Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder den CaptchaCore-Service nutzen.

Verantwortlicher

SpeedIT Solutions UG (haftungsbeschränkt)
Asphalweg 26, 30916 Isernhagen, Deutschland
E-Mail: datenschutz@captchacore.eu

2. Datenverarbeitung durch CaptchaCore

Was CaptchaCore verarbeitet

• IP-Adresse: Wird anonymisiert gespeichert (letztes Oktett auf 0 bei IPv4, letzte 64 Bit bei IPv6). Die vollständige IP wird zu keinem Zeitpunkt dauerhaft gespeichert.

• User-Agent: Wird ausschließlich als SHA-256-Hash gespeichert, nie im Klartext.

• Behavioral Signals: Aggregierte Metriken (Maus-Entropie, Tipp-Rhythmus, Scroll-Verhalten). Diese werden lokal im Browser des Nutzers berechnet und nur als numerische Scores an den Server übertragen — keine Rohdaten.

• Proof-of-Work-Lösung: Einmalige kryptografische Challenge, wird nach erfolgreicher Verifikation sofort gelöscht (Redis, Single-Use).

Was CaptchaCore NICHT verarbeitet

• Keine Cookies (Ausnahme: Under-Attack-Mode, dann kurzlebig und HMAC-signiert, max. 30 Min.)

• Keine Tracking-Pixel, kein Fingerprinting, kein Re-Targeting

• Keine Datenübertragung an Drittanbieter oder Drittländer

• Keine Speicherung von Formulardaten, Passwörtern oder E-Mail-Adressen der Endnutzer

• Keine Mausbewegungen, Tastatureingaben oder Scroll-Positionen im Klartext

3. Hosting und Server

CaptchaCore wird ausschließlich auf Servern in Deutschland betrieben. Es findet keine Datenübertragung in Drittländer statt. Die Server werden von SpeedIT Solutions UG selbst betrieben und gewartet.

4. Speicherdauer

Verifikationslogs werden standardmäßig nach 30 Tagen automatisch und unwiderruflich gelöscht. Die Aufbewahrungsdauer ist konfigurierbar (7–365 Tage). Darüber hinaus gelten die gesetzlichen Aufbewahrungsfristen (handels- und steuerrechtlich bis zu 10 Jahre für Geschäftsunterlagen).

5. Rechtsgrundlagen

• Bot-Defense-Service: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Spam und Bot-Angriffen)

• Registrierung / Kundenkonto: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Zahlungsabwicklung: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Server-Logfiles: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit)

6. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe ist unter dem EU-US Data Privacy Framework (TADPF) zertifiziert. CaptchaCore speichert keine Kreditkartendaten oder Bankverbindungen. Stripes Datenschutzerklärung: stripe.com/de/privacy

7. Cookies

CaptchaCore verwendet im Normalbetrieb keine Cookies. Nur im Under-Attack-Mode wird ein technisch notwendiges, kurzlebiges Cookie gesetzt (HMAC-signiert, max. 30 Minuten TTL). Dieses Cookie ist gemäß § 25 Abs. 2 Nr. 2 TDDDG von der Einwilligungspflicht ausgenommen, da es für die Bereitstellung des Dienstes unbedingt erforderlich ist. Ein Cookie-Banner ist daher nicht notwendig.

8. SSL-/TLS-Verschlüsselung

Sämtliche Datenübertragungen zwischen Browser, Widget und CaptchaCore-API erfolgen über TLS 1.2/1.3-verschlüsselte Verbindungen.

9. Registrierung / Kundenkonto

Bei der Registrierung speichern wir: Name, E-Mail-Adresse, Firma (optional), Adresse (optional), Telefon (optional). Diese Daten werden für die Vertragsdurchführung benötigt (Art. 6 Abs. 1 lit. b DSGVO). Bei Löschung des Kundenkontos werden alle personenbezogenen Daten unwiderruflich entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten personenbezogenen Daten (Art. 15 DSGVO)

• Berichtigung unrichtiger Daten (Art. 16 DSGVO)

• Löschung Ihrer Daten (Art. 17 DSGVO)

• Einschränkung der Verarbeitung (Art. 18 DSGVO)

• Datenübertragbarkeit (Art. 20 DSGVO)

• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Telefon: +49 511 120-4500
www.lfd.niedersachsen.de

12. Widerspruchsrecht

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, haben Sie das Recht, gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einzulegen. Bitte richten Sie Ihren Widerspruch an datenschutz@captchacore.eu.

13. Datenschutzbestimmungen für Endnutzer

Diese Bestimmungen gelten für Endnutzer (Webseitenbesucher), deren Formulare durch CaptchaCore geschützt werden.

Welche Daten verarbeitet CaptchaCore?

Wenn Sie ein durch CaptchaCore geschütztes Formular nutzen, werden folgende Daten verarbeitet:

• IP-Adresse: Wird anonymisiert (letztes Oktett entfernt) und nur als Hash gespeichert. Die vollständige IP wird zu keinem Zeitpunkt dauerhaft gespeichert.
• Browser-Informationen: User-Agent wird als SHA-256-Hash verarbeitet, nie im Klartext.
• Proof-of-Work-Lösung: Ihr Browser löst eine mathematische Aufgabe. Die Lösung wird nach Prüfung sofort gelöscht.
• Verhaltensmetriken: Aggregierte Scores (keine Rohdaten) zu Mausbewegung, Tipp-Verhalten und Scroll-Aktivität. Diese werden lokal in Ihrem Browser berechnet.

Welche Daten werden NICHT verarbeitet?

• Keine Cookies (außer im Under-Attack-Mode, max. 30 Minuten)
• Keine Formulardaten (Name, E-Mail, Nachricht etc.)
• Keine Mausbewegungen, Tastatureingaben oder Scroll-Positionen im Klartext
• Kein Tracking über Seiten oder Domains hinweg
• Keine Datenübertragung an Drittanbieter oder Drittländer

Zweck der Verarbeitung

Die Datenverarbeitung dient ausschließlich dem Schutz des Webformulars vor automatisierten Bot-Angriffen und Spam (berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer

Verifikationslogs werden nach maximal 30 Tagen automatisch gelöscht (konfigurierbar durch den Webseitenbetreiber).

14. Datenschutzbestimmungen für Service-Nutzer

Diese Bestimmungen gelten für registrierte Kunden, die CaptchaCore in ihre Webseiten integrieren.

Verantwortlichkeiten

• Sie (der Kunde) sind Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten Ihrer Webseitenbesucher.
• CaptchaCore / SpeedIT Solutions ist Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO.

Ihre Pflichten als Webseitenbetreiber

• Information Ihrer Nutzer über den Einsatz von CaptchaCore in Ihrer Datenschutzerklärung
• Nennung der Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse)
• Hinweis, dass keine Cookies gesetzt werden und keine Datenübertragung in Drittländer stattfindet

Mustertext für Ihre Datenschutzerklärung

Diese Website verwendet CaptchaCore zum Schutz von Formularen vor automatisierten Bot-Angriffen. CaptchaCore wird von SpeedIT Solutions UG (haftungsbeschränkt), Isernhagen, Deutschland betrieben. Zur Auslieferung des Widget-JavaScripts wird das Content Delivery Network von Bunny.net (BunnyWay d.o.o., Slowenien) ausschließlich über europäische Server eingesetzt.

Bei der Nutzung eines geschützten Formulars wird eine kryptografische Proof-of-Work-Aufgabe im Browser gelöst. Dabei werden aggregierte Verhaltens- und Browser-Umgebungsmetriken erhoben (z. B. Maus- und Tipp-Verhalten, technische Browser-Eigenschaften wie Canvas-Rendering, WebGL-Renderer und verfügbare Web-APIs) — keine Rohdaten wie Tastatureingaben oder Mausbewegungen. Es werden keine Cookies gesetzt, keine personenbezogenen Daten gespeichert und keine Daten an Drittländer übertragen. IP-Adressen werden anonymisiert und nur als Hash verarbeitet.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Abwehr von Spam und Bot-Angriffen (Art. 6 Abs. 1 lit. f DSGVO). Weitere Informationen und die vollständige Liste der Unterauftragsverarbeiter: captchacore.eu/seite/datenschutz

15. Auftragsverarbeitungsvertrag (AVV)

Auf Anfrage stellen wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO bereit. Der AVV regelt:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Einsatz von Unterauftragsverarbeitern

Anfragen richten Sie bitte an: datenschutz@captchacore.eu

16. Content Delivery Network (CDN)

Für die Auslieferung des CaptchaCore-Widgets nutzen wir das Content Delivery Network von Bunny.net (BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien). Bunny.net ist ein europäisches Unternehmen mit Sitz in der EU.

Warum ein CDN?

Das CDN sorgt dafür, dass das Widget-JavaScript (~10 KB) von einem Server in der Nähe des Webseitenbesuchers geladen wird, was die Ladezeit deutlich reduziert.

EU-only Endpoint (Standard)

Standardmäßig wird das Widget über den EU-only Endpoint (src-eu.captchacore.eu) ausgeliefert. Dabei werden ausschließlich europäische Server verwendet — keine Datenübertragung in Drittländer.

Globaler Endpoint (optional)

Optional kann der globale Endpoint (src.captchacore.eu) aktiviert werden, der zusätzlich Server in New York, São Paulo und Singapur nutzt.

Welche Daten verarbeitet das CDN?

• Das CDN liefert ausschließlich statische JavaScript-Dateien aus — keine dynamischen Inhalte, keine personenbezogenen Daten.
• Bunny.net verarbeitet dabei technisch notwendige Verbindungsdaten (IP-Adresse, User-Agent) gemäß ihrer Datenschutzerklärung.
• Es werden keine Cookies durch das CDN gesetzt.
• Die API-Kommunikation (Challenges, Verifikationen) läuft nicht über das CDN, sondern direkt an unsere Server in Deutschland.