Zu 100% EU-gehostet
Hetzner Nürnberg; keine CAPTCHA-Daten verlassen den EWR.
Keine Cookies im Widget
Kein seitenübergreifendes Tracking und keine Werbeprofile - niemals.
Vorab unterzeichneter AVV
Druckfertiger Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
# 1 Betreiber
captchaapi.eu wird als Einzelunternehmen nach tschechischem Recht betrieben. Dieselbe Rechtsperson ist Verantwortlicher für registrierte Nutzer, Verkäufer bei B2B-Transaktionen und Ansprechpartner für Sicherheitsmeldungen.
Vladislav Rajtmajer
Eingetragene Anschrift: U Porcelánky 862, 35735 Chodov
Firmen-ID (IČO): 73396249
USt-Status: Identifikovaná osoba (CZ) - kein inländischer Umsatzsteuerzahler (keine tschechische USt. auf Rechnungen); Reverse-Charge für EU-B2B
Gerichtsstand: Tschechien (Europäische Union)
Allgemeiner Kontakt: info@captchaapi.eu
Federführende Aufsichtsbehörde in Datenschutzfragen ist das tschechische Úřad pro ochranu osobních údajů (ÚOOÚ) - www.uoou.cz. Für Streitigkeiten sind ausschließlich die zuständigen Gerichte Tschechiens berufen, unbeschadet zwingender Verbraucherschutzvorschriften in Ihrem Wohnsitzland.
Es ist kein Datenschutzbeauftragter (DSB) bestellt. Die derzeitigen Verarbeitungstätigkeiten erreichen die Schwellenwerte des Art. 37 Abs. 1 DSGVO nicht (keine Behördeneigenschaft, keine umfangreiche regelmäßige und systematische Überwachung betroffener Personen, keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten). Ich überprüfe diese Einstufung jährlich mit dem Wachstum des Dienstes. Datenschutzanfragen richten Sie bitte an die oben genannte Kontaktadresse.
# 2 Geschäftskontinuität
Ein Ein-Personen-Betrieb wirft eine berechtigte Frage auf: Was passiert mit Ihrer Integration, wenn ich nicht mehr da bin, um den Dienst zu betreiben? Hier ist die ehrliche Antwort, so aufbereitet, wie sie ein Kontinuitätsprüfer erwartet. Der Schutz liegt nicht in dem Versprechen, dass ich niemals verschwinde. Er liegt darin, dass ein Wechsel Sie einen Nachmittag kostet und nicht ein Quartal.
Niedrige Wechselkosten, konstruktionsbedingt
Die Integration besteht aus einem Script-Tag und einem serverseitigen Verifizierungsaufruf. Es gibt kein SDK, das herausgelöst werden müsste, und kein proprietäres Datenmodell, das zu migrieren wäre. Das Widget sind ~19 KB lesbares, nicht obfuskiertes JavaScript (/captcha.js), und die Backend-Prüfung ist ein einziger dokumentierter HTTPS-Aufruf an meine API (Backend-Doku). Der Wechsel zu einem anderen CAPTCHA ist ein Nachmittag, kein Projekt.
Nichts von Ihnen ist hier eingeschlossen
Es werden von vornherein keine Besucherdaten gespeichert (siehe Datenverarbeitung weiter unten), es kann also nichts zurückbleiben, wenn der Dienst endet. Ihre eigenen Kontodaten - Projekte, Site-Keys, Rechnungen - erhalten Sie auf Anfrage per E-Mail, solange das Konto besteht.
Falls ich den Dienst je einstelle
Sie erhalten mindestens 30 Tage im Voraus eine schriftliche Mitteilung an den Rechnungskontakt jedes aktiven Kontos, und jeder bereits bezahlte Zeitraum wird erfüllt oder anteilig erstattet. Keine stille Abschaltung. Die verbindliche Frist steht in den Nutzungsbedingungen, Abschnitt 11.
Das Protokoll ist keine Blackbox
Das Widget wird unobfuskiert ausgeliefert, und die Verifizierung ist ein einziger dokumentierter HTTP-Aufruf. Bei einer dauerhaften Einstellung veröffentliche ich die Spezifikation des Challenge- und Verifizierungsprotokolls, sodass jeder einen kompatiblen Endpoint selbst hosten oder nachbauen kann.
Die ehrliche Grenze: Solange der Dienst läuft, erfolgt die Ausstellung der Challenges auf meiner Infrastruktur, und das ist eine Abhängigkeit, die Sie eingehen. Bei den Punkten oben geht es darum, diese Abhängigkeit günstig verlassen zu können - nicht darum, so zu tun, als gäbe es sie nicht.
# 3 Hosting & Infrastruktur
Sämtliche Anwendungsdaten, einschließlich des flüchtigen CAPTCHA-Challenge-Zustands und der operativen Datenbank, liegen ausschließlich auf Infrastruktur der Hetzner Online GmbH in Nürnberg, Deutschland. Es ist keine Replikation oder Failover auf Hetzner-Regionen außerhalb des EWR eingerichtet. CAPTCHA-Verifizierungsdaten werden nicht absichtlich aus der EU/dem EWR übermittelt. Die Datenflüsse der Zahlungsanbieter (Stripe / Lemon Squeezy) sind gesondert auf der Seite Unterauftragsverarbeiter dokumentiert.
Gemessene Verfügbarkeit
Verfügbarkeit der Live-CAPTCHA-API über die letzten 90 Tage, unabhängig durch einen externen Monitor (Better Stack) gemessen. Das ist die beobachtete bisherige Leistung, kein vertraglich zugesichertes SLA.
Zertifizierungen des Unterauftragsverarbeiters (Hetzner)
- ISO 27001
- BSI C5 Type 2
captchaapi.eu hält derzeit keine eigene unabhängige ISO-27001-, SOC-2- oder BSI-C5-Zertifizierung. Diese Zertifizierungen gehören dem vorgelagerten Infrastruktur-Anbieter und werden ehrlich als solche ausgewiesen, nicht für die Anwendungsebene beansprucht.
Unabhängiges jährliches Audit
Die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen durch Hetzner wird jährlich von TÜV Rheinland, einer unabhängigen deutschen Zertifizierungsstelle, auditiert. Der jüngste Auditbericht trägt das Datum 19. Februar 2026 und steht Verantwortlichen auf Anfrage im Rahmen des AVV zur Verfügung. Ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Hetzner wurde am 17. April 2026 unterzeichnet.
# 4 Unterauftragsverarbeiter
Der minimale Fußabdruck an Unterauftragsverarbeitern ist eine bewusste Entscheidung. Die vollständige Liste wird auf der Seite Unterauftragsverarbeiter geführt; es folgt die Kurzfassung.
- Hetzner Online GmbH - Cloud-Infrastruktur (Nürnberg, Deutschland, EU - exklusiv). Verarbeitet sämtliche Anwendungsdaten.
- WEDOS, a.s. - Mailhosting für transaktionale E-Mails (Hluboká nad Vltavou, Tschechien, EU). Verarbeitet ausschließlich Empfängeradresse und Nachrichtentext für Kontobenachrichtigungen.
- Stripe Payments Europe Ltd. - Zahlungsabwickler für B2B-Kunden (captchaapi.eu bleibt Verkäufer). Eigenständiger Zahlungsanbieter für Verbrauchertransaktionen: Lemon Squeezy LLC (tritt als Merchant of Record unter eigenen Bedingungen auf - eigenständiger Verantwortlicher, kein Unterauftragsverarbeiter im strengen Sinne der DSGVO).
Die Ausstellung der Steuerrechnungen übernehmen hauseigene Tools, die auf der bei Hetzner gehosteten Anwendung laufen; kein Dritter erhält Rechnungsdaten.
Datenlieferant (kein Unterauftragsverarbeiter): MaxMind, Inc.
MaxMind, Inc. liefert die GeoLite2-Country- und -ASN-Datenbanken, aus denen grobkörnige geografische Signale (zweistelliger ISO-Ländercode, Autonomous System Number) zur Botnet-Erkennung abgeleitet werden. Die Abfrage läuft vollständig offline auf dem bei Hetzner gehosteten Anwendungsserver - MaxMind erhält keinerlei Endnutzerdaten und ist daher Datenlieferant, kein Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO (diese Abgrenzung ist in MaxMinds AVV Abschnitt 2(a) dokumentiert). Dieses Produkt enthält von MaxMind erstellte GeoLite2-Daten, verfügbar unter https://www.maxmind.com (Namensnennung nach GeoLite2-EULA erforderlich).
Richtlinie zur Änderungsankündigung
Mindestens 30 Tage Vorankündigung, bevor ein Unterauftragsverarbeiter hinzukommt oder ausgetauscht wird. Die Ankündigung erfolgt über zwei Kanäle: Diese Seite wird aktualisiert und es geht eine E-Mail an den Rechnungskontakt jedes aktiven Kontos. Wenn Sie einer geplanten Änderung widersprechen, können Sie weitere Informationen anfordern, alternative Lösungen vorschlagen oder vor Wirksamwerden der Änderung straffrei kündigen - siehe Unterauftragsverarbeiter, Abschnitt 3.
# 5 Datenverarbeitung auf der Besucherseite
Das CAPTCHA-Widget, das auf den Geräten Ihrer Besucher läuft, ist bewusst minimal gehalten. Alle technischen Details stehen in der Datenschutzerklärung; die zentralen Zusagen sind:
Keine Cookies
Das Widget legt nichts im Browser des Besuchers ab. Unbedingt erforderliche Session-Cookies des Dashboards betreffen nur eingeloggte Integratoren.
Bot-Prüfung, kein Tracking
Das Widget liest einige Signale zur Bot-Erkennung aus (Automatisierungs-Flags und eine Prüfung auf Software-Renderer), um automatisierten Traffic zu bewerten. Sie fließen nur in eine kurzlebige Bot-Bewertung ein; kein dauerhafter Fingerprint identifiziert Besucher oder verfolgt sie seitenübergreifend.
Gehashte IP, Vorhaltung nur im Cache
Die Besucher-IP wird einwegig gehasht (SHA-256 + serverseitiges geheimes Salt) und im Cache vorgehalten: bis zu 2 Minuten für das Rate-Limiting und bis zu 24 Stunden als sitekey-übergreifender Abuse-Reputationszähler. Sie wird nie in die Datenbank geschrieben.
Kein seitenübergreifendes Profiling
Besucherdaten werden nie mit anderen Diensten zusammengeführt, nicht an Werbenetzwerke weitergegeben und nie für seitenübergreifendes Risk-Scoring genutzt.
Keine Protokollierung je Verifizierung
Erfolgreiche Verifizierungen werden nicht einzeln protokolliert - für die Kontingentprüfung wird nur ein aggregierter Zähler je Projekt geführt. Die Einmaligkeit wird serverseitig durchgesetzt: Ein kurzlebiger Marker (Minuten) verhindert, dass eine gelöste Response zweimal verifiziert wird, und läuft danach automatisch ab. Er enthält keine Besucherdaten, und über den Zähler hinaus wird nichts zum Besucher gespeichert.
Das exakte Bundle, das an Ihre Besucher ausgeliefert wird, ist öffentlich unter /captcha.js einsehbar - minifiziert, aber nicht obfuskiert, ohne Anti-Debugger- oder Anti-Tamper-Schicht, und der Proof-of-Work-Worker-Code liegt wortgetreu samt Kommentaren im Bundle. Formatieren Sie es und Sie können Byte für Byte prüfen, was auf den Geräten der Besucher läuft.
Wie captchaapi.eu im Vergleich zu anderen CAPTCHAs abschneidet
Der vollständige Vergleich mit reCAPTCHA, hCaptcha, Turnstile und Friendly Captcha - Datenschutz, EU-Hosting, Cookies und Preis - steht auf einer eigenen Seite.
# 6 Wichtige Fristen
Die Zusagen, nach denen eine Due-Diligence-Prüfung üblicherweise fragt, an einem Ort. Jede Zeile ist die verbindliche Angabe aus dem daneben verlinkten Dokument; im Zweifel ist dieses Dokument maßgeblich.
| Zusage | Frist | Quelle |
|---|---|---|
| Meldung von Verletzungen des Schutzes personenbezogener Daten | Binnen 48 Stunden nach Kenntnis | AVV |
| Antrag einer betroffenen Person | Binnen 1 Monat (bis zu 2 weitere bei Komplexität) | Datenschutz |
| Ankündigung von Unterauftragsverarbeiter-Wechseln | Mindestens 30 Tage vor Wirksamwerden | Unterauftragsverarbeiter |
| Bestätigung von Sicherheitsmeldungen | Binnen 72 Stunden (Ziel) | security.txt |
| Datenlöschung nach Kontoschließung | Innerhalb von 30 Tagen (vorbehaltlich gesetzlicher Aufbewahrung) | AVV |
| Ankündigung der Diensteinstellung | Mindestens 30 Tage, bezahlte Zeit wird erfüllt | Nutzungsbedingungen |
Aufbewahrungsfristen für einzelne Datenkategorien (Logs, Abrechnungsunterlagen, VIES-Audit-Trail) sind in der Aufbewahrungstabelle der Datenschutzerklärung und im AVV Abschnitt 8 einzeln aufgeführt.
# 7 Compliance-Dokumente
Jedes von dieser Seite referenzierte Rechtsdokument ist öffentlich verfügbar und mit Versionsstand versehen:
Nutzungsbedingungen
Haftungsobergrenze, Erstattungsregeln, Regeln zur Änderungsankündigung, Pflichten des Integrators.
Datenschutz & DSGVO
Informationen nach Art. 13, Datenkategorien, Rechtsgrundlage (Art. 6), Aufbewahrungstabelle, Cookie-Verzeichnis, Betroffenenrechte, Aufsichtsbehörde.
Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Unterschriftsfeld - druckfertig.
Unterauftragsverarbeiter
Vollständige Liste mit Richtlinie zur Änderungsankündigung und Widerspruchsablauf.
security.txt
Offenlegungs-Metadaten nach RFC 9116 für Sicherheitsforscher.
# 8 Sicherheitskontakt
Vermutete Schwachstelle, Bedenken zur Datenverarbeitung oder Sicherheitsfrage? Nutzen Sie den eigenen Meldekanal - er geht direkt an mich, nicht in eine Support-Warteschlange:
Offenlegungs-Metadaten in maschinenlesbarer Form werden unter /.well-known/security.txt nach RFC 9116 veröffentlicht. Ich bestätige seriöse Meldungen nach Möglichkeit binnen 72 Stunden und halte den Meldenden während der gesamten Behebung auf dem Laufenden.
Bitte geben Sie mir vor einer öffentlichen Offenlegung ein angemessenes Zeitfenster zur Einordnung und Behebung; koordinierte Offenlegung weiß ich zu schätzen und erwidere sie mit Nennung (sofern der Meldende zustimmt) im Changelog oder in den Release Notes.
Vladislav Rajtmajer
Gründer & alleiniger Betreiber · Tschechien (MEZ)
Was in den Rechtsdokumenten steht, ist das, was in Produktion läuft. Dieselbe Person schreibt den Code, unterzeichnet den AVV und beantwortet die Sicherheits-E-Mail.
Zur Positionierung und Entstehungsgeschichte - warum ich captchaapi.eu gebaut habe →
Fragen zur Lieferanten-Due-Diligence?
Ich fülle gerne einen CAIQ Lite oder Sicherheitsfragebogen aus oder liefere Audit-Referenzen.