hCaptcha schützt Formulare vor Spam und Bots – und das, ohne Cookies zu setzen, die eine Zustimmung brauchen. Klingt gut. Trotzdem bringt der Dienst Datenschutzpflichten mit, die du nicht ignorieren kannst: Der Anbieter sitzt in den USA, verarbeitet Daten deiner Website-Besucher und erwartet einen Vertrag. Was das für deine Website bedeutet, erfährst du hier.
Überblick
Was ist hCaptcha?
hCaptcha ist ein Sicherheitsdienst, der erkennt, ob jemand ein Mensch oder ein Bot ist – zum Beispiel beim Absenden eines Kontaktformulars. Der Dienst wird von Intuition Machines, Inc. aus den USA betrieben und ist als datenschutzfreundlichere Alternative zu Google reCAPTCHA bekannt. Viele WordPress-Plugins unterstützen hCaptcha direkt als Formularschutz.
hCaptcha – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | hCaptcha setzt keine zustimmungspflichtigen Cookies. |
| Externe Verbindungen | 🔴 | Skript und Anfragen gehen direkt an hcaptcha.com-Server. |
| Datenschutzerklärung | 🔴 | Eintrag erforderlich – hCaptcha verarbeitet Besucherdaten. |
| Drittlandtransfer | 🔴 | Datenübertragung in die USA, Anbieter ist US-Unternehmen. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Intuition Machines, Inc. erforderlich. |
| Benutzereingaben | 🟢 | hCaptcha verarbeitet keine Formulardaten. |
Datenverarbeitung
Welche Daten erfasst hCaptcha von meinen Website-Besuchern?
Sobald ein Besucher eine Seite mit einem hCaptcha-Formular aufruft, baut sein Browser automatisch eine Verbindung zu den Servern von hCaptcha auf – noch bevor jemand das Formular ausfüllt oder abschickt. In diesem Moment fließen Daten: die IP-Adresse des Besuchers, Informationen über den Browser und das Gerät, die Dauer des Besuchs auf der Seite sowie Bewegungen der Maus. hCaptcha wertet diese Daten aus, um zu entscheiden, ob es sich um einen Menschen oder einen Bot handelt.
Der Anbieter Intuition Machines, Inc. verarbeitet diese Daten in seiner Eigenschaft als Dienstleister für dich – du bist rechtlich gesehen der Auftraggeber. Das bedeutet: Du bist dafür verantwortlich, dass diese Datenverarbeitung nach den Regeln läuft. hCaptcha speichert die Daten nach eigener Aussage nicht dauerhaft und gibt sie nicht weiter. Trotzdem landen die Daten auf Servern in den USA, weil der Anbieter dort sitzt.
Cookies
Setzt hCaptcha Cookies, die ich im Cookie-Banner blockieren muss?
hCaptcha setzt keine Cookies, die einer Zustimmung im Cookie-Banner bedürfen. Der Dienst arbeitet ohne Tracking- oder Marketing-Cookies. Falls technisch notwendige Cookies entstehen – etwa für den Ablauf der Sicherheitsprüfung selbst – fallen diese nicht unter die Zustimmungspflicht. