EU EU-Jurisdiktion · Gebaut in Tschechien

Ich habe das gebaut, weil der EU-CAPTCHA-Markt eine Lücke hat.

Vladislav Rajtmajer

Vladislav Rajtmajer

Gründer, captchaapi.eu

@VRajtmajer · github.com/rajtik76

Ich arbeite täglich an EU-Billing- und Compliance-Code.

Anfang 2026 bat mich ein deutscher Kunde, ihm ein CAPTCHA zu empfehlen, das er auf seine Formulare setzen kann, ohne dafür ein DSGVO-Einwilligungsbanner einblenden oder Besucherdaten aus der EU übermitteln zu müssen. Ich habe mich umgesehen. Die Auswahl war dünn: eine Handvoll EU-Anbieter, keiner davon günstig, die meisten mit generischen Enterprise-Preisen für etwas, das technisch betrachtet ein kleines Stück Infrastruktur ist.

Mir ist die Lücke aufgefallen. Ich hatte das Jahr damit verbracht, Billify (mein tschechisches B2B-Rechnungstool) zu bauen und mich durch VIES, das tschechische Reverse-Charge bei der Umsatzsteuer, das DUZP-Timing und die Schrems-II-Implikationen für SaaS-Anbieter zu arbeiten. Ich kannte das EU-Compliance-Terrain gut genug, um ein CAPTCHA zu bauen, das dazu passt - nicht nachträglich angepasst, sondern von Anfang an dafür entworfen.

Also habe ich captchaapi.eu gebaut.

EU

Was "EU-fokussiert" hier tatsächlich bedeutet

Wenn die meisten Anbieter "DSGVO-konform" sagen, meinen sie eine Datenschutzerklärung und ein Häkchen. Ich meine drei konkrete Dinge - und keines davon ist eine Marketingbehauptung.

1. Das CAPTCHA schickt niemals Besucherdaten aus der EU hinaus.

Die gesamte Verarbeitung und Speicherung findet ausschließlich im Nürnberger Rechenzentrum der Hetzner Online GmbH (Deutschland) statt. Ich nutze keine der US- oder Singapur-Regionen von Hetzner. Es gibt keine Replikation und kein Failover auf Infrastruktur außerhalb des EWR. Das ist keine Konfigurationsentscheidung, die sich morgen ändern ließe; es ist die gesamte Deployment-Topologie.

Das ist wichtig, weil die meisten großen CAPTCHA-Anbieter ihren Sitz in den USA haben. Nach dem CLOUD Act (18 U.S.C. § 2713) können US-Behörden einen Anbieter mit US-Hauptsitz zwingen, Daten herauszugeben - auch auf EU-Servern gespeicherte -, ohne die betroffene Person zu benachrichtigen. Schrems II (EuGH C-311/18) hat bestätigt, dass dies mit Art. 46 DSGVO unvereinbar ist, sofern nicht zusätzliche Maßnahmen die Lücke schließen. Die aktuelle Brücke - das EU-US-Data-Privacy-Framework (Durchführungsbeschluss der Kommission 2023/1795) - wurde bereits gerichtlich angefochten, und ihre beiden Vorgänger, Safe Harbour und Privacy Shield, wurden vom EuGH aus weitgehend denselben Gründen für ungültig erklärt. Die Beständigkeit jeder US-Angemessenheits-Brücke hat sich wiederholt als unsicher erwiesen, also ist die günstigste zusätzliche Maßnahme, gar nicht erst bei einem US-Anbieter zu sein.

2. Null Cookies - konstruktionsbedingt, nicht per Einstellung.

Das CAPTCHA nutzt einen zustandslosen Proof-of-Work-Mechanismus. Es gibt keine Session-Cookies, kein Fingerprinting, keine localStorage-Schreibvorgänge zu Tracking-Zwecken. Die HMAC-signierte captcha_attestation wird serverseitig verifiziert, ohne Drittanbieter-Roundtrip.

Nach der ePrivacy-Richtlinie (2002/58/EG, Art. 5 Abs. 3, geändert durch 2009/136/EG) erfordert jede Speicherung von oder jeder Zugriff auf Informationen in der Endeinrichtung eine Einwilligung, es sei denn, sie ist für den vom Nutzer angeforderten Dienst "unbedingt erforderlich". Die meisten großen CAPTCHA-Anbieter bestehen diesen Test nicht. Sie speichern Cookies für Verhaltensmodellierung, seitenübergreifende Profil-Wiederverwendung und Ad-Tech-Integration - nichts davon ist "unbedingt erforderlich", um zu prüfen, ob eine Formularübermittlung von einem Menschen stammt.

