Friendly Captcha im Datenschutz-Check

Einführung

Captchas gehören mittlerweile zum Alltag jeder Webseite. Sie schützen vor Spam, Bots und automatisierten Angriffen, sind jedoch auch immer wieder Gegenstand von Datenschutzdiskussionen. Gerade seit der Einführung der Datenschutzgrundverordnung (DSGVO) suchen Unternehmen zunehmend nach Lösungen, die Nutzerdaten so wenig wie möglich beeinträchtigen.

Der europäische CAPTCHA-Provider Friendly Captcha positioniert sich als datenschutzfreundliche Alternative zu den marktführenden Captchas wie Googles reCAPTCHA oder hCaptcha. Doch erfüllt der Anbieter tatsächlich die Anforderungen der DSGVO? In diesem Artikel analysieren wir Friendly Captcha detailliert und vergleichen es mit den beiden größten Alternativen: reCAPTCHA und hCaptcha.

Was ist Friendly Captcha?

Friendly Captcha ist eine Lösung zur Spam-Abwehr, die sich von traditionellen Captchas deutlich unterscheidet. Anstatt Nutzern schwierige Bilderrätsel oder Checkboxen vorzusetzen, verwendet Friendly Captcha einen sogenannten „Proof-of-Work“-Ansatz. Dabei generiert der Browser des Nutzers automatisch kryptografische Rechenaufgaben im Hintergrund. Nutzer müssen dadurch keine aktiven Handlungen ausführen – die Validierung erfolgt automatisch und im Hintergrund.

Technisch basiert Friendly Captcha auf offenen Standards und verzichtet explizit auf Tracking und Profilbildung. Durch diese datenschutzfreundliche Herangehensweise gewinnt Friendly Captcha zunehmend Beliebtheit, vor allem in der EU, wo Datenschutz eine besondere Rolle spielt (siehe auch EU Captcha).

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Datenschutzrechtliche Bewertung von Friendly Captcha

Aus datenschutzrechtlicher Sicht ist besonders relevant, welche Daten ein Captcha-Dienst verarbeitet, wo diese verarbeitet werden, und ob personenbezogene Daten an Dritte weitergegeben werden. Friendly Captcha wirbt damit, keinerlei Tracking durchzuführen und ausschließlich in Europa zu hosten. Tatsächlich erhebt Friendly Captcha lediglich minimale Informationen, wie beispielsweise IP-Adressen, um Missbrauch zu verhindern. Diese IP-Adressen werden jedoch ausschließlich anonymisiert gespeichert und nicht für Profiling-Zwecke genutzt. Das liegt darin begründet, weil Friendly Captcha die erhobenen Daten nicht monetarisieren muss, wegen des ohnehin bestehenden Preismodells.

Die Datenverarbeitung findet bei Friendly Captcha auf Servern innerhalb der Europäischen Union statt. Damit vermeidet Friendly Captcha potenzielle Probleme durch internationale Datentransfers, wie sie z.B. bei US-basierten Diensten wie reCAPTCHA und hCaptcha bestehen. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO kann problemlos abgeschlossen werden. Im Folgenden finden Sie eine Prüfung des Auftragsverarbeitungsvertrags mit Stand von Q1 2025.

Prüfbericht AVV Friendly Captcha

Nachfolgend werden alle relevanten Prüfkriterien gem. Art. 28 DSGVO für den Captcha-Dienst Friendly Captcha behandelt. Sie finden zu jedem Prüfkriterium entsprechende Verweise aus dem AVV:

