HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
Bot Protection

hCaptcha

Eine reCaptcha Alternative?
data processing services
hCaptcha
hCaptcha ist ein Captcha Dienst mir Sitz in den USA.
  • Sitz: San Francisco, Vereinigte Staaten von Amerika
  • Kategorie: Bot Protection
  • Rechtsgrundlage: Einwilligungspflichtig mit Ausnahmen
Inhalt des Beitrags

Was ist hCaptcha?

hCaptcha ist ein Captcha-Dienst, der Webseiten und Anwendungen hilft, sich vor BotsSpam und bösartigen Angriffen zu schützen. Es ist eine Alternative zu Google reCAPTCHA und bietet ein ähnliches Maß an Schutz durch die Unterscheidung zwischen menschlichen Nutzern und Bots. Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) erfordern von den Nutzern das Lösen kleiner Aufgaben, um sicherzustellen, dass sie Menschen und keine automatisierten Programme (Bots) sind.

hCaptcha funktioniert ähnlich wie andere Captcha-Dienste, indem es Nutzer auffordert, Aufgaben wie die Auswahl bestimmter Bilder oder das Lösen einfacher Rätsel durchzuführen. Ein wesentlicher Unterschied zu anderen Diensten ist jedoch, dass hCaptcha seinen Fokus auf den Schutz der Privatsphäre legt und sich durch die Monetarisierung von Daten durch maschinelles Lernen von Bots schützt. Unternehmen können für die Nutzung von hCaptcha entlohnt werden, da die gesammelten Daten zur Verbesserung von maschinellen Lernmodellen verwendet werden.

Warum wird hCaptcha verwendet?

hCaptcha wird aus mehreren Gründen verwendet:

  1. Schutz vor Bots und Missbrauch: Der Hauptzweck von hCaptcha besteht darin, Websites und Online-Dienste vor SpamMissbrauch und DDoS-Angriffen zu schützen. Es stellt sicher, dass der Zugriff auf Webseiten oder Formulare von Menschen und nicht von automatisierten Programmen (Bots) erfolgt.
  2. Datenschutzorientiert: Im Gegensatz zu Google reCAPTCHA, das stark auf Nutzerdaten und Tracking basiert, bietet hCaptcha eine datenschutzfreundliche Alternative. Es werden keine umfangreichen Nutzerdaten gesammelt, und die Verarbeitung personenbezogener Daten wird minimiert, was es zu einer attraktiven Option für datenschutzbewusste Webseitenbetreiber macht.
  3. Monetarisierung für Webseitenbetreiber: hCaptcha ermöglicht es Webseitenbetreibern, durch die Nutzung des Captcha-Dienstes Einnahmen zu erzielen, da die gelösten Captchas zur Verbesserung von KI- und maschinellen Lernmodellen verwendet werden. Webseitenbetreiber können für die Bereitstellung von Rechenleistung und Daten belohnt werden.
  4. Einfache Integration: hCaptcha lässt sich leicht in Webseiten, Formulare und andere Anwendungen integrieren. Es bietet einfache API- und SDK-Lösungen, die es Entwicklern ermöglichen, den Dienst schnell zu implementieren.
  5. Anpassbare Schwierigkeit: Der Schwierigkeitsgrad des Captchas kann je nach Sicherheitsanforderungen der Webseite angepasst werden. Für weniger sensible Aktionen können einfache Captchas verwendet werden, während für sicherheitskritische Bereiche strengere Prüfungen durchgeführt werden können.

Welche Daten werden verarbeitet?

hCaptcha verarbeitet verschiedene Arten von technischen Daten, um seine Dienste bereitzustellen und die Unterscheidung zwischen menschlichen Nutzern und Bots zu ermöglichen. Diese Daten umfassen:

  1. Technische Daten:
    • IP-Adresse: hCaptcha erfasst IP-Adressen, um das Verhalten und die geografische Herkunft des Nutzers zu analysieren und betrügerische Aktivitäten zu verhindern.
    • Browser- und Geräteinformationen: Informationen über das verwendete Gerät, den Browsertyp, das Betriebssystem und die Bildschirmauflösung werden gesammelt, um sicherzustellen, dass der Captcha-Dienst ordnungsgemäß funktioniert.
    • Cookies: hCaptcha kann Cookies verwenden, um den Nutzer über verschiedene Sitzungen hinweg zu identifizieren und die Wahrscheinlichkeit zu bewerten, ob es sich um einen Bot handelt.
  2. Interaktionsdaten:
    • Daten über die Interaktion des Nutzers mit dem Captcha, wie z. B. die Art und Weise, wie er mit der Aufgabe interagiert (z. B. Klickverhalten oder Zeitaufwand), werden verarbeitet, um festzustellen, ob es sich um einen menschlichen Nutzer oder einen Bot handelt.
  3. Lösungsdaten:
    • Die Ergebnisse der vom Nutzer durchgeführten Captcha-Aufgaben werden verarbeitet, um festzustellen, ob der Nutzer die gestellten Aufgaben korrekt gelöst hat.
  4. Monetarisierungsdaten:
    • Daten, die aus der Lösung der Captcha-Aufgaben gewonnen werden, werden verwendet, um maschinelle Lernmodelle zu verbessern. Diese Daten können, je nach Nutzungsszenario, in aggregierter und anonymisierter Form an Partner weitergegeben werden.

