Sind Sie ein Roboter?
Wie oft mussten Sie schon im Internet durch eine Auswahl von Bildern oder Buchstaben beweisen, dass Sie kein Roboter sind, um eine Bestellung oder Anfrage senden zu können? Wenn Sie eine Website oder einen Online-Shop betreiben, verstehen Sie, dass ein CAPTCHA-Code notwendig ist, um Sie vor unerwünschten Spam-E-Mails zu schützen. Muss man aber immer manuelle Tests machen? Was für Lösungen gibt es auf dem Markt? Und was hat das Ganze mit dem Datenschutz zu tun? Damit Sie eine informierte Entscheidung darüber treffen, was für Ihre Sicherheit sowie die Sicherheit Ihrer Kunden das Beste ist, machen wir einen Überblick über die gängigen CAPTCHA-Lösungen.
Was ist CAPTCHA?
Die Abkürzung CAPTCHA steht für Completely Automated Public Turing Test to Tell Computers and Humans Apart (vollautomatisierter Test für Unterscheidung zwischen Mensch und Maschine). Es geht um einen Schutzmechanismus, der entwickelt wurde, um bei Formularen eine Überflutung von Spam-E-Mails zu verhindern.
Spam-Nachrichten werden von Bots massenweise versendet, wobei Anfragen von echten Benutzern nachgeahmt werden. Sie überschwemmen den Posteingang, lenken von echten Kundenanfragen ab und können zudem Malware enthalten und für Daten und Systeme des Empfängers gefährlich sein.
In seiner ursprünglichen Form macht CAPTCHA Unterscheidung zwischen Menschen und Roboter-Programmen, indem es Benutzer auffordert, eine manuelle Aufgabe auszuführen, die menschliche Fähigkeiten voraussetzt. Wenn die Aufgabe korrekt ausgeführt ist, dient das als Bestätigung, dass der Benutzer ein Mensch und kein Spam-Bot ist.
CAPTCHA-Lösungen und Datenschutz
reCAPTCHA, hCaptcha & Friendly Captcha im Vergleich
reCAPTCHA
Das reCAPTCHA ist die weltweit meist eingesetzte Spam-Abwehr-Lösung. Es ist ein Dienst von Google, der das Verhalten des Benutzers verfolgt und Informationen über ihn sammelt, um festzustellen, ob es sich um einen Menschen handelt. Unter den Daten, die gesammelt werden, zählen IP-Adresse, Snapshots des Browserfensters, Mausbewegungen, Tastaturanschläge, Verweildauer, zuvor besuchte Websites und vieles mehr.
reCAPTCHA erscheint entweder als Kontrollkästchen, das anzuklicken ist, oder es wird automatisch im Hintergrund ausgeführt. Wenn das System den Besucher als verdächtig einschätzt, d.h. wenn es nicht genügend Informationen sammeln kann, um die menschliche Identität zu bestätigen, stellt es zusätzlich Bildererkennungsaufgaben zur manuellen Lösung.
Die Nutzung von reCAPTCHA ist kostenfrei, jedoch aus der Sicht des europäischen Datenschutzrechtes gesetzwidrig:
- Beim Aufruf der Formularseite werden sofort Cookies gesetzt und an Google-Server gesendet. Nach DSGVO dürfte eine solche Datensammlung nicht automatisch passieren, sondern müsste zuerst angefragt und freiwillig akzeptiert werden. Wenn vom Kunden abgelehnt, müssten die Formulare entweder ohne reCAPTCHA angeboten oder gar nicht angezeigt werden.
- Von Google wird nicht transparent kommuniziert, welche Daten zu welchen Zwecken gesammelt werden und was mit ihnen gemacht wird.
- Wie alle anderen US-Unternehmen, muss Google alle gesammelten Daten, einschliesslich der persönlichen Daten seiner Nutzer, der US-Regierung zur Verfügung stellen.
hCaptcha
Die gängige CAPTCHA-Alternative kommt ebenfalls aus den USA. Ähnlich wie bei reCAPTCHA, werden dem Benutzer Bilder oder Wörter gegeben, deren Identifikation beweist, dass der Besucher ein Mensch ist. hCaptcha legt aber mehr Wert auf Bilderkennung und ist nicht auf grosse Datenmengen angewiesen, um Anti-Bot-Schutz zu gewährleisten.
Im aktiven Modus (manuelle Rätsel) kann hCaptcha kostenfrei verwendet werden. Wenn man allerdings die bequeme und barrierefreie Abwicklung im Hintergrund sichern möchte, kann man eines der kostenpflichtigen Pläne wählen.
Aus der DSGVO-Sicht hat hCaptcha erhebliche Vorteile im Vergleich zu reCAPTCHA: Nicht nur, dass wenige Daten gesammelt werden, es werden ausserdem keine davon an den Server übertragen, bevor man mit einem Klick bestätigt, ein Mensch zu sein. Die Kommunikation über den Zweck der Datenverarbeitung ist zudem viel transparenter als bei reCAPTCHA.
Dennoch gibt es in der EU datenschutzrechtliche Bedenken, da es sich um ein US-Unternehmen handelt, was heisst, dass die gesammelten Daten an die US-Regierung übermittelt werden können.
Friendly Captcha
Friendly Captcha, mit Sitz in Deutschland, ist die Anti-Bot-Schutz-Alternative mit Datenschutz und Datensicherheit als Schwerpunkt. Anstelle der manuell zu lösenden Rätseln generiert Friendly Captcha kryptografische Rätsel, die vom Browser auschliesslich im Hintergrund gelöst werden.
Friendly Captcha informiert transparent über die Sammlung von Informationen. Die Technologie verwendet zudem keine Cookies, kann also ohne Einholung einer Einwilligung DSGVO-konform genutzt werden. Der Sitz in Deutschland ist an sich ein Vorteil, da keine Daten die EU verlassen.
Im Gegensatz zu den vorher beschriebenen Lösungen hat Friendly Captcha keine kostenfreie Variante.
Die Unterschiede im Überblick
| reCAPTCHA | hCaptcha | Friendly Captcha | |
| DSGVO-konform | nein | teilweise | ja |
| Nutzerfreundlich | teilweise (manuelle Rätsel sind umständlich und können bei eingeschränkter Sehkraft nicht selbstständig gelöst werden) | ja, in der kostenpflichtigen (vollautomatisierten) Variante | ja (vollautomatisiert) |
| Preismodell | kostenfrei | im aktiven Modus (manuelle Rätsel) kostenfrei; vollautomatisierte Variante ab 99 Dollar pro Monat. |
immer kostenpflichtig, Preis abhängig von der Anzahl Auswertungen - standardmässig von 9 bis 200 EUR pro Monat. |
Fazit: Die Entscheidung
Auf der Suche nach dem richtigen Schutzsystem braucht man ein möglichst ausgewogenes Verhältnis zwischen der Sicherheit der Besucher, einer guten Nutzererfahrung und einer möglichst geringen Beeinträchtigung des Konversionsprozesses auf der Website.
Alle vorgestellten Lösungen bieten gute Optionen zum Schutz von Formularen. Abhängig von Ihren Bedürfnissen und Prioritäten kann die eine oder die andere Lösung besser für Sie sein: Wenn Datengenauigkeit, einfache Einrichtung und kostenfreie Nutzung höhere Priorität haben als der Datenschutz, ist reCAPTCHA ideal. Wenn aber Datenschutz und Barrierefreiheit gefragt sind, sind hCaptcha oder Friendly Captcha besser. Bei allen Varianten ist Transparenz in Bezug auf die Datensammlung von grosser Bedeutung - bei reCAPTCHA ist das besonders dringend zu berücksichtigen.
Wenn Sie Fragen zum Thema haben oder Unterstützung bei der Umsetzung einer CAPTCHA Lösung benötigen, schreiben Sie uns oder rufen Sie uns an. Unser Expertenteam steht Ihnen gerne zur Seite.