Ort der Datenverarbeitung: ✅ Anbieter hat Hauptsitz in EU und bietet tarifabhängig einen dedizierten EU-Endpoint, der von europäischen Unterauftragsverarbeitern betrieben wird.
Gegenstand der Verarbeitung: ✅ Erfüllt gem. 1.1 der AVV.
Dauer der Verarbeitung: ✅ Erfüllt gem. 7 der AVV.
Art, Zweck der Verarbeitung: ✅ Erfüllt gem. 1.2 – 1.4 der AVV.
Arten der Daten / Betroffenen für die Verarbeitung: ✅ Erfüllt gem. 1.2 – 1.4 der AVV.
Pflichten und Rechte des Verantwortlichen sind festgelegt: ✅ Erfüllt gem. 2 der AVV.
Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen: ✅ Erfüllt gem. 2.2 der AVV.
Gewährleistung durch Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen: ✅ Erfüllt gem. 3.5 der AVV.
Auftragsverarbeiter hält alle gem. Art. 32 DSGVO erforderlichen Maßnahmen ein: ✅ Erfüllt gem. 3.8 der AVV.
Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Art. 12 – 23 DSGVO, „Betroffenenrechte“) genannten Rechte der betroffenen Person nachzukommen: ✅ Erfüllt.
Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (TOM, Meldepflicht bei Datenschutzverstößen, Benachrichtigung betroffener Personen bei Datenschutzverstößen, DSFA, Vorherige Konsultation der Aufsichtsbehörde): ✅ Erfüllt.
Der Auftragsverarbeiter muss nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht: ✅ Erfüllt.
Keine Haftungsregelungen entgegen dem Art. 82 DSGVO: ✅ Erfüllt.

Zusammenfassend gilt Friendly Captcha daher als datenschutzrechtlich besonders vertrauenswürdig. Besonders positiv ist der geringe Umfang an der Verarbeitung von personenbezogenen Daten und die Löschfrist von 30 Tagen. Friendly Captcha ist ein europäischer Captcha-Anbieter mit Hauptsitz in der EU. Im Einstiegstarif wird ein Unterauftragsverarbeiter aus den USA eingesetzt, der durch geeignete Garantien abgesichert ist. Für Kunden mit strengen Compliance-Anforderungen empfiehlt sich die Wahl eines „Advanced“- oder „Enterprise“-Tarifs. Diese Tarife enthalten einen dedizierten EU-Endpoint, der von rein europäischen Unterauftragsverarbeitern betrieben wird.

Vergleich mit reCAPTCHA und hCaptcha: Datenschutz auf dem Prüfstand

Die größten Konkurrenten zu Friendly Captcha sind aktuell Google reCAPTCHA und hCaptcha. Beide sind weltweit im Einsatz und gelten oft als Standardlösungen.

Datenschutzbewertung von Google reCAPTCHA

Google reCAPTCHA ist die mit Abstand meistverwendete Captcha-Lösung. Doch gerade Googles intensive Datenerfassung sorgt regelmäßig für Kritik. reCAPTCHA verarbeitet neben IP-Adressen auch Cookies und nutzt die Daten unter anderem zur Optimierung von Werbeprofilen. Da Google seine Server hauptsächlich in den USA betreibt, erfolgt zwangsläufig eine Datenübertragung in ein Drittland, was spätestens seit dem Schrems-II-Urteil problematisch ist.

Unternehmen, die reCAPTCHA verwenden, geraten daher schnell in Konflikt mit der DSGVO. Obwohl Google inzwischen Standardvertragsklauseln (SCC) anbietet, bestehen Zweifel an der langfristigen Rechtssicherheit. Datenschützer empfehlen deshalb, auf Alternativen umzusteigen (siehe dazu CAPTCHA-Vergleich).

Datenschutzbewertung von hCaptcha

hCaptcha gilt als datenschutzfreundlicher im Vergleich zu Google reCAPTCHA. Dennoch handelt es sich ebenfalls um einen US-basierten Anbieter. Auch hCaptcha erfasst personenbezogene Daten wie IP-Adressen und setzt Cookies zur Optimierung seiner Dienste ein. Zwar wirbt hCaptcha mit einer stärkeren Privatsphäreorientierung, doch auch hier existieren Risiken durch die Datenübermittlung in den USA.

Auch wenn hCaptcha mehr Möglichkeiten zur datenschutzfreundlichen Anpassung bietet, bleibt die Problematik der US-Server bestehen. Unternehmen sollten daher sorgfältig prüfen, ob hCaptcha ihren Anforderungen gerecht wird.

Gegenüberstellung der Anbieter (Friendly Captcha vs. reCAPTCHA vs. hCaptcha)

Friendly Captcha:

Hauptsitz: Deutschland.
Datenminimierung: ✅ Sehr gut
Drittstaatentransfer (USA): ✅ Nein, mit EU-Tarif
Cookies / Nutzertracking: ✅ Kein Tracking
DSGVO-Konformität: ✅ Hoch
AV-Vertrag (Art. 28 DSGVO): ✅ Möglich

Google reCAPTCHA:

Hauptsitz: USA.
Datenminimierung: ❌ Schlecht
Drittstaatentransfer (USA): ❌ Ja, problematisch
Cookies / Nutzertracking: ❌ Intensives Tracking
DSGVO-Konformität: ❌ Kritisch
AV-Vertrag (Art. 28 DSGVO): ❌ Schwierig umzusetzen

hCaptcha:

Hauptsitz: USA.
Datenminimierung: ⚠️ Mittelmäßig
Drittstaatentransfer (USA): ⚠️ Ja, mit Risiken
Cookies / Nutzertracking: ⚠️ Moderates Tracking
DSGVO-Konformität: ⚠️ Eingeschränkt
AV-Vertrag (Art. 28 DSGVO): ✅ Möglich

Was kostet zuverlässiger Datenschutz?

Erhalten Sie in wenigen Schritten eine passgenaue Kostenübersicht.

Barrierefreiheit und Nutzerfreundlichkeit

Ein weiterer wichtiger Faktor ist die Barrierefreiheit der Captchas. Traditionelle Captchas (wie reCAPTCHA oder hCaptcha) setzen oft auf visuelle Rätsel, die insbesondere Menschen mit Behinderungen (z.B. Sehbehinderung) ausschließen können. Friendly Captcha dagegen erfordert keinerlei Interaktion, was es für alle Nutzergruppen zugänglich macht.
Damit erfüllt Friendly Captcha die Barrierefreiheitsrichtlinien (WCAG 2.1, Barrierefreiheitsstärkungsgesetz, EAA) besonders gut (siehe dazu WCAG-Checker und mehr zum Thema CAPTCHA Barrierefreiheit).

Technische Integration und Performance

Friendly Captcha punktet zudem durch eine besonders einfache technische Integration. Die Implementierung erfolgt über wenige Zeilen JavaScript und stellt kaum Anforderungen an die Performance. Anders als reCAPTCHA oder hCaptcha verursacht Friendly Captcha nur minimale Ladezeiten und beeinträchtigt die SEO-Performance der Webseite kaum. Insbesondere Webseiten mit einem starken Fokus auf schnelle Ladezeiten profitieren von Friendly Captcha, da es die Nutzererfahrung nicht beeinträchtigt.

Handlungsempfehlung für Unternehmen

Für Unternehmen mit Sitz in der EU oder starkem Fokus auf Datenschutz und Barrierefreiheit empfiehlt sich Friendly Captcha klar als optimale Lösung. Dies gilt insbesondere für:

Öffentliche Einrichtungen und Behörden (hohe Datenschutzanforderungen)
Online-Shops (starke Nutzerorientierung, SEO)
Größere Unternehmen, die DSGVO-Risiken reduzieren wollen

Wer hingegen vor allem Wert auf eine möglichst günstige Lösung legt, muss zwischen den Datenschutzrisiken von reCAPTCHA und hCaptcha abwägen.

Fazit

Friendly Captcha überzeugt durch klare Vorteile im Bereich Datenschutz, DSGVO-Konformität und Barrierefreiheit. Gerade Unternehmen, die rechtliche Sicherheit anstreben und ihren Nutzern bestmögliche Privatsphäre bieten möchten, sind mit Friendly Captcha gut beraten. Friendly Captcha übertrifft dabei reCAPTCHA und hCaptcha eindeutig in puncto Datenschutz und Nutzerfreundlichkeit.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy