Was "EU-fokussiert" hier tatsächlich bedeutet
Wenn die meisten Anbieter "DSGVO-konform" sagen, meinen sie eine Datenschutzerklärung und ein Häkchen. Ich meine drei konkrete Dinge - und keines davon ist eine Marketingbehauptung.
1. Das CAPTCHA schickt niemals Besucherdaten aus der EU hinaus.
Die gesamte Verarbeitung und Speicherung findet ausschließlich im Nürnberger Rechenzentrum der Hetzner Online GmbH (Deutschland) statt. Ich nutze keine der US- oder Singapur-Regionen von Hetzner. Es gibt keine Replikation und kein Failover auf Infrastruktur außerhalb des EWR. Das ist keine Konfigurationsentscheidung, die sich morgen ändern ließe; es ist die gesamte Deployment-Topologie.
Das ist wichtig, weil die meisten großen CAPTCHA-Anbieter ihren Sitz in den USA haben. Nach dem CLOUD Act können US-Behörden einen Anbieter mit US-Hauptsitz zwingen, Daten herauszugeben - auch solche auf EU-Servern -, ohne die betroffene Person zu benachrichtigen. Schrems II hat bestätigt, dass das mit der DSGVO unvereinbar ist, solange keine zusätzlichen Maßnahmen die Lücke schließen. Die aktuelle Absicherung - das EU-US-Data-Privacy-Framework - wurde bereits gerichtlich angefochten: Die erste Klage wurde im September 2025 vom Gericht der EU abgewiesen, doch dieses Urteil liegt derzeit im Rechtsmittel beim EuGH - demselben Gericht, das beide Vorgänger, Safe Harbour und Privacy Shield, für ungültig erklärt hat. Bisher hat sich jede US-Angemessenheits-Brücke als wackelig erwiesen, also ist die einfachste Absicherung, gar nicht erst bei einem US-Anbieter zu sein.
2. Null Cookies - konstruktionsbedingt, nicht per Einstellung.
Das CAPTCHA nutzt einen Proof-of-Work-Mechanismus. Es gibt keine Session-Cookies, kein Fingerprinting, und es wird nichts in localStorage oder einen anderen Gerätespeicher geschrieben. Die gelöste Response wird über einen einzigen serverseitigen Aufruf an meine in der EU gehostete API verifiziert - niemals über einen Drittanbieter.
Nach der ePrivacy-Richtlinie (2002/58/EG, Art. 5 Abs. 3, geändert durch 2009/136/EG) erfordert jede Speicherung von oder jeder Zugriff auf Informationen in der Endeinrichtung eine Einwilligung, es sei denn, sie ist für den vom Nutzer angeforderten Dienst "unbedingt erforderlich". Die meisten großen CAPTCHA-Anbieter bestehen diesen Test nicht. Sie speichern Cookies für Verhaltensmodellierung, was nicht "unbedingt erforderlich" ist, um zu prüfen, ob eine Formularübermittlung von einem Menschen stammt.
Null Cookies bedeutet, dass der Integrator für die CAPTCHA-Ebene kein Einwilligungsbanner braucht. Das allein beseitigt eine der häufigsten DSGVO-Audit-Beanstandungen auf B2B-Websites.
Die einzigen Endnutzerdaten, die die CAPTCHA-Ebene berührt, sind die IP-Adresse des Besuchers - und selbst die wird nur als Einweg-Hash (SHA-256 mit einem serverseitigen geheimen Salt) im Cache gehalten: bis zu 2 Minuten für das Rate-Limiting und bis zu 24 Stunden als sitekey-übergreifender Abuse-Reputationszähler. Zwei grobe aus dieser IP abgeleitete Signale - der Ländercode und das Netzwerk (ASN) - werden bis zu 25 Stunden ausschließlich zur Erkennung verteilter Angriffe gehalten und nie einem Besucher zugeordnet. Nichts davon wird je in die Datenbank geschrieben. Die vollständigen Details stehen im AVV.
3. Unterauftragsverarbeiter in der EU. Nur der Zahlungsweg berührt die USA.
Hetzner (Deutschland) betreibt die Infrastruktur. WEDOS (Tschechien) wickelt transaktionale E-Mails ab. Stripe wickelt B2B-Zahlungen über Stripe Payments Europe Ltd. (Irland) ab; Verbraucherzahlungen laufen über Lemon Squeezy (USA) als Merchant of Record. Die vollständige Liste mit Übermittlungsmechanismen und AVV-Verweisen finden Sie auf der Seite zu den Unterauftragsverarbeitern.
Das Ungewöhnliche: Die Rechnungsstellung läuft hausintern, nicht über eine Drittanbieter-SaaS. Ich habe sie selbst gebaut (dieselbe Engine wie bei meinem Produkt Billify), betrieben auf derselben Hetzner-Infrastruktur und unter demselben Rechtsträger. Im Datenpfad steht kein weiteres Unternehmen mit eigener Datenschutzerklärung.
Mein Versprechen: kein zweites Produkt auf Basis von Besucherdaten.
Ich werde niemals Daten über Endnutzer, die über die CAPTCHA-Ebene erhoben werden, sammeln, über die technische Notwendigkeit hinaus aufbewahren oder kommerziell verwerten. Das Geschäft ist das CAPTCHA selbst - der API-Aufruf, die Verifizierung, der Proof-of-Work. Es geht nicht um Verhaltensprofile, Fingerprints oder über Integratoren hinweg aggregierte Besuchermuster. Es gibt keine zweite Produktlinie auf Basis von Besucherdaten, und es wird auch keine geben.
Warum ich in der Lage bin, das zu tun
Ich bin kein Marketing-getriebener Gründer, der in die Compliance gewechselt ist. Im Gegenteil: Ich baue EU-Billing-Software, länger als es captchaapi.eu gibt.
- Billify ist mein tschechisches B2B-Rechnungstool - dieselbe Engine, die auch die Rechnungen von captchaapi.eu ausstellt. Beim Bauen habe ich praktisches Wissen über die EU-Umsatzsteuer, das Reverse-Charge-Verfahren und das korrekte Steuer-Routing zwischen B2B und B2C erworben, das ein EU-SaaS beherrschen muss.
- Ich arbeite täglich in diesem Terrain. EU-SaaS-Compliance ist kein Nebenthema; sie ist die zentrale Domäne meiner Arbeit.
- Das zeigt sich im Produkt. Drei Abrechnungs-Jurisdiktionen sind getrennt umgesetzt - Tschechien direkt, EU-B2B im Reverse-Charge-Verfahren sowie der Rest der Welt und EU-B2C über Lemon Squeezy als Merchant of Record - jede davon eine steuerrechtliche Entscheidung, die im Produktverhalten verankert ist.
Der Pitch ist einfach: Ich bitte Sie nicht, Marketingtexten über EU-Compliance zu vertrauen. Ich bitte Sie, den Code, die rechtlichen Seiten und die Liste der Unterauftragsverarbeiter zu lesen - und jede Behauptung anhand der entsprechenden Verordnung zu überprüfen.
Was Sie als Nächstes tun können
- Testen Sie den kostenlosen Tarif in einem beliebigen Projekt. Keine Kreditkarte nötig. → Registrieren
- Prüfen Sie die rechtliche Ebene. Datenschutz & DSGVO, AVV, Unterauftragsverarbeiter, Nutzungsbedingungen.
- Schicken Sie einen Lieferanten-Due-Diligence-Fragebogen. Ich beantworte sie selbst. → info@captchaapi.eu