Zu 100% EU-gehostet
Hetzner Nürnberg; keine CAPTCHA-Daten verlassen den EWR.
Keine Cookies im Widget
Kein Tracking, keine Fingerprints, kein Profiling - niemals.
Vorab unterzeichneter AVV
Druckfertiger Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
# 1 Betreiber
captchaapi.eu wird als Einzelunternehmen nach tschechischem Recht betrieben. Dieselbe Rechtsperson ist Verantwortlicher für registrierte Nutzer, Verkäufer bei B2B-Transaktionen und Ansprechpartner für Sicherheitsmeldungen.
Vladislav Rajtmajer
Eingetragene Anschrift: U Porcelánky 862, 35735 Chodov
Firmen-ID (IČO): 73396249
USt-Status: Neplátce DPH (in Tschechien ansässig, nicht umsatzsteuerlich registriert - Rechnungen ohne USt.)
Gerichtsstand: Tschechien (Europäische Union)
Allgemeiner Kontakt: info@captchaapi.eu
Federführende Aufsichtsbehörde in Datenschutzfragen ist das tschechische Úřad pro ochranu osobních údajů (ÚOOÚ) - www.uoou.cz. Für Streitigkeiten sind ausschließlich die zuständigen Gerichte Tschechiens berufen, unbeschadet zwingender Verbraucherschutzvorschriften in Ihrem Wohnsitzland.
Es ist kein Datenschutzbeauftragter (DSB) bestellt. Die derzeitigen Verarbeitungstätigkeiten erreichen die Schwellen des Art. 37 Abs. 1 DSGVO nicht (keine Behördeneigenschaft, keine umfangreiche regelmäßige und systematische Überwachung betroffener Personen, keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten). Ich überprüfe diese Einstufung jährlich mit dem Wachstum des Dienstes. Datenschutzanfragen richten Sie bitte an die oben genannte Kontaktadresse.
# 2 Geschäftskontinuität
Ein Ein-Personen-Betrieb wirft eine berechtigte Frage auf: Was passiert mit Ihrer Integration, wenn ich nicht mehr da bin, um den Dienst zu betreiben? Hier ist die ehrliche Antwort, so aufbereitet, wie sie ein Kontinuitätsprüfer erwartet. Der Schutz liegt nicht in dem Versprechen, dass ich niemals verschwinde. Er liegt darin, dass ein Wechsel Sie einen Nachmittag kostet und nicht ein Quartal.
Niedrige Wechselkosten, konstruktionsbedingt
Die Integration besteht aus einem Script-Tag und einem serverseitigen Verifizierungsaufruf. Es gibt kein SDK, das herausgelöst werden müsste, und kein proprietäres Datenmodell, das zu migrieren wäre. Das Widget sind ~19 KB lesbares, nicht obfuskiertes JavaScript (/captcha.js), und die Backend-Prüfung ist eine dokumentierte HMAC-Verifizierung, die ohnehin auf Ihrem eigenen Server läuft (Backend-Doku). Der Wechsel zu einem anderen CAPTCHA ist ein Nachmittag, kein Projekt.
Nichts von Ihnen ist hier eingeschlossen
Es werden von vornherein keine Besucherdaten gespeichert (siehe Datenverarbeitung weiter unten), es kann also nichts zurückbleiben, wenn der Dienst endet. Ihre eigenen Kontodaten - Projekte, Site-Keys, Rechnungen - erhalten Sie auf Anfrage per E-Mail, solange das Konto besteht.
Falls ich den Dienst je einstelle
Sie erhalten mindestens 90 Tage im Voraus eine schriftliche Mitteilung an den Rechnungskontakt jedes aktiven Kontos, und jeder bereits bezahlte Zeitraum wird erfüllt oder anteilig erstattet. Keine stille Abschaltung.
Das Protokoll ist keine Blackbox
Das Widget wird unobfuskiert ausgeliefert, und die Verifizierung ist eine dokumentierte HMAC-Prüfung, die Sie selbst ausführen. Bei einer dauerhaften Einstellung veröffentliche ich die Spezifikation des Challenge- und Verifizierungsprotokolls, sodass jeder einen kompatiblen Endpunkt selbst hosten oder nachbauen kann.
Die ehrliche Grenze: Solange der Dienst läuft, erfolgt die Ausstellung der Challenges auf meiner Infrastruktur, und das ist eine Abhängigkeit, die Sie eingehen. Bei den Punkten oben geht es darum, diese Abhängigkeit günstig verlassen zu können - nicht darum, so zu tun, als gäbe es sie nicht.
# 3 Hosting & Infrastruktur
Sämtliche Anwendungsdaten, einschließlich des flüchtigen CAPTCHA-Challenge-Zustands und der operativen Datenbank, liegen ausschließlich auf Infrastruktur der Hetzner Online GmbH in Nürnberg, Deutschland. Es ist keine Replikation oder Failover auf Hetzner-Regionen außerhalb des EWR eingerichtet. CAPTCHA-Verifizierungsdaten werden nicht absichtlich aus der EU/dem EWR übermittelt. Die Datenflüsse der Zahlungsanbieter (Stripe / Lemon Squeezy) sind gesondert auf der Seite Unterauftragsverarbeiter dokumentiert.
Zertifizierungen des Unterauftragsverarbeiters (Hetzner)
- ISO 27001
- BSI C5 Type 2
- ISO 14001
captchaapi.eu hält derzeit keine eigene unabhängige ISO-27001-, SOC-2- oder BSI-C5-Zertifizierung. Diese Zertifizierungen gehören dem vorgelagerten Infrastruktur-Anbieter und werden ehrlich als solche ausgewiesen, nicht für die Anwendungsebene beansprucht.
Unabhängiges jährliches Audit
Die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen durch Hetzner wird jährlich von TÜV Rheinland, einer unabhängigen deutschen Zertifizierungsstelle, auditiert. Der jüngste Auditbericht trägt das Datum 19. Februar 2026 und steht Verantwortlichen auf Anfrage im Rahmen des AVV zur Verfügung. Ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Hetzner wurde am 17. April 2026 unterzeichnet.
# 4 Unterauftragsverarbeiter
Der minimale Fußabdruck an Unterauftragsverarbeitern ist eine bewusste Entscheidung. Die vollständige Liste wird auf der Seite Unterauftragsverarbeiter geführt; es folgt die Kurzfassung.
- Hetzner Online GmbH - Cloud-Infrastruktur (Nürnberg, Deutschland, EU - exklusiv). Verarbeitet sämtliche Anwendungsdaten.
- WEDOS, a.s. - Mailhosting für transaktionale E-Mails (Hluboká nad Vltavou, Tschechien, EU). Verarbeitet ausschließlich Empfängeradresse und Nachrichtentext für Kontobenachrichtigungen.
- Stripe Payments Europe Ltd. - Zahlungsabwickler für B2B-Kunden (captchaapi.eu bleibt Verkäufer). Eigenständiger Zahlungsanbieter für Verbrauchertransaktionen: Lemon Squeezy LLC (tritt als Merchant of Record unter eigenen Bedingungen auf - eigenständiger Verantwortlicher, kein Unterauftragsverarbeiter im strengen Sinne der DSGVO).
Die Ausstellung der Steuerrechnungen übernehmen hauseigene Tools, die auf der bei Hetzner gehosteten Anwendung laufen; kein Dritter erhält Rechnungsdaten.
Datenlieferant (kein Unterauftragsverarbeiter): MaxMind, Inc.
MaxMind, Inc. liefert die GeoLite2-Country- und -ASN-Datenbanken, aus denen grobkörnige geografische Signale (zweistelliger ISO-Ländercode, Autonomous System Number) zur Botnet-Erkennung abgeleitet werden. Die Abfrage läuft vollständig offline auf dem bei Hetzner gehosteten Anwendungsserver - MaxMind erhält keinerlei Endnutzerdaten und ist daher Datenlieferant, kein Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO (diese Abgrenzung ist in MaxMinds AVV Abschnitt 2(a) dokumentiert). Dieses Produkt enthält von MaxMind erstellte GeoLite2-Daten, verfügbar unter https://www.maxmind.com (Namensnennung nach GeoLite2-EULA erforderlich).
Richtlinie zur Änderungsankündigung
Mindestens 30 Tage Vorankündigung, bevor ein Unterauftragsverarbeiter hinzukommt oder ausgetauscht wird. Die Ankündigung erfolgt über zwei Kanäle: Diese Seite wird aktualisiert und es geht eine E-Mail an den Rechnungskontakt jedes aktiven Kontos. Wenn Sie einer geplanten Änderung widersprechen, können Sie weitere Informationen anfordern, alternative Lösungen vorschlagen oder vor Wirksamwerden der Änderung straffrei kündigen - siehe Unterauftragsverarbeiter § 3.
# 5 Datenverarbeitung auf der Besucherseite
Das CAPTCHA-Widget, das auf den Geräten Ihrer Besucher läuft, ist bewusst minimal gehalten. Alle technischen Details stehen in der Datenschutzerklärung; die zentralen Zusagen sind:
Keine Cookies
Das Widget legt nichts im Browser des Besuchers ab. Unbedingt erforderliche Session-Cookies des Dashboards betreffen nur eingeloggte Integratoren.
Kein Fingerprinting
Es werden keine Canvas-, Schriftart- oder Geräte-Fingerprint-Signale erhoben. Die Proof-of-Work-Challenge ist rein mathematisch.
Gehashte IP, Vorhaltung nur im Cache
Die Besucher-IP wird einwegig gehasht (SHA-256 + serverseitiges geheimes Salt) und im Cache vorgehalten: bis zu 2 Minuten für das Rate-Limiting und bis zu 24 Stunden als sitekey-übergreifender Abuse-Reputationszähler. Sie wird nie in die Datenbank geschrieben.
Kein seitenübergreifendes Profiling
Besucherdaten werden nie mit anderen Diensten zusammengeführt, nicht an Werbenetzwerke weitergegeben und nie für seitenübergreifendes Risk-Scoring genutzt.
Keine Protokollierung je Verifizierung
Erfolgreiche Verifizierungen werden nicht einzeln protokolliert - für die Kontingentprüfung wird nur ein aggregierter Zähler je Projekt geführt. Das in jeder Attestierung ausgestellte Feld jti dient dem integratoreigenen Einmal-Replay-Cache. Die lokale HMAC-Verifizierung ist das Prinzip: Auf unserer Seite gibt es keinen zentralen Zustand zum Abgleich, deshalb liegt der Replay-Schutz auf der Infrastruktur des Integrators.
Das exakte Bundle, das an Ihre Besucher ausgeliefert wird, ist öffentlich unter /captcha.js einsehbar - minifiziert, aber nicht obfuskiert, ohne Anti-Debugger- oder Anti-Tamper-Schicht, und der Proof-of-Work-Worker-Code liegt wortgetreu samt Kommentaren im Bundle. Formatieren Sie es und Sie können Byte für Byte prüfen, was auf den Geräten der Besucher läuft.
# 6 Der Vergleich
Vergleich mit den drei gängigsten CAPTCHA-Alternativen, jede Aussage abgeglichen mit der veröffentlichten Dokumentation des jeweiligen Anbieters.
| captchaapi.eu | reCAPTCHA | hCaptcha | Turnstile | |
|---|---|---|---|---|
| Betreiber | CZ-Einzelunternehmer (EU) | Google LLC (US) | Intuition Machines, Inc. (US) | Cloudflare, Inc. (US) |
| Hosting-Region | Nur EU (Nürnberg) | Global, US-verankert | Global, US-verankert | Globales Edge-Netzwerk |
| Cookies im Widget | Keine | Ja (z. B. _GRECAPTCHA; v3 stützt sich für das Risk-Scoring zusätzlich auf Google-Konto-Cookies) |
Standardmäßig ja; cookiefreier Modus nur in den kostenpflichtigen Tarifen | Keine |
| An Dritte gesendete Besucherdaten | Nur gehashte IP, ausschließlich im Cache in der EU (≤ 2 Min. Rate-Limit / ≤ 24 Std. Abuse-Score) | IP, Browserdaten, Verhaltenssignale, Google-Konto-Status - für produktübergreifende Risikomodellierung | IP, Browser-Fingerprint, Verhaltenssignale - verarbeitet in der globalen Infrastruktur des Betreibers | IP, Browserdaten, Fingerprint - am Edge von Cloudflare für ML-Scoring verarbeitet |
| Seitenübergreifendes Profiling | Nein | Ja - verknüpft mit Googles Werbe- und Konto-Graph | Risikomodell über den gesamten Kundenstamm des Betreibers | Risikomodell über den gesamten Kundenstamm von Cloudflare |
| DSGVO-Übermittlungsmechanismus für CAPTCHA-Daten | Nein (EU-intern) | Ja - Standarddatenschutzklauseln + Data Privacy Framework | Ja - Standarddatenschutzklauseln | Ja - Standarddatenschutzklauseln + Data Privacy Framework |
| Cookie-Banner / CMP-Eintrag nötig | Nein | Praktisch ja (CMP stuft als "Marketing" ein) | Standardmäßig ja; "nein" nur im kostenpflichtigen cookiefreien Modus | In der Regel nicht erforderlich (keine Cookies) |
| Widget-Bundle | ~19 KB minifiziert (~7 KB gzippt), nicht obfuskiert; PoW-Worker-Code wortgetreu erhalten - formatieren und prüfen | Obfuskiert, Anti-Debugger, häufig rotiert | Minifiziert, Verhalten serverseitig rotiert | Minifiziert, Edge-ML-Scoring rotiert |
Was diese Tabelle nicht zeigt. Den größten Kompromiss bildet die Tabelle nicht ab: wie die zugrunde liegende Abwehr eigentlich funktioniert.
reCAPTCHA, hCaptcha und Turnstile betreiben fortlaufend trainiertes ML-Risk-Scoring gegen eine globale Sicht auf den Datenverkehr. Wirkt der Besucher unauffällig, kommt er still durch - keine Challenge, keine Reibung. Dieses unsichtbare Scoring ist bei Endkunden-Traffic ein echter Gewinn für die Nutzererfahrung und bei Hochvolumen-E-Commerce kaum zu schlagen.
captchaapi.eu macht das nicht. Die Abwehr ist ein deterministischer Proof-of-Work: Jede Anfrage zahlt auf dem Gerät des Besuchers dieselben Rechenkosten, egal ob das Modell den Besucher markiert hätte oder nicht. Der Kompromiss: Besucher durchlaufen eine kurze PoW-Berechnung statt eines unsichtbaren Scoring-Durchlaufs; dafür bleiben die Kosten auch unter koordinierten Angriffen mit hohem Volumen vorhersehbar (sie hängen nicht davon ab, dass die Erkennungsgenauigkeit hält), und die Entscheidungslogik ist nachprüfbar statt undurchsichtig.
Wenn Sie auf möglichst geringe Reibung bei Endkunden-Traffic optimieren und mit Risk-Scoring außerhalb der EU einverstanden sind, passen die Alternativen womöglich tatsächlich besser. Wenn Sie auf DSGVO-Sauberkeit, Nachvollziehbarkeit oder eine Abwehr setzen, deren Kosten Sie durchdenken können, dann ist das der Kompromiss, für den dieses Produkt gebaut wurde.
Quellen zum Abgleich: Google reCAPTCHA Datenschutz / Bedingungen · hCaptcha Datenschutz · Cloudflare Turnstile Datenschutz. Wo die zugrunde liegenden Datenschutzerklärungen mehrdeutig sind oder ihr Verhalten je nach Tarifstufe ändern (besonders der cookiefreie Modus von hCaptcha), bildet die Tabelle die Standardkonfiguration ab, die die meisten Integrationen verwenden.