Null Cookies bedeutet, dass der Integrator für die CAPTCHA-Ebene kein Einwilligungsbanner braucht. Das allein beseitigt eine der häufigsten DSGVO-Audit-Beanstandungen auf B2B-Websites.

3. Ausschließlich EU-Unterauftragsverarbeiter. Alle davon.

Hetzner (Deutschland) betreibt die Infrastruktur. WEDOS (Tschechien) wickelt transaktionale E-Mails ab. Stripe wickelt B2B-Zahlungen über Stripe Payments Europe Ltd. (Irland) ab. Die vollständige Liste mit Übermittlungsmechanismen und AVV-Verweisen finden Sie auf der Seite zu den Unterauftragsverarbeitern.

Das Ungewöhnliche: Die Rechnungsstellung läuft hausintern, nicht über eine Drittanbieter-SaaS. Ich habe sie selbst gebaut (dieselbe Engine wie bei meinem Produkt Billify), betrieben auf derselben Hetzner-Infrastruktur und unter demselben Rechtsträger. Im Datenpfad steht kein weiteres Unternehmen mit eigener Datenschutzerklärung.

Mein Versprechen: kein zweites Produkt auf Basis von Besucherdaten.

Ich werde niemals Daten über Endnutzer, die über die CAPTCHA-Ebene erhoben werden, sammeln, über die technische Notwendigkeit hinaus aufbewahren oder kommerziell verwerten. Das Geschäft ist das CAPTCHA selbst - der API-Aufruf, die Verifizierung, der Proof-of-Work. Es geht nicht um Verhaltensprofile, Fingerprints oder über Integratoren hinweg aggregierte Besuchermuster. Es gibt keine zweite Produktlinie auf Basis von Besucherdaten, und es wird auch keine geben.

Wie EU-Compliance im Code verankert ist

EU-Compliance für einen SaaS-Anbieter geht nicht nur um die Hosting-Jurisdiktion - es geht auch darum, die Steuerrechnungsstellung richtig zu machen. captchaapi.eu stellt Rechnungen über hauseigene Tools aus (dieselbe Engine wie Billify). Die folgenden Compliance-Funktionen sind direkt im Code verankert und nicht außerhalb davon geregelt.

Wenn Sie im Einkauf oder in der Compliance-Prüfung sind, reicht die Zusammenfassung oben. Wenn Sie Entwickler oder Audit-Prüfer sind, finden Sie die Details Zeile für Zeile unten.

Implementierungsdetails für den EU-Billing-Prüfer

VIES-Live-Validierung.

Die USt-IdNr. jedes EU-B2B-Kunden wird gegen den VIES-SOAP-Dienst validiert, bevor eine Reverse-Charge-Rechnung ausgestellt wird. Der Verlängerungs-Cron prüft VIES drei Tage vor dem Zahlungsversuch und erneut am Tag der Abbuchung - so kann ein Kunde, dessen USt-IdNr. deaktiviert wurde, keine fälschlich als Reverse-Charge gekennzeichnete Rechnung erhalten. Jede Prüfung (Valid / Invalid / Down) wird in einer Audit-Tabelle vies_verifications mit der von VIES zurückgegebenen Konsultationsnummer gespeichert.

USt-IdNr.-Validierung vor der Reverse-Charge-Rechnung.

Bevor ich einem EU-B2B-Kunden eine Reverse-Charge-Rechnung ausstelle, validiere ich die USt-IdNr. des Kunden erneut gegen VIES und halte das letzte gültige Ergebnis (zum Zahlungszeitpunkt nicht älter als drei Tage) in einem internen Audit-Datensatz. Das stützt die gutgläubige Sorgfaltspflicht, die von einem Lieferanten erwartet wird, der das Reverse-Charge-Verfahren anwendet. Die Implementierung erzwingt das Drei-Tage-Fenster - kein manueller Prozess, der einen Sonderfall übersehen könnte.

DUZP am Zahlungseingang verankert.

Der Tag der steuerpflichtigen Leistung (DUZP) auf jeder tschechischen Reverse-Charge-Rechnung ist der Tag, an dem die Zahlung auf dem Stripe-Konto eingegangen ist, berechnet in der Zeitzone Prag. Das entspricht der Behandlung des Steuerentstehungszeitpunkts (DUZP) durch die tschechische Finanzverwaltung für Ist-Versteuerer und vermeidet die Zeitzonen-Drift-Sonderfälle, die Aussteller betreffen, die UTC verwenden.

Schrems II / DPF-Offenlegungen.

Die internationalen Übermittlungsmechanismen für die beiden Zahlungsdienstleister (Stripe Payments Europe Ltd. - primär Irland; Lemon Squeezy LLC - Merchant of Record, USA) sind mit ihren konkreten Durchführungsbeschlüssen der Kommission dokumentiert (DPF 2023/1795 und SCC 2021/914). Die Seite wird aktualisiert, wenn sich Übermittlungsmechanismen ändern; sie ist kein rechtlicher Textbaustein.

Speicherung der Endnutzer-IP: gehasht, flüchtig, nie dauerhaft gespeichert.

Die einzigen personenbezogenen Endnutzerdaten, die die CAPTCHA-Ebene berührt, sind die IP-Adresse des Besuchers - und selbst die wird nur als Einweg-SHA-256-Hash mit einem serverseitigen geheimen Salt gehalten, in flüchtigem Cache-Speicher (Redis): bis zu zwei Minuten für kurzfristiges Rate-Limiting und bis zu 24 Stunden als sitekey-übergreifender Abuse-Reputationszähler (bei jedem Fehlschlag erneuert und automatisch ablaufend, wenn keiner folgt). Sie wird nie in der Datenbank oder im Langzeitspeicher abgelegt. Das CAPTCHA-Widget setzt keine Cookies und führt kein Verhaltens-Profiling durch. Das ist in AVV Abschnitt 3 als vertragliche Zusage dokumentiert, nicht als Marketingbehauptung.

Kein Datenschutzbeauftragter, offen gesagt.

Art. 37 Abs. 1 DSGVO legt Schwellenwerte für die verpflichtende Bestellung eines Datenschutzbeauftragten fest. Die aktuellen Verarbeitungstätigkeiten erreichen diese Schwellen nicht (keine Behördeneigenschaft, keine umfangreiche regelmäßige und systematische Überwachung, keine umfangreiche Verarbeitung besonderer Datenkategorien). Ich überprüfe das jährlich, während der Dienst wächst, und die Offenlegung steht auf der Datenschutzseite. Es wäre einfacher zu behaupten, es gäbe einen Datenschutzbeauftragten. Es ist ehrlicher zu sagen, dass es keinen gibt, und zu erklären, warum.

Wenn Ihr Due-Diligence-Fragebogen zu einem dieser Punkte mehr Details möchte, schicken Sie ihn an info@captchaapi.eu. Ich schreibe die Antworten selbst; es gibt keinen Compliance-Team-Filter.

Warum ich in der Lage bin, das zu tun

Ich bin kein Marketing-getriebener Gründer, der in die Compliance gewechselt ist. Im Gegenteil: Ich baue EU-Billing-Software, länger als es captchaapi.eu gibt.

  • Billify ist mein tschechisches B2B-Rechnungstool. Es ist dieselbe Engine, die die Rechnungen von captchaapi.eu ausstellt. Beim Bauen habe ich praktisches Wissen über VIES, § 92a ZDPH, DUZP, ARES (das tschechische Unternehmensregister) und den Unterschied zwischen IČO (Firmen-ID) und DIČ (USt-IdNr.) erworben - Unterscheidungen, die wichtig sind, um B2B- und B2C-Steuerflüsse korrekt zu routen.
  • Ich arbeite täglich in diesem Terrain. EU-SaaS-Compliance ist kein Nebenthema; sie ist die zentrale Domäne meiner Arbeit.
  • Die Designentscheidungen von captchaapi.eu spiegeln das wider. Der Free-Tarif ist bewusst volumenbegrenzt (kommerzielle Nutzung ist willkommen; an seinem Monatslimit pausiert das CAPTCHA bis zum Upgrade oder Zyklus-Reset). Die bezahlten Tarife bedienen auch über dem Limit weiter, auf derselben Basis-PoW-Kurve wie der Traffic innerhalb des Kontingents, damit Besucher nicht für den Mehrverbrauch des Kunden blockiert werden - es wird weiter bedient, ohne die Schwierigkeit aufzuweichen. Drei Abrechnungs-Jurisdiktionen sind getrennt umgesetzt (Tschechien direkt, EU-B2B im Reverse-Charge-Verfahren, Rest der Welt + EU-B2C über Lemon Squeezy als Merchant of Record). Jede davon ist eine steuerrechtliche Entscheidung, die im Produktverhalten verankert ist.

Der Pitch ist einfach: Ich bitte Sie nicht, Marketingtexten über EU-Compliance zu vertrauen. Ich bitte Sie, den Code, die rechtlichen Seiten und die Liste der Unterauftragsverarbeiter zu lesen - und jede Behauptung anhand der entsprechenden Verordnung zu überprüfen.

Was Sie als Nächstes tun können