• Deutsch

Friendly Captcha ist DSGVO-Konform – Die Alternative zu Google reCaptcha

reCAPTCHA und Friendly Captcha - die DSGVO-konforme Alternative
by Johanna
5. December 2022

Alles was du zu CAPTCHA und Datenschutz wissen musst.

Captchas sind im Internet allgegenwärtig und jeder Benutzer ist damit schon einmal in Berührung gekommen. Der mitunter bekannteste Captcha-Dienst ist Google reCAPTCHA, der allerdings immer wieder in der Kritik steht, da dieser personenbezogene Daten an die USA schickt und damit nicht DSGVO-konform ist.

Die DSGVO hat in den letzten Monaten dazu besonders an Bedeutung zugenommen, nachdem es mehrere Abmahnwellen bzgl. der Nutzung von Google Fonts gab. Daher haben wir uns nach einer DSGVO-konformen Alternative zu Google reCAPTCHA umgeschaut und erklären, warum der Google Dienst überhaupt so problematisch ist.


Mehr Informationen zur rechtlichen Perspektive bzgl. der Weiterleitung personenbezogener Daten an die USA findest du in unserem Gespräch mit Rechtsanwalt Marcus Dury.


Informiere dich auch über den aktuellen Datenschutz in Deutschland.

Inhaltsverzeichnis

  1. Was ist CAPTCHA?
  2. Google reCAPTCHA – nicht DSGVO-konform
  3. Friendly Captcha – die Alternative
  4. Captchas in die Webseite einbauen
  5. Fazit

1. Was ist Captcha eigentlich?

Das sog. Captcha ist ein Test, mit dem festgestellt werden kann, ob der interagierende Nutzer ein Computer oder ein Mensch ist. Das Wort “Captcha” bedeutet “Completely Automated Public Turing Test to tell computers and humans apart”. Die meisten von uns werden den Captcha-Test wohl unter “Wähle alle Felder mit Fußgängerüberwegen/ Ampeln aus” kennen.

Der Begriff des Captcha wurde durch Forscher aus Pitsburgh geprägt, um jene Programme zu beschreiben, die eingegebene Daten zwischen Maschine und Mensch differenzieren können. Die Idee dahinter war, verzerrte Buchstaben und Zahlen von den Benutzern entziffern zu lassen, da diese von Computern nicht erkannt bzw. gelöst werden können. Diese werden heute hauptsächlich verwendet, um Spam und automatisches extrahieren von Daten auf Webseiten zu vermeiden. Durch die Unterscheidung und Erkennung von nicht-menschlichen Interaktionen lassen sich Aktivitäten von Spam-Bots, Fake-Usern, Click-Fraud und DDos-Attacken verhindern. Sie werden bei vielen Webseiten verwendet, wie zum Beispiel bei Onlineumfragen oder Registrierungsformularen.

Google recaptcha der Fußgängerüberweg
‼️ Die Captchas werden allerdings auch von Hackern genutzt, um Fake-Webseiten realistischer aussehen zu lassen.

2. Google reCAPTCHA

Das bekannteste und die meist verwendete Captcha-Lösung ist Google reCAPTCHA. Wie schon am Titel zu vermuten ist, handelt es sich hierbei um eine Google Anwendung, die kostenlos benutzt werden kann.

Google reCAPTCHA funktioniert für die Benutzer relativ einfach. Entweder erscheint das Captcha als Kontrollkästchen, in welchem ein Haken zu Verifizierung gesetzt werden muss, als Rätsel mit vielen kleinen Bildern oder das Programm arbeitet vollständig im Hintergrund. In jedem Fall bedarf es vom Benutzer das Lösen einer Erkennungsaufgabe, sofern die Webseite den User für einen Roboter hält.

Google recaptcha Logo
Google hat sein reCaptcha Tool bereits mehrfach optimiert, sodass es inzwischen verschiedene Versionen des Tools gibt. Die aktuellste Version ist reCAPTCHA Enterprise aus dem Jahr 2020, mit Verbesserungen der Nutzerfreundlichkeit und Barrierefreiheit.

Wie funktioniert Google reCAPTCHA?


reCAPTCHA sammelt und verfolgt so viele Informationen wie möglich über das Nutzungsverhalten des Benutzers.


Darunter fallen zum Beispiel IP-Adresse, Datum, Screenshots des Browserfensters, Referrer URL, Browser Plugins, Infos über das Betriebssystem (Windows, Linux, iOS), ggf. Cookies, CSS Informationen der Seite, Mausbewegungen und Tastaturanschläge, Verweildauer und Einstellungen des Nutzergeräts.


Durch alle diese gesammelten Informationen stellt reCAPTCHA eine Vermutung über den Nutzer auf, ob dieser ein Mensch oder ein Roboter ist. Kann reCAPTCHA nicht genügend Daten sammeln und so keine klare Vermutung über eine Person aufstellen, wird dieser dazu aufgefordert, eines der bekannten Bildrätsel zu lösen und sich als Mensch zu verifizieren.


Mittlerweile gibt es auch neue Versionen der Bildrätsel- oder verzerrten Schrift-Captchas, bei denen der Nutzer mittlerweile nur noch ein Häkchen zur Verifizierung setzen muss oder der Prozess, des sog. Invisible reCaptcha, sogar ganz im Hintergrund abläuft. Dieser ist in der Regel für den Benutzer unsichtbar.


Ist reCAPTCHA DSGVO-konform?


Was reCAPTCHA betrifft, legt Google die Datenschutzerklärung nicht offen, weswegen nicht klar ist, was genau mit den gesammelten Daten passiert. reCAPTCHA kann allerdings durch die Einbindung auf einer Webseite auf alle Cookies zugreifen, um Nutzer möglicherweise auch auf anderen Webseiten zu verfolgen, die nicht zu Google gehören.


Nach Auffassung der bayerischen Datenschutzbehörde ist reCAPTCHA daher nicht DSGVO-konform. Bislang kann aus der allgemeinen Datenschutzerklärung von Google lediglich erschlossen werden, dass Daten wie allgemeine Nutzungsdaten wie Typ und Einstellungen des Browsers, Typ und Einstellungen des Geräts, das Betriebssystem, Informationen zum Mobilfunknetz, die Telefonnummer sowie die Versionsnummer der App und die IP–Adresse des Nutzers erhoben werden. Spezifischere Angaben zur Weiterverarbeitung der personenbezogenen Daten durch Google reCAPTCHA werden in der Datenschutzerklärung allerdings nicht angegeben, was jedoch nach Regelung der DSGVO Vorschrift ist.


„Webseiten-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

3. Friendly Captcha – die DSGVO-konforme Alternative

Friendly Captcha Logo
Friendly Captcha ist eine neuere Captcha Lösung mit Sitz in der EU (München). Das Unternehmen wurde von dem “Good Company Builder” Interlink entwickelt und konzentriert sich auf Datenschutz und Barrierefreiheit der Benutzer. Friendly Captcha gilt aktuell als die einzige ausgefeilte Lösung auf dem Markt, die einen vollständigen Schutz der Privatsphäre gewährleistet. Somit ist das Tool vollständig DSGVO-konform und benötigt lediglich die Information des Benutzers – aber keine Zustimmung – über die Verwendung des Tools.
Wie funktioniert Friendly Captcha?

Friendly Captcha lässt nicht den Besucher manuelle Bilderrätsel lösen, sondern generiert ein kryptografisches Rätsel, welches vom jeweiligen Browser vollständig im Hintergrund gelöst wird. Anhand der gesammelten technischen Signalen, kann die Schwierigkeit angepasst werden, um möglichen Bots das Weiterkommen zu erschweren. Das Lösen des Rätsels dauert normalerweise nur wenige Sekunden und der Benutzer sollte in der Regel davon gar nichts mitbekommen.

So sieht der Friendly Captcha Test aus
Die Daten, die Friendly Captcha sammelt, verlassen nach Angaben von Friendly Captcha, nicht die EU. Die personenbezogene Datenverarbeitung soll transparent gestaltet sein und es werden ebenso keine Cookies zur Verfolgung der Benutzer verwendet.

Ist Friendly Captcha DSGVO-konform?


Recherchen nach zu Urteilen ist Friendly Captcha tatsächlich eine der wenigen Captcha-Möglichkeiten, die von Haus aus DSGVO-konform gestaltet sind. Das Friendly Captcha-System basiert hier auf der Blockchain Technologie und ist damit sowohl Schrems II, als auch DSGVO-konform. Bei der Benutzung des Captchas werden weder Cookies verwendet, noch persönliche Daten von Nutzern gespeichert.


“Standardmäßig werden Anfragen in dem Point-of-Presence verarbeitet, der dem Zugriffspunkt des Endnutzers am nächsten ist.”


Friendly Captcha bietet allerdings noch ein zusätzliches Sicherheits-Premium-Feature an, mit der nochmals sichergestellt werden soll, dass Daten wie IP-Adressen die EU nicht verlassen. Dieses ist allerdings nur in den professionellen Tarifen enthalten.


Gleichzeitig dazu, kann das Friendly Captcha Widget mit einem Code von deinem Entwickler so angepasst werden, dass ausschließlich EU-Endpunkte ausgewählt werden. Aber auch diese Funktion wird wahrscheinlich nur in der Premium-Version verfügbar sein. Mehr Informationen dazu findest du hier.


Als Premium-Feature bieten wir einen dedizierten Weiterleitungs-Endpunkt an, der in Deutschland gehostet wird, um zusätzlich zu garantieren, dass die persönlichen Informationen (d.h. die IP-Adressen der Besucher) niemals die EU verlassen.


Preise

Einblicke in die Preistabelle von Friendly Captcha
Friendly Captcha Preise
Friendly Captcha kann je nach Nutzung der Webseite kostenlos, aber auch kostenpflichtig zwischen 9 und 200 Euro im Monat, verwendet werden. Die Preise unterscheiden sich in den enthaltenen Tools und Features, wie zum Beispiel die Anzahl der geschützten Webseiten oder verschiedenen Support-Möglichkeiten. Insgesamt gibt es 5 verschiedene Basic oder Professionelle Tarifpakete, aus denen du wählen kannst. Hierbei musst du natürlich für dich entscheiden, welches am besten zu dir passt.
How fast is your WordPress?
  • PageSpeed Score
  • Core Web Vitals
  • Parameter with explanation
! Kostenloser Speedtest – /speedtest/

After submitting, you will receive the result directly by e-mail.

By submitting this form, you agree to our privacy policy.

4. Captchas in die Webseite einbauen

Die Einbindung von Captchas in deine Webseite ist je nach Anbieter und Produkt anders. Deswegen geben wir an dieser Stelle keine präzise Anleitung vor, da dies jeweils ein individueller Prozess ist. Das Widget lässt sich aber meist in Form eines Codes oder über dein Java-Script-Bundle in die Webseite integrieren. Dazu kannst du dich natürlich an den Entwickler deines Vertrauens richten, da die Aufgabe etwas komplexer werden könnte.

Friendly Captcha gibt es beispielsweise auch kostenlos als Plugin bei WordPress. Informationen über die Verwendung des Plugins und über die allgemeine Integration des Codes findest du bei Friendly Captcha.

Der Friendly Captcha Code zur Einbindung in deine Webseite
Bei WordPress selbst gibt es verschiedene Plugins zur Verwendung von Captcha-Diensten. So findest du hier beispielsweise auch ein Plugin, welches auf die Verwendung von WooCommerce optimiert ist. Grundsätzlich erfolgt der Prozess aber meist über die manuelle Integration eines Codes.
Friendly Captcha als Plugin bei WordPress.
Mehr Plugins für Captcha-Dienste bei WordPress
Google recpatcha gitb es auch für WooCommerce

5. Fazit

Es gibt eine Vielzahl unterschiedlicher Captcha Dienste, die alle das selbe Ziel haben: Bots und Spam von der eigenen Webseite fernzuhalten. Der bekannteste Dienst ist Google reCAPTCHA, der allerdings immer wieder in der Kritik steht, da er personenbezogene Daten an die USA schickt und damit nicht DSGVO-konform ist.

