auf einen externen Dienst hin.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.