Zum Inhalt springen

CAPTCHA DSGVO-konform einbinden: Schritt für Schritt

Von Leon Weinmann ·

Ein CAPTCHA DSGVO-konform einzubinden hängt weniger an ein paar Zeilen HTML als an zwei Punkten: einer bewussten Wahl des Anbieters — idealerweise einem, dessen Verarbeitung die EU nicht verlässt — und der transparenten Dokumentation des Einsatzes in Ihrer Datenschutzerklärung. Diese Anleitung führt Schritt für Schritt durch beides.

Was „DSGVO-konform" beim CAPTCHA bedeutet

Das Einbinden selbst ist bei den meisten CAPTCHAs technisch ähnlich. Über die DSGVO-Konformität entscheidet, was mit den Daten Ihrer Besucher passiert. Rechtlich verpflichtend sind vor allem ein Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO) mit dem Anbieter, Datensparsamkeit und die transparente Information in der Datenschutzerklärung (Art. 13 DSGVO).

Darüber hinaus hilft es, das rechtliche Risiko von vornherein klein zu halten:

  • Verarbeitung innerhalb der EU, idealerweise Hosting in Deutschland — so entfällt die Diskussion um Drittlandtransfer ganz.
  • Keine Tracking-Cookies, kein Nutzerprofil.
  • So wenig personenbezogene Daten wie möglich.

Ein Datentransfer in die USA ist nicht automatisch unzulässig — aktuell besteht dafür mit dem EU-US Data Privacy Framework eine gültige Grundlage. Diese Grundlage stand in der Vergangenheit allerdings wiederholt auf der Kippe. Wer ausschließlich in der EU verarbeitet, umgeht diese Unsicherheit von vornherein.

Warum das bei Google reCAPTCHA heikel ist, haben wir gesondert beschrieben: Ist Google reCAPTCHA DSGVO-konform? Google-freie Ansätze im Überblick finden Sie unter CAPTCHA ohne Google.

Schritt für Schritt

1. Einen DSGVO-konformen Anbieter wählen

Prüfen Sie die Kriterien oben: Wo werden die Daten verarbeitet? Gibt es einen AVV? Werden Cookies gesetzt? Ein in Deutschland gehostetes CAPTCHA erspart Ihnen in der Regel die Diskussion um US-Datentransfer.

2. Das Widget einbinden

In der Praxis sind das meist zwei Zeilen: ein Script-Tag und ein Container-Element mit Ihrem Site-Key. Das Widget lädt dann selbst und stellt nach erfolgreicher Prüfung ein Token bereit, das mit dem Formular abgeschickt wird. Die genaue Einbindung und Anleitungen für gängige Frameworks stehen in der Dokumentation.

3. Serverseitig validieren

Verlassen Sie sich nie allein auf die clientseitige Prüfung. Ihr Server sollte das vom Widget gelieferte Token vor der Verarbeitung des Formulars beim Anbieter verifizieren. Erst wenn diese Prüfung erfolgreich ist, wird die Anfrage angenommen. Ohne serverseitige Validierung lässt sich das Widget umgehen.

4. In der Datenschutzerklärung dokumentieren

Auch ein datenschutzfreundliches CAPTCHA verarbeitet Daten (etwa die IP-Adresse zur Bot-Erkennung). Nennen Sie den Dienst, den Zweck und die Rechtsgrundlage in Ihrer Datenschutzerklärung. Ist der Anbieter Auftragsverarbeiter, schließen Sie den AVV ab und verweisen Sie darauf.

5. Testen

Prüfen Sie, dass das Formular ohne gelöstes CAPTCHA abgelehnt und mit gültigem Token angenommen wird — und dass beim Seitenaufruf keine unerwarteten Anfragen an Dritte ausgehen.

Häufige Fehler

  • reCAPTCHA ohne Einwilligung — geladen, bevor der Besucher zugestimmt hat; dazu gibt es Gerichtsentscheidungen (siehe Ist Google reCAPTCHA DSGVO-konform?). Entweder Consent-Banner davorschalten oder auf eine Google-freie Lösung wechseln.
  • Kein Eintrag in der Datenschutzerklärung — der Einsatz muss transparent gemacht werden.
  • Nur clientseitige Prüfung — ohne serverseitige Validierung ist der Schutz wirkungslos.
  • Kein AVV mit dem Anbieter.

Mit ByeBot umgesetzt

ByeBot ist ein DSGVO-konformes CAPTCHA, das ausschließlich in Deutschland gehostet wird — keine Übermittlung in die USA, keine Tracking-Cookies. Das Widget wird über Script-Tag und Container-Element eingebunden, die Validierung erfolgt serverseitig über das gelieferte Token. Anleitungen für über zehn Frameworks stehen in der Dokumentation; ausprobieren können Sie es auf der Startseite.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die datenschutzrechtliche Bewertung Ihres konkreten Einzelfalls — insbesondere zu Rechtsgrundlage und AVV — wenden Sie sich bitte an eine Rechtsanwältin, einen Rechtsanwalt oder Ihre zuständige Datenschutzaufsicht. Stand: Juli 2026.

DSGVO-konformes CAPTCHA aus Deutschland

ByeBot schützt Ihre Website vor Bots — ohne Google, ohne Cookies und ohne Datenabfluss in die USA. Gehostet ausschließlich in Deutschland.

ByeBot ansehen →