Hast du hCaptcha richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  • Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  • Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    • Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    • er Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon
IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon
Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon
Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

hCaptcha muss Teil deiner Datenschutzerklärung sein

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Zertifizierung durch das Data Privacy Framework (DPF)

Intuition Machines Inc., das Unternehmen das hinter hCaptcha steht, ist Teil des EU-U.S. Data Privacy Frameworks (ehemals Privacy Shield) und hat sich für den sicheren Datentransfer zwischen der EU und den USA zertifizieren lassen. Dies bedeutet, dass hCaptcha sich verpflichtet, den Schutz personenbezogener Daten zu gewährleisten, wenn Daten von der EU in die USA übertragen werden, und dass es die erforderlichen Datenschutzstandards einhält.

Warum ist hCaptcha eigentlich einwilligungspflichtig?

hCaptcha verwendet verschiedene Tracking-Technologien wie Cookies und verarbeitet personenbezogene Daten, darunter IP-Adressen und technische Informationen über das Gerät und den Browser des Nutzers. Diese Informationen gelten gemäß der Datenschutz-Grundverordnung (DSGVO) als personenbezogene Daten. Daher ist der Dienst grundsätzlich einwilligungspflichtig, wenn er auf einer Webseite verwendet wird, die in der Europäischen Union operiert.

Die Einwilligung ist aus folgenden Gründen erforderlich:

  1. Personenbezogene Daten: Da IP-Adressen und andere technische Informationen, die zur Identifikation eines Nutzers verwendet werden könnten, gesammelt werden, müssen Nutzer vor der Erfassung solcher Daten über die Verarbeitung informiert und um ihre Zustimmung gebeten werden.
  2. Cookies und Tracking: hCaptcha verwendet Cookies oder ähnliche Technologien, um Nutzer über verschiedene Sitzungen hinweg zu identifizieren. Nach den ePrivacy-Richtlinien und der DSGVO dürfen solche Technologien nur mit ausdrücklicher Zustimmung des Nutzers eingesetzt werden.
  3. Transparenz und Widerrufsrecht: Webseitenbetreiber müssen transparent über die Datenerfassung durch hCaptcha informieren und den Nutzern die Möglichkeit geben, ihre Einwilligung zu widerrufen.

Aufgrund der Funktion von hCaptcha zum Schutz vor Missbrauch und der Sicherheit der Website, kann sich von Websitebetreibern auf die Rechtsgrundlage des berechtigten Interesses berufen werden. Hierbei ist eine ausführliche Dokumentation der Datenverarbeitung in der Datenschutzerklärung unbedingt notwendig.

Trotz dieser Möglichkeit ist die Verwendung nicht vollständig datenschutzkonform.
Idealerweise sollten sich Websitebetreiber um eine Alternative wie Friendly Captcha bemühen.

Fazit zur datenschutzkonformen Verwendung von hCaptcha

hCaptcha bietet eine datenschutzfreundliche Alternative zu herkömmlichen Captcha-Diensten wie Google reCAPTCHA. Es schützt Webseiten vor Missbrauch und automatisierten Angriffen, ohne dabei umfangreiche Nutzerdaten zu sammeln oder die Privatsphäre der Nutzer zu verletzen. Besonders für datenschutzbewusste Unternehmen ist hCaptcha eine attraktive Lösung, da es die Anforderungen der DSGVO erfüllt und durch das EU-U.S. Data Privacy Framework zertifiziert ist.

Darüber hinaus bietet hCaptcha eine einzigartige Möglichkeit zur Monetarisierung, indem die gelösten Captchas zur Verbesserung von maschinellen Lernmodellen verwendet werden, was insbesondere für Unternehmen attraktiv ist, die ihre Webseiten sicher und gleichzeitig datenschutzfreundlich gestalten möchten.

Insgesamt ist hCaptcha eine benutzerfreundlichere, datenschutzbewusstere und flexiblere Lösung für den Schutz von Online-Diensten als beispielsweise der Google reCaptcha, die zugleich den europäischen Datenschutzanforderungen gerecht wird, sollte Sie mit Zustimmung ausgespielt werde.

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo