Friendly Captcha im Datenschutz-Check

Einführung

Captchas gehören mittlerweile zum Alltag jeder Webseite. Sie schützen vor Spam, Bots und automatisierten Angriffen, sind jedoch auch immer wieder Gegenstand von Datenschutzdiskussionen. Gerade seit der Einführung der Datenschutzgrundverordnung (DSGVO) suchen Unternehmen zunehmend nach Lösungen, die Nutzerdaten so wenig wie möglich beeinträchtigen.

Der europäische CAPTCHA-Provider Friendly Captcha positioniert sich als datenschutzfreundliche Alternative zu den marktführenden Captchas wie Googles reCAPTCHA oder hCaptcha. Doch erfüllt der Anbieter tatsächlich die Anforderungen der DSGVO? In diesem Artikel analysieren wir Friendly Captcha detailliert und vergleichen es mit den beiden größten Alternativen: reCAPTCHA und hCaptcha.

Was ist Friendly Captcha?

Friendly Captcha ist eine Lösung zur Spam-Abwehr, die sich von traditionellen Captchas deutlich unterscheidet. Anstatt Nutzern schwierige Bilderrätsel oder Checkboxen vorzusetzen, verwendet Friendly Captcha einen sogenannten „Proof-of-Work“-Ansatz. Dabei generiert der Browser des Nutzers automatisch kryptografische Rechenaufgaben im Hintergrund. Nutzer müssen dadurch keine aktiven Handlungen ausführen – die Validierung erfolgt automatisch und im Hintergrund.

Technisch basiert Friendly Captcha auf offenen Standards und verzichtet explizit auf Tracking und Profilbildung. Durch diese datenschutzfreundliche Herangehensweise gewinnt Friendly Captcha zunehmend Beliebtheit, vor allem in der EU, wo Datenschutz eine besondere Rolle spielt (siehe auch EU Captcha).

Datenschutzrechtliche Bewertung von Friendly Captcha

Aus datenschutzrechtlicher Sicht ist besonders relevant, welche Daten ein Captcha-Dienst verarbeitet, wo diese verarbeitet werden, und ob personenbezogene Daten an Dritte weitergegeben werden. Friendly Captcha wirbt damit, keinerlei Tracking durchzuführen und ausschließlich in Europa zu hosten. Tatsächlich erhebt Friendly Captcha lediglich minimale Informationen, wie beispielsweise IP-Adressen, um Missbrauch zu verhindern. Diese IP-Adressen werden jedoch ausschließlich anonymisiert gespeichert und nicht für Profiling-Zwecke genutzt. Das liegt darin begründet, weil Friendly Captcha die erhobenen Daten nicht monetarisieren muss, wegen des ohnehin bestehenden Preismodells.

Die Datenverarbeitung findet bei Friendly Captcha auf Servern innerhalb der Europäischen Union statt. Damit vermeidet Friendly Captcha potenzielle Probleme durch internationale Datentransfers, wie sie z.B. bei US-basierten Diensten wie reCAPTCHA und hCaptcha bestehen. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO kann problemlos abgeschlossen werden. Im Folgenden finden Sie eine Prüfung des Auftragsverarbeitungsvertrags mit Stand von Q1 2025.

Prüfbericht AVV Friendly Captcha

Nachfolgend werden alle relevanten Prüfkriterien gem. Art. 28 DSGVO für den Captcha-Dienst Friendly Captcha behandelt. Sie finden zu jedem Prüfkriterium entsprechende Verweise aus dem AVV:

