CAPTCHA ohne Google: datenschutzfreundliche Alternativen
Sie können Ihre Website vor Bots schützen, ohne Google reCAPTCHA einzubinden. Es gibt mehrere Google-freie Ansätze — von einfachen Honeypot-Feldern über serverseitiges Rate-Limiting bis hin zu Proof-of-Work-CAPTCHAs. Für viele Betreiber ist der Wechsel weg von Google zusätzlich eine Datenschutzentscheidung.
Warum überhaupt „ohne Google"?
Google reCAPTCHA wird meist kostenlos eingebunden — bezahlt wird mit den Daten der eigenen Besucher. Beim Aufruf einer Seite überträgt der Browser Informationen wie IP-Adresse und Browser-Daten an Google, häufig auf Server in den USA. Genau das ist datenschutzrechtlich heikel: Ein Gericht und mehrere Datenschutzbehörden sehen den Einsatz von reCAPTCHA ohne vorherige Einwilligung kritisch. Die Details dazu haben wir in einem eigenen Beitrag zusammengefasst: Ist Google reCAPTCHA DSGVO-konform?
Wer auf einen Anbieter setzt, dessen Verarbeitung die EU nicht verlässt und der keine Tracking-Cookies benötigt, umgeht die schwierigen Punkte weitgehend: Für das CAPTCHA stellt sich dann weder die Frage nach einer Cookie-Einwilligung noch die nach zusätzlichen Schutzmaßnahmen für einen Datentransfer in die USA. Ein Auftragsverarbeitungsvertrag mit dem Anbieter bleibt in jedem Fall sinnvoll.
Was „ohne Google" konkret bedeuten sollte
Nicht jede Alternative ist automatisch datenschutzfreundlich. Sinnvolle Kriterien:
- Keine Datenübermittlung an Google oder andere Dritte in den USA.
- Verarbeitung und Hosting innerhalb der EU, idealerweise in Deutschland.
- Keine Tracking-Cookies, kein Aufbau von Nutzerprofilen.
- So wenig personenbezogene Daten wie möglich — und wenn, nur kurzzeitig.
Google-freie Ansätze im Überblick
Honeypot-Felder
Ein verstecktes Formularfeld, das für Menschen unsichtbar ist, von vielen einfachen Bots aber ausgefüllt wird. Wird das Feld befüllt, ist die Anfrage mit hoher Wahrscheinlichkeit automatisiert. Honeypots sind kostenlos, datenschonend und schnell umgesetzt — halten aber nur einfache Bots ab und bieten keinen Schutz gegen gezielte Angriffe.
Serverseitiges Rate-Limiting
Begrenzt, wie viele Anfragen eine IP-Adresse oder ein Client in einem Zeitraum stellen darf. Wirksam gegen massenhaftes Abschicken von Formularen, aber allein kein vollständiger Bot-Schutz — verteilte Angriffe über viele IP-Adressen laufen daran vorbei.
Proof-of-Work-CAPTCHAs
Der Browser des Besuchers löst im Hintergrund eine kleine Rechenaufgabe, bevor eine Anfrage akzeptiert wird. Für einen einzelnen Nutzer kaum spürbar, für einen Bot, der massenhaft Anfragen stellen will, aber teuer. Proof-of-Work kommt ohne Bilderrätsel und ohne Google aus und lässt sich datenschonend umsetzen.
Verhaltens- und interaktive Challenges
Statt Daten an Dritte zu senden, werten diese Verfahren lokal aus, wie ein Client mit der Seite interagiert, oder stellen eine kurze interaktive Aufgabe. In Kombination mit Proof-of-Work erhöhen sie die Erkennungsqualität deutlich.
Worauf Sie bei der Umsetzung achten sollten
Ein wichtiger, oft übersehener Punkt: Die clientseitige Logik eines CAPTCHAs läuft im Browser und ist grundsätzlich einsehbar. Ist dieser Code nicht obfuskiert, lässt sich die Erkennung leichter auslesen und umgehen. Eine starke JavaScript-Obfuskierung ist deshalb ein sinnvolles Qualitätsmerkmal. Ebenso wichtig: mehrere Signale zu kombinieren statt sich auf eine einzelne Prüfung zu verlassen.
ByeBot: ein CAPTCHA ohne Google, aus Deutschland
ByeBot ist ein datenschutzfreundliches CAPTCHA, das ohne Google auskommt. Der Schutz kombiniert Proof-of-Work, Time-to-Pass, Verhaltensanalyse und optionale interaktive Challenges. Gehostet wird ausschließlich in Deutschland — keine Übermittlung in die USA, keine Tracking-Cookies. Nutzerbezogene Daten werden, wenn überhaupt, nur temporär als Hash abgelegt. Die clientseitige Logik ist zudem obfuskiert. Mehr dazu auf der Über-Seite oder direkt auf der Startseite.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die datenschutzrechtliche Bewertung Ihres konkreten Einzelfalls wenden Sie sich bitte an eine Rechtsanwältin, einen Rechtsanwalt oder Ihre zuständige Datenschutzaufsicht. Stand: Juli 2026.
DSGVO-konformes CAPTCHA aus Deutschland
ByeBot schützt Ihre Website vor Bots — ohne Google, ohne Cookies und ohne Datenabfluss in die USA. Gehostet ausschließlich in Deutschland.
ByeBot ansehen →