Im Gegenteil dazu ist der Captcha Dienst Friendly Captcha als einer der wenigen von Haus aus schon DSGVO-konform. Des Weiteren müssen die Nutzer damit heute keine kuriosen Bildrätsel mehr lösen, sondern der Captcha Test findet im Hintergrund völlig automatisiert statt.


Wir finden, dass Friendly Captcha in der aktuellen problematischen Lage mit DSGVO-konformen Möglichkeiten eine tolle Alternative zum typischen Google reCAPTCHA darstellt.

Johanna
Johanna
Johanna ist Texter und Content Marketing Managerin. Sie hat eine Vorliebe für Social Media und setzt auf klare Kommunikations-Strategien. Bei HostPress kümmert sie sich um Newsletter- und Bloginhalte, um zielgruppengerechte Inhalte und die Markenbekanntheit zu fördern. Durch ihre Arbeit im Webhosting Bereich liegt ihre Stärke darin, komplexe Themen verständlich und authentisch auf den Punkt zu bringen.
More current articles about WordPress & Co:
6 Responses

  1. Man sollte aber dies nicht verschweigen, denn die EU-Version gibt es nicht kostenlos:

    “Standardmäßig kommuniziert das FriendlyCaptcha-Widget mit unserem globalen Dienst, der von überall auf der Welt aus bedient wird, um CAPTCHA-Rätsel abzurufen. Abhängig von der geografischen Lage Ihres Nutzers kann diese Anfrage von außerhalb der EU gestellt werden.”

    “Als Premium-Feature bieten wir einen speziellen Weiterleitungs-Endpunkt an, der in Deutschland gehostet wird, um zusätzlich zu garantieren, dass die persönlichen Informationen (d.h. die IP-Adressen der Besucher) niemals die EU verlassen. Hinweis: Die Nutzung dieses Dienstes erfordert einen Friendly Captcha Advanced oder Enterprise Plan.”

    Reply

    1. Hallo Mirlem,

      vielen Dank für deine Informationen. 🙂 Dieses zusätzliche Sicherheits-Feature ist tatsächlich nicht im kostenlosen Basic-Tarif enthalten und ist mit 200 Euro im Monat im Advanced-Tarif nicht gerade günstig. Die von dir genannten Informationen nehmen wir gerne noch in unseren Beitrag mit auf und verlinken sie zur Entwickler-Dokumentation von FriendlyCaptcha, damit diese auch transparent für jeden nachvollziehbar bleiben.

      Reply

  2. Alternativ einfach Send Denial aus dem WP Pluginverzeichnis installieren, kein Captcha, funktioniert einwandfrei plug&play für die meisten bekannten Formbuilder

    Reply

  3. Meiner Erfahrung nach gibt es deutlich bessere alternativen als FriendlyCaptcha, da dieses nichtmals E2E-Testing Tools erkennt und Formulare so kaum schützt. Ich hab das mit Testcafe getestet und konnte angeblich geschütze Formulare automatisiert abschicken.
    Wir haben dann Captcha.eu und CaptchaFox.com getestet und uns am Ende für CaptchaFox entschieden.

    Reply

    1. Hallo Matthias,
      vielen Dank für dein Feedback und die Alternativen zu FriendlyCaptcha. 🙂 Auf Captcha.eu sind wir auch schon aufmerksam geworden und planen dazu ebenfalls einen Beitrag zu veröffentlichen – CaptchaFox werde ich mir natürlich auch anschauen. Aus welchen Gründen hast du dich final für CaptchaFox entschieden? 🙂

      Reply

      1. Hallo Johanna,

        wir haben uns für CaptchaFox entshcieden, da standardmäßig EU-Server genutzt werden. Außerdem hat die Erkennung in unseren Tests besser funktioniert und es wurde im Gegensatz zu FriendlyCaptcha auch korrekt erkannt. Ein kleines Feature welches uns aber auch sehr wichtig war, waren die Testkeys für verschiedene Szenarien. Damit konnten wir die gesamte Userjourney inklusive Captcha in unserer Testumgebung testen

        Reply
Leave a Reply

Your email address will not be published. Required fields are marked *