  1. Ort der Datenverarbeitung: ✅ Anbieter hat Hauptsitz in EU und bietet tarifabhängig einen dedizierten EU-Endpoint, der von europäischen Unterauftragsverarbeitern betrieben wird.
  2. Gegenstand der Verarbeitung: ✅ Erfüllt gem. 1.1 der AVV.
  3. Dauer der Verarbeitung: ✅ Erfüllt gem. 7 der AVV.
  4. Art, Zweck der Verarbeitung: ✅ Erfüllt gem. 1.2 – 1.4 der AVV.
  5. Arten der Daten / Betroffenen für die Verarbeitung: ✅ Erfüllt gem. 1.2 – 1.4 der AVV.
  6. Pflichten und Rechte des Verantwortlichen sind festgelegt: ✅ Erfüllt gem. 2 der AVV.
  7. Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen: ✅ Erfüllt gem. 2.2 der AVV.
  8. Gewährleistung durch Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen: ✅ Erfüllt gem. 3.5 der AVV.
  9. Auftragsverarbeiter hält alle gem. Art. 32 DSGVO erforderlichen Maßnahmen ein: ✅ Erfüllt gem. 3.8 der AVV.
  10. Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Art. 12 – 23 DSGVO, „Betroffenenrechte“) genannten Rechte der betroffenen Person nachzukommen: ✅ Erfüllt.
  11. Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (TOM, Meldepflicht bei Datenschutzverstößen, Benachrichtigung betroffener Personen bei Datenschutzverstößen, DSFA, Vorherige Konsultation der Aufsichtsbehörde): ✅ Erfüllt.
  12. Der Auftragsverarbeiter muss nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht: ✅ Erfüllt.
  13. Keine Haftungsregelungen entgegen dem Art. 82 DSGVO: ✅ Erfüllt.

Zusammenfassend gilt Friendly Captcha daher als datenschutzrechtlich besonders vertrauenswürdig. Besonders positiv ist der geringe Umfang an der Verarbeitung von personenbezogenen Daten und die Löschfrist von 30 Tagen. Friendly Captcha ist ein europäischer Captcha-Anbieter mit Hauptsitz in der EU. Im Einstiegstarif wird ein Unterauftragsverarbeiter aus den USA eingesetzt, der durch geeignete Garantien abgesichert ist. Für Kunden mit strengen Compliance-Anforderungen empfiehlt sich die Wahl eines „Advanced“- oder „Enterprise“-Tarifs. Diese Tarife enthalten einen dedizierten EU-Endpoint, der von rein europäischen Unterauftragsverarbeitern betrieben wird.

Vergleich mit reCAPTCHA und hCaptcha: Datenschutz auf dem Prüfstand

Die größten Konkurrenten zu Friendly Captcha sind aktuell Google reCAPTCHA und hCaptcha. Beide sind weltweit im Einsatz und gelten oft als Standardlösungen.

Datenschutzbewertung von Google reCAPTCHA

Google reCAPTCHA ist die mit Abstand meistverwendete Captcha-Lösung. Doch gerade Googles intensive Datenerfassung sorgt regelmäßig für Kritik. reCAPTCHA verarbeitet neben IP-Adressen auch Cookies und nutzt die Daten unter anderem zur Optimierung von Werbeprofilen. Da Google seine Server hauptsächlich in den USA betreibt, erfolgt zwangsläufig eine Datenübertragung in ein Drittland, was spätestens seit dem Schrems-II-Urteil problematisch ist.

Unternehmen, die reCAPTCHA verwenden, geraten daher schnell in Konflikt mit der DSGVO. Obwohl Google inzwischen Standardvertragsklauseln (SCC) anbietet, bestehen Zweifel an der langfristigen Rechtssicherheit. Datenschützer empfehlen deshalb, auf Alternativen umzusteigen (siehe dazu CAPTCHA-Vergleich).

Datenschutzbewertung von hCaptcha

hCaptcha gilt als datenschutzfreundlicher im Vergleich zu Google reCAPTCHA. Dennoch handelt es sich ebenfalls um einen US-basierten Anbieter. Auch hCaptcha erfasst personenbezogene Daten wie IP-Adressen und setzt Cookies zur Optimierung seiner Dienste ein. Zwar wirbt hCaptcha mit einer stärkeren Privatsphäreorientierung, doch auch hier existieren Risiken durch die Datenübermittlung in den USA.

Auch wenn hCaptcha mehr Möglichkeiten zur datenschutzfreundlichen Anpassung bietet, bleibt die Problematik der US-Server bestehen. Unternehmen sollten daher sorgfältig prüfen, ob hCaptcha ihren Anforderungen gerecht wird.

Gegenüberstellung der Anbieter (Friendly Captcha vs. reCAPTCHA vs. hCaptcha)

Friendly Captcha:

  1. Hauptsitz: Deutschland.
  2. Datenminimierung: ✅ Sehr gut
  3. Drittstaatentransfer (USA): ✅ Nein, mit EU-Tarif
  4. Cookies / Nutzertracking: ✅ Kein Tracking
  5. DSGVO-Konformität: ✅ Hoch
  6. AV-Vertrag (Art. 28 DSGVO): ✅ Möglich

Google reCAPTCHA:

  1. Hauptsitz: USA.
  2. Datenminimierung: ❌ Schlecht
  3. Drittstaatentransfer (USA): ❌ Ja, problematisch
  4. Cookies / Nutzertracking: ❌ Intensives Tracking
  5. DSGVO-Konformität: ❌ Kritisch
  6. AV-Vertrag (Art. 28 DSGVO): ❌ Schwierig umzusetzen

hCaptcha:

  1. Hauptsitz: USA.
  2. Datenminimierung: ⚠️ Mittelmäßig
  3. Drittstaatentransfer (USA): ⚠️ Ja, mit Risiken
  4. Cookies / Nutzertracking: ⚠️ Moderates Tracking
  5. DSGVO-Konformität: ⚠️ Eingeschränkt
  6. AV-Vertrag (Art. 28 DSGVO): ✅ Möglich

Barrierefreiheit und Nutzerfreundlichkeit

Ein weiterer wichtiger Faktor ist die Barrierefreiheit der Captchas. Traditionelle Captchas (wie reCAPTCHA oder hCaptcha) setzen oft auf visuelle Rätsel, die insbesondere Menschen mit Behinderungen (z.B. Sehbehinderung) ausschließen können. Friendly Captcha dagegen erfordert keinerlei Interaktion, was es für alle Nutzergruppen zugänglich macht.
Damit erfüllt Friendly Captcha die Barrierefreiheitsrichtlinien (WCAG 2.1, Barrierefreiheitsstärkungsgesetz, EAA) besonders gut (siehe dazu WCAG-Checker und mehr zum Thema CAPTCHA Barrierefreiheit).

Technische Integration und Performance

Friendly Captcha punktet zudem durch eine besonders einfache technische Integration. Die Implementierung erfolgt über wenige Zeilen JavaScript und stellt kaum Anforderungen an die Performance. Anders als reCAPTCHA oder hCaptcha verursacht Friendly Captcha nur minimale Ladezeiten und beeinträchtigt die SEO-Performance der Webseite kaum. Insbesondere Webseiten mit einem starken Fokus auf schnelle Ladezeiten profitieren von Friendly Captcha, da es die Nutzererfahrung nicht beeinträchtigt.

Handlungsempfehlung für Unternehmen

Für Unternehmen mit Sitz in der EU oder starkem Fokus auf Datenschutz und Barrierefreiheit empfiehlt sich Friendly Captcha klar als optimale Lösung. Dies gilt insbesondere für:

  • Öffentliche Einrichtungen und Behörden (hohe Datenschutzanforderungen)
  • Online-Shops (starke Nutzerorientierung, SEO)
  • Größere Unternehmen, die DSGVO-Risiken reduzieren wollen

Wer hingegen vor allem Wert auf eine möglichst günstige Lösung legt, muss zwischen den Datenschutzrisiken von reCAPTCHA und hCaptcha abwägen.

Fazit

Friendly Captcha überzeugt durch klare Vorteile im Bereich Datenschutz, DSGVO-Konformität und Barrierefreiheit. Gerade Unternehmen, die rechtliche Sicherheit anstreben und ihren Nutzern bestmögliche Privatsphäre bieten möchten, sind mit Friendly Captcha gut beraten. Friendly Captcha übertrifft dabei reCAPTCHA und hCaptcha eindeutig in puncto Datenschutz und Nutzerfreundlichkeit.