DSGVO-Konformität

DSGVO-Konformität von CaptchaCore

CaptchaCore wurde von Grund auf für die Einhaltung der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) entwickelt. Im Folgenden erläutern wir, wie CaptchaCore die einzelnen Anforderungen der DSGVO erfüllt.

Art. 5 — Grundsätze der Verarbeitung

• Datenminimierung: Es werden nur die für die Bot-Erkennung zwingend notwendigen Daten verarbeitet. Keine Formulardaten, keine Klartext-Passwörter, keine E-Mail-Adressen der Endnutzer.
• Speicherbegrenzung: Verifikationslogs werden nach konfigurierbarer Frist automatisch gelöscht (Standard: 30 Tage).
• Zweckbindung: Alle erhobenen Daten dienen ausschließlich der Bot-Erkennung und dem Schutz von Webformularen.
• Integrität und Vertraulichkeit: Alle Datenübertragungen sind TLS 1.2/1.3-verschlüsselt. IPs werden anonymisiert, User-Agents gehasht.

Art. 6 — Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Abwehr von Bot-Angriffen, Spam und Missbrauch. Eine Einwilligung ist nicht erforderlich, da CaptchaCore keine Cookies setzt und kein Tracking durchführt.

Art. 25 — Privacy by Design & Default

• IP-Adressen werden vor der Speicherung anonymisiert (letztes Oktett auf 0 bei IPv4, letzte 64 Bit bei IPv6)
• User-Agents werden ausschließlich als SHA-256-Hash gespeichert
• Behavioral Signals werden lokal im Browser aggregiert — nur Scores werden übertragen
• Keine Third-Party-Requests aus dem Widget
• Keine persistenten Cookies im Normalbetrieb

Art. 28 — Auftragsverarbeitung

Wenn Sie CaptchaCore für Ihre Webseite einsetzen, handelt es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Wir stellen auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) bereit. Kontakt: datenschutz@captchacore.eu

Art. 44 ff. — Drittlandübertragung

Keine Datenübertragung in Drittländer. CaptchaCore wird ausschließlich auf Servern in Deutschland betrieben. Es werden keine Dienste wie Google reCAPTCHA, Cloudflare oder andere US-basierte Services für die Captcha-Verarbeitung eingesetzt.

Kein Cookie-Banner erforderlich

CaptchaCore setzt im Normalbetrieb keine Cookies. Nur im Under-Attack-Mode wird ein kurzlebiges, technisch notwendiges Cookie gesetzt (HMAC-signiert, max. 30 Min. TTL). Dieses Cookie ist gemäß § 25 Abs. 2 Nr. 2 TDDDG (ehem. TTDSG) von der Einwilligungspflicht ausgenommen, da es für die Bereitstellung des Dienstes unbedingt erforderlich ist.

Vergleich mit anderen CAPTCHA-Lösungen

• Google reCAPTCHA: Setzt Cookies, überträgt Daten an Google-Server in den USA, erfordert Cookie-Banner und ggf. Einwilligung
• hCaptcha: Setzt Cookies, Datenverarbeitung durch US-Unternehmen, Drittlandübertragung
• CaptchaCore: Keine Cookies, keine Drittland-Übertragung, Server in Deutschland, Privacy by Design

Datenschutzbeauftragter

heyData GmbH
Schützenstraße 5, 10117 Berlin
datenschutz@heydata.eu

Weiterführende Ressourcen

• Datenschutz-Center — Übersicht aller Datenschutz-Informationen und Compliance-Ressourcen
• Datenschutz für Endnutzer — Wie CaptchaCore die Daten von Webseitenbesuchern verarbeitet
• Datenschutz für Service-Nutzer — Datenschutzbestimmungen für Kunden
• Vollständige Datenschutzerklärung — Alle Details inkl. Mustertext für Ihre Datenschutzerklärung
• Sicherheit — Technische und organisatorische Maßnahmen
• Barrierefreiheit — WCAG 2.2 Level AA Konformität

Widget-Auslieferung über CDN

Das CaptchaCore-Widget (JavaScript, ~10 KB) wird über ein Content Delivery Network ausgeliefert, um die Ladezeiten für Webseitenbesucher weltweit zu optimieren. Der CDN-Anbieter ist Bunny.net (einem EU-CDN-Anbieter, Slowenien) — ein europäisches Unternehmen.

Webseitenbetreiber können zwischen zwei Endpoints wählen:

• EU-only (src-eu.captchacore.eu) — Standard. Auslieferung ausschließlich über europäische Server: Deutschland, Schweden, Großbritannien, Spanien. Keine Drittland-Übertragung.
• Global (src.captchacore.eu) — Zusätzlich New York, São Paulo, Singapur. Für Webseiten mit weltweitem Publikum.

Das CDN liefert nur statische Dateien — keine dynamischen Daten, keine Cookies. Die API-Kommunikation läuft immer direkt an die CaptchaCore-Server in Deutschland.