Offenlegung auf Seiten von captchaapi.eu: Die Zeile "DSGVO-Übermittlungsmechanismus für CAPTCHA-Daten" betrifft allein den CAPTCHA-Verifizierungspfad (EU-intern, Hetzner Nürnberg). Die Datenflüsse der Abrechnungsanbieter sind davon getrennt: Stripe (B2B) operiert aus Irland mit ergänzenden Übermittlungen in die USA nach EU-US-DPF + Standarddatenschutzklauseln; Lemon Squeezy (B2C) operiert aus den USA nach DPF + Standarddatenschutzklauseln (Modul 1) - die vollständige Offenlegung internationaler Übermittlungen finden Sie auf der Seite Unterauftragsverarbeiter.
# 7 Wichtige Fristen
Die Zusagen, nach denen eine Due-Diligence-Prüfung üblicherweise fragt, an einem Ort. Jede Zeile ist die verbindliche Angabe aus dem daneben verlinkten Dokument; im Zweifel ist dieses Dokument maßgeblich.
| Zusage | Frist | Quelle |
|---|---|---|
| Meldung von Datenpannen | Binnen 48 Stunden nach Kenntnis | AVV |
| Antrag einer betroffenen Person | Binnen 1 Monat (bis zu 2 weitere bei Komplexität) | Datenschutz |
| Ankündigung von Unterauftragsverarbeiter-Wechseln | Mindestens 30 Tage vor Wirksamwerden | Unterauftragsverarbeiter |
| Bestätigung von Sicherheitsmeldungen | Binnen 72 Stunden (Ziel) | security.txt |
| Datenlöschung nach Kontoschließung | Binnen 30 Tagen (vorbehaltlich gesetzlicher Aufbewahrung) | AVV |
| Ankündigung der Diensteinstellung | Mindestens 90 Tage, bezahlte Zeit wird erfüllt | Geschäftskontinuität |
Aufbewahrungsfristen für einzelne Datenkategorien (Logs, Abrechnungsunterlagen, VIES-Audit-Trail) sind in der Aufbewahrungstabelle der Datenschutzerklärung und im AVV Abschnitt 8 einzeln aufgeführt.
# 8 Compliance-Dokumente
Jedes von dieser Seite referenzierte Rechtsdokument ist öffentlich verfügbar und mit Versionsstand versehen:
Nutzungsbedingungen
Haftungsobergrenze, Erstattungsregeln, Regeln zur Änderungsankündigung, Pflichten des Integrators.
Datenschutz & DSGVO
Informationen nach Art. 13, Datenkategorien, Rechtsgrundlage (Art. 6), Aufbewahrungstabelle, Cookie-Verzeichnis, Betroffenenrechte, Aufsichtsbehörde.
Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Unterschriftsfeld - druckfertig.
Unterauftragsverarbeiter
Vollständige Liste mit Richtlinie zur Änderungsankündigung und Widerspruchsablauf.
security.txt
Offenlegungs-Metadaten nach RFC 9116 für Sicherheitsforscher.
# 9 Sicherheitskontakt
Vermutete Schwachstelle, Bedenken zur Datenverarbeitung oder Sicherheitsfrage? Nutzen Sie den eigenen Meldekanal - er geht direkt an mich, nicht in eine Support-Warteschlange:
Offenlegungs-Metadaten in maschinenlesbarer Form werden unter /.well-known/security.txt nach RFC 9116 veröffentlicht. Ich bestätige seriöse Meldungen nach Möglichkeit binnen 72 Stunden und halte den Meldenden während der gesamten Behebung auf dem Laufenden.
Bitte geben Sie mir vor einer öffentlichen Offenlegung ein angemessenes Zeitfenster zur Einordnung und Behebung; koordinierte Offenlegung weiß ich zu schätzen und erwidere sie mit Nennung (sofern der Meldende zustimmt) im Changelog oder in den Release Notes.
Vladislav Rajtmajer
Gründer & alleiniger Betreiber · Tschechien (MEZ)
Was in den Rechtsdokumenten steht, ist das, was in Produktion läuft. Dieselbe Person schreibt den Code, unterzeichnet den AVV und beantwortet die Sicherheits-E-Mail.
Zur Positionierung und Entstehungsgeschichte - warum ich captchaapi.eu gebaut habe →
Fragen zur Lieferanten-Due-Diligence?
Ich fülle gerne einen CAIQ Lite oder Sicherheitsfragebogen aus oder liefere Audit-Referenzen.