Datenschutz für Endnutzer

Datenschutzbestimmungen für Endnutzer

Diese Datenschutzbestimmungen gelten für Endnutzer — Personen, die über die Webseiten unserer Kunden mit CaptchaCore interagieren (z.B. beim Absenden eines Kontaktformulars, bei der Registrierung oder beim Login).

Was ist CaptchaCore?

CaptchaCore ist eine datenschutzfreundliche Bot-Defense-Lösung, die Webseiten vor automatisierten Angriffen (Spam, Brute-Force, Bot-Flooding) schützt. Durch die Verwendung von Proof of Work verfolgt CaptchaCore einen neuen Ansatz und ist nicht auf die Auswertung persönlicher Daten angewiesen.

Wie funktioniert CaptchaCore?

Der Webseitenbetreiber integriert in bestimmten Bereichen seiner Webseite (z.B. bei einem Kontaktformular) einen Programmcode von CaptchaCore. Dieser führt dazu, dass Ihr Browser im Zusammenhang mit dem geschützten Bereich (z.B. beim Absenden eines Kontaktformulars) eine Verbindung zu den Servern von CaptchaCore aufbaut.

Ihr Browser erhält von CaptchaCore eine Rechenaufgabe (Proof of Work). Die Komplexität der Aufgabe hängt von verschiedenen Risikofaktoren ab. Ihr Browser löst die Rechenaufgabe automatisch im Hintergrund, wodurch gewisse Systemressourcen kurzzeitig in Anspruch genommen werden (~200ms). Das Ergebnis wird an den Server des Webseitenbetreibers übermittelt, der über eine Schnittstelle bei CaptchaCore prüft, ob die Aufgabe korrekt gelöst wurde.

Daneben übermittelt Ihr Browser Verbindungsdaten (anonymisierte IP-Adresse), Umgebungsdaten (Browser-Typ) und aggregierte Verhaltensmetriken an CaptchaCore. CaptchaCore wertet diese Daten aus und ermittelt, wie wahrscheinlich es ist, dass es sich um einen menschlichen Nutzer oder einen Bot handelt.

Welche Daten werden verarbeitet?

• IP-Adresse: Wird vor der Speicherung anonymisiert (letztes Oktett entfernt bei IPv4, letzte 80 Bit bei IPv6). Die vollständige IP wird zu keinem Zeitpunkt dauerhaft gespeichert. Der Hash wird mit einem Rolling Salt erstellt, der alle 6 Stunden rotiert — dadurch ist eine Korrelation über Zeitfenster hinweg nicht möglich.
• Browser-Informationen: User-Agent wird ausschließlich als SHA-256-Hash verarbeitet, nie im Klartext gespeichert.
• Proof-of-Work-Lösung: Einmalige kryptografische Challenge. Wird nach Prüfung sofort gelöscht (Single-Use).
• Verhaltensmetriken: Aggregierte Scores zu Mausbewegung (Entropie), Tipp-Verhalten (Rhythmus), Scroll-Aktivität und Interaktionshäufigkeit. Diese werden lokal in Ihrem Browser berechnet — nur die numerischen Scores werden übertragen, keine Rohdaten.
• Umgebungsdaten: Browser-Typ, Bildschirmauflösung, Anzahl der Browser-Plugins (als Zahl, nicht als Liste), Zeitzone. Diese dienen zur Erkennung automatisierter Umgebungen (z.B. Headless Browser).

Welche Daten werden NICHT verarbeitet?

• Keine HTTP-Cookies (Ausnahme: Under-Attack-Mode, max. 30 Minuten, technisch notwendig)
• Keine Formulardaten (Name, E-Mail, Nachricht, Passwort etc.)
• Keine Mausbewegungen, Tastatureingaben oder Scroll-Positionen im Klartext
• Kein Tracking über Seiten oder Domains hinweg
• Keine persistente Datenspeicherung im Browser
• Keine Datenübertragung an Drittanbieter oder Drittländer
• Keine Nutzung der Daten für Marketing, Profiling oder Werbezwecke

Grundlegende Datenschutzprinzipien

• Alle Daten werden ausschließlich zur Erkennung und Behandlung von potenziellen Bots und Risiken verwendet. Zweck der Verarbeitung ist die Sicherstellung der Sicherheit und Funktionsfähigkeit von Webseiten.
• CaptchaCore nutzt die Daten nicht zur Identifikation einer natürlichen Person oder zu Marketing-Zwecken.
• CaptchaCore speichert keine personenbezogenen Daten des Besuchers. Daten, die den Besucher identifizieren könnten (wie IP-Adressen), werden mittels One-Way-Hashing anonymisiert.
• CaptchaCore nutzt keine HTTP-Cookies und speichert keine Daten im persistenten Browser-Speicher.

Speicherdauer

CaptchaCore verwendet getrennte Speichersysteme mit unterschiedlichen Aufbewahrungsfristen:

• Betriebslogs (Verifikationsergebnisse, anonymisierte IPs): maximal 30 Tage, konfigurierbar (7–365 Tage).
• Sicherheitslogs (Threat Intelligence, Angriffserkennung): maximal 7 Tage.
• Angriffskampagnen (aggregierte Angriffsmuster): maximal 90 Tage.
• IP-Reputationsdaten (externe Listen): maximal 2 Tage, tägliche Aktualisierung.

Die Löschung erfolgt automatisch und unwiderruflich durch tägliche Retention-Prozesse.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses des Webseitenbetreibers an der Abwehr von Bot-Angriffen und Spam (Art. 6 Abs. 1 lit. f DSGVO). Da CaptchaCore keine Cookies setzt und kein Tracking durchführt, ist keine Einwilligung der Endnutzer erforderlich.

Verantwortlichkeiten

• Datenverantwortlicher: Der Webseitenbetreiber (Service-Nutzer), der CaptchaCore in seine Webseite integriert hat. Dieser ist für die Einhaltung der Datenschutzpflichten für seine Webseite verantwortlich.
• Auftragsverarbeiter: SpeedIT Solutions UG (haftungsbeschränkt), Asphalweg 26, 30916 Isernhagen, Deutschland
• Datenschutzbeauftragter: heyData GmbH, Schützenstraße 5, 10117 Berlin, datenschutz@heydata.eu

Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Da CaptchaCore IP-Adressen anonymisiert und keine personenbezogenen Daten identifizierbar speichert, sind Auskunfts- und Löschungsanfragen in der Regel gegenstandslos.

Beschwerden können an die zuständige Datenschutz-Aufsichtsbehörde gerichtet werden. Für CaptchaCore ist dies die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

Kontakt

E-Mail: datenschutz@captchacore.eu
Gültig ab: April 2026