Back to blog
· 8 min read · By Vladislav Rajtmajer

Ist hCaptcha DSGVO-konform? Was Betreiber wissen müssen

hCaptcha ist DSGVO-konform betreibbar, aber ein US-Anbieter: AVV, Transferprüfung und jährliche Kontrolle bleiben bei Ihnen. Ein EU-Hoster erspart das.

Wer ein CAPTCHA sucht, das nicht von Google kommt, landet früher oder später bei hCaptcha. Die Versprechen klingen gut: datenschutzfreundlich, keine Werbe-Profile, keine 3x3-Raster mit Ampeln. Und dann kommt die Frage, die jeder Betreiber irgendwann stellt, meist nach einem DSGVO-Audit oder einer Rückfrage vom eigenen Kunden: Darf ich das in Europa überhaupt einsetzen?

Vorweg: Ich entwickle mit captchaapi.eu ein konkurrierendes Produkt. Ich habe also kein Interesse daran, neutral zu wirken, sondern eines daran, ehrlich zu bleiben. Deshalb sage ich es deutlich: hCaptcha ist nicht illegal, und es ist eines der datensparsameren CAPTCHAs am Markt. Die ehrliche Antwort auf die Titelfrage ist trotzdem nicht "ja", sondern "es hängt davon ab". Und woran genau es hängt, darum geht es hier.

Die kurze Antwort

hCaptcha kann DSGVO-konform betrieben werden. Aber die Konformität entsteht nicht durch das Häkchen "wir sind datenschutzfreundlich" auf der Anbieterseite, sondern durch das, was Sie als Betreiber drumherum aufsetzen. hCaptcha wird von der Intuition Machines, Inc. betrieben, einem Unternehmen mit Sitz in den USA. Sobald Sie es auf einer Seite einbinden, die sich an Nutzer in der EU richtet, ist potenziell eine Datenübermittlung in ein Drittland im Spiel. Das löst Kapitel V der DSGVO aus, und damit eine Reihe von Pflichten, die niemand außer Ihnen erfüllt.

Das ist kein hCaptcha-Problem im engeren Sinn. Es ist die Standardlage bei jedem US-Anbieter. Aber genau hier entscheidet sich, ob "DSGVO-konform" für Sie eine Selbstverständlichkeit oder eine Hausaufgabe ist.

Was Sie selbst tragen, wenn Sie hCaptcha einsetzen

Stellen Sie sich zwei Spalten vor. In der einen steht, was der Anbieter erledigt. In der anderen, was an Ihnen hängen bleibt. Bei einem US-Anbieter ist die zweite Spalte länger, als die meisten erwarten:

  • Auftragsverarbeitungsvertrag (AVV). Sie brauchen einen unterschriebenen AVV nach Art. 28 DSGVO. hCaptcha stellt einen bereit, aber abschließen und ablegen müssen ihn Sie.
  • Transfer Impact Assessment (TIA). Sobald Daten in die USA gelangen können, verlangt der EuGH seit Schrems II eine dokumentierte Risikoabschätzung der Übermittlung. Diese Bewertung schreibt Ihnen kein Anbieter, sie ist Ihre Aufgabe als Verantwortlicher.
  • Verzeichnis von Verarbeitungstätigkeiten. Der CAPTCHA-Dienst gehört nach Art. 30 dort hinein, samt Rechtsgrundlage, Empfänger und Übermittlungsmechanismus.
  • Information der Betroffenen. Ihre Datenschutzerklärung muss den Einsatz, den Anbieter und die mögliche Drittlandübermittlung benennen.
  • Jährliche Nachkontrolle. Angemessenheitsbeschlüsse und Übermittlungsgrundlagen sind nicht in Stein gemeißelt. Privacy Shield wurde gekippt, Safe Harbour davor auch. Das aktuelle EU-US Data Privacy Framework wird bereits gerichtlich angegriffen. Wer auf einen US-Mechanismus baut, muss ihn im Blick behalten.

Keiner dieser Punkte ist für sich genommen dramatisch. Zusammen sind sie der Grund, warum "wir nehmen einfach hCaptcha" in einem Audit selten so einfach durchgeht, wie es klingt.

Was hCaptcha tatsächlich zusagt

Fairerweise: hCaptcha tut deutlich mehr für den Datenschutz als der naheliegende Vergleichskandidat aus Mountain View. Die belegbaren Fakten:

  • hCaptcha verarbeitet nach eigener Aussage primär in Rechenzentren in Europa und nur bei Bedarf in den USA, und das jeweils nur für eine begrenzte Zeit.
  • Für die Übermittlung in die USA stützt sich der Anbieter auf das EU-US Data Privacy Framework sowie auf Standarddatenschutzklauseln (SCC) als geeignete Garantien nach Art. 46 DSGVO.
  • Es liegen Zertifizierungen nach ISO 27001, SOC 2 Type II und ISO 27701 vor.
  • Vollständig EU-only wird hCaptcha aber erst über die Enterprise-Stufe, etwa über die "Zero PII"-Funktionen. Im kostenlosen und im Standard-Tarif ist die rein europäische Verarbeitung nicht garantiert.

Der letzte Punkt ist der entscheidende. Genau die Eigenschaft, die Ihren eigenen Aufwand am stärksten senken würde, nämlich garantierte EU-Verarbeitung ohne Drittlandbezug, bekommen Sie bei hCaptcha nicht im Einstiegstarif, sondern erst im Enterprise-Vertrag. Und sobald Sie dort sind, sind Sie nicht mehr die kleine Self-Service-Firma, für die der ganze Aufwand sich rechnen sollte.

Der Punkt mit dem Daten-Labeling

Ein Aspekt, der in der Datenschutzdebatte oft untergeht: Die Muttergesellschaft Intuition Machines betreibt neben dem CAPTCHA ein Geschäft mit Daten-Labeling für Machine-Learning-Systeme. hCaptcha selbst stellt klar, dass die dabei anfallenden gelabelten Daten nicht mit einer identifizierten Person verknüpft seien.

Trotzdem ist es eine legitime Frage, ob Interaktionsdaten über die reine Bot-Abwehr hinaus in Trainingsdatensätze fließen, und ob das mit dem Grundsatz der Zweckbindung sauber zusammengeht. Ich behaupte nicht, dass hier ein Verstoß vorliegt. Ich sage nur: Wenn Ihre Anwender wissen wollen, wofür ihre Eingaben verwendet werden, ist das eine Frage, auf die Sie eine Antwort parat haben sollten.

Braucht hCaptcha ein Cookie-Banner?

Hier ist die Lage ehrlicherweise unklar, und ich will sie nicht überdrehen. hCaptcha argumentiert, dass seine Verarbeitung für den vom Nutzer angeforderten Dienst "unbedingt erforderlich" ist und damit ohne Einwilligung auskommt. Das ist eine vertretbare Position, und hCaptcha ist beim Setzen von Cookies und beim Tracking spürbar zurückhaltender als reCAPTCHA, das nachweislich seitenübergreifende Profile bildet.

Verlassen würde ich mich darauf nicht blind. Ob die Ausnahme greift, hängt vom konkreten Einsatz und von der Auslegung Ihrer Aufsichtsbehörde ab. Sicher ist nur: Die Diskussion müssen Sie führen, dokumentieren und im Zweifel verteidigen. Sie führen sie nicht, wenn schlicht keine Cookies gesetzt und keine Daten in ein Drittland übermittelt werden.

Die Alternative: EU-only ab der ersten Anfrage

Genau an dieser Stelle setzt captchaapi.eu an. Alles, was bei hCaptcha vom Tarif und vom Einsatz abhängt, ist hier der Normalzustand, nicht das Enterprise-Extra:

  • Verarbeitung ausschließlich in der EU. Sämtliche Rechen- und Speicherprozesse laufen im Rechenzentrum von Hetzner in Nürnberg. Keine US-Region, keine Replikation außerhalb des EWR. Damit entfällt der Drittlandbezug, und mit ihm die Transfer-Folgenabschätzung und die Sorge um den nächsten gekippten Angemessenheitsbeschluss.
  • Keine Cookies, kein Tracking. Das Proof-of-Work-Rätsel läuft im Browser des Besuchers. Das einzige personenbezogene Datum, das serverseitig berührt wird, ist die IP-Adresse, und die wird sofort als SHA-256-Hash mit serverseitigem Salt abgelegt, nur im Cache vorgehalten (bis zu 2 Minuten fürs Rate-Limiting, bis zu 24 Stunden als Abuse-Zähler) und nie dauerhaft gespeichert. Es gibt nichts zu korrelieren, also auch kein seitenübergreifendes Profil.
  • Kein Einwilligungsbanner für die CAPTCHA-Ebene. Wo nichts gesetzt wird, gibt es nichts einzuwilligen. Das Formular funktioniert beim ersten Aufruf.
  • AVV vorab unterzeichnet und öffentlich. Der Vertrag nach Art. 28 liegt als öffentliche Seite bereit. Lesen, verlinken, ablegen, fertig. Kein Vertriebsgespräch, kein Unterschriften-Hin-und-Her.
  • Federführende Aufsichtsbehörde ist das ÚOOÚ (Tschechien). Die Liste der Unterauftragsverarbeiter ist veröffentlicht, mit 30 Tagen Vorankündigung bei jedem Wechsel.
  • Keine Verwertung von Besucherdaten. Es gibt kein zweites Geschäft auf Basis der Interaktionsdaten und keine Trainingsdatensätze. Das Produkt ist das CAPTCHA selbst, nicht das, was die Nutzer dabei eingeben.

Die Zertifizierungen (ISO 27001, BSI C5, jährlich durch TÜV Rheinland geprüft) gehören Hetzner als Infrastrukturanbieter; captchaapi.eu profitiert davon über den Betrieb auf dieser Infrastruktur. Eigene Zertifizierungen auf Betreiberebene beanspruche ich nicht, und das schreibe ich auch genau so hin.

Tarife im Vergleich

hCaptcha captchaapi.eu
Sitz des Anbieters USA (Intuition Machines) Tschechien
Verarbeitung in der EU Standard EU, US bei Bedarf Ausschließlich EU (Hetzner Nürnberg)
Garantiert EU-only nur Enterprise (Zero PII) in jedem Tarif
Drittlandübermittlung möglich, via DPF + SCC keine
Transfer Impact Assessment nötig ja nein
Cookies / Tracking zurückhaltend, aber diskutiert keine
Kostenloser Tarif ja 10.000 Anfragen/Monat, kommerziell erlaubt
Einstiegstarif je nach Plan 9 €/Monat, 20.000 Anfragen, 3 Domains

Höhere Tarife bei captchaapi.eu: Growth für 29 €/Monat (100.000 Anfragen, 10 Domains) und Business für 79 €/Monat (500.000 Anfragen, unbegrenzte Domains). Das Widget wiegt rund 19 KB minifiziert, was Sie in den Core Web Vitals sehen.

Wann hCaptcha trotzdem die richtige Wahl ist

Eine Gegenüberstellung, die nur die eigene Seite lobt, kann man sich sparen. Also die ehrliche Version: Greifen Sie zu hCaptcha, wenn Sie

  • etablierte Referenzen und einen großen Namen brauchen, weil Ihr Sicherheitsverantwortlicher sonst nicht unterschreibt,
  • ein ausgereiftes Risiko-Scoring für hochwertige Betrugsziele wie Bezahlvorgänge oder Kontoübernahmen benötigen,
  • ohnehin auf der Enterprise-Stufe unterwegs sind und die "Zero PII"-Funktionen vertraglich absichern können.

In diesen Fällen ist hCaptcha eine vertretbare und verteidigbare Entscheidung. captchaapi.eu tritt dort gar nicht erst an.

Worum es eigentlich geht

Die Frage "Ist hCaptcha DSGVO-konform?" hat keine Ja-Nein-Antwort, und jeder, der Ihnen eine verspricht, verkauft Ihnen etwas. Die nützlichere Frage lautet: Wer trägt den Aufwand? Bei einem US-Anbieter tragen ihn Sie, in Form von AVV, Risikoabschätzung der Übermittlung, Dokumentation und jährlicher Nachkontrolle. Bei einem Anbieter, der ausschließlich in der EU verarbeitet und keine Cookies setzt, ist diese ganze Spalte schlicht leer.

Wenn Sie ein kleines SaaS, eine Agentur oder ein Entwickler sind, der die DSGVO-Hürde nicht aus Vorliebe, sondern aus Notwendigkeit nehmen muss, ist genau diese Leere das Argument. Genau dafür ist captchaapi.eu gebaut.

Kostenlos starten →

Oder werfen Sie zuerst einen Blick auf die Preise und das why-eu zur EU-Compliance.

captchaapi.eu wird von Vladislav Rajtmajer in Pilsen (Tschechien) gebaut und betrieben. EU-gehostet bei Hetzner in Nürnberg. AVV lesen · Unterauftragsverarbeiter ansehen

Quellen: hCaptcha GDPR- und Datenschutz-Seiten sowie Daten-Labeling, geprüft im Juni 2026. Die Angaben von hCaptcha können sich ohne Vorankündigung ändern, prüfen Sie den aktuellen Stand vor einer Entscheidung. Dieser Beitrag ist keine Rechtsberatung.

Try it on your own site

Free up to 10,000 challenges/month. No credit card.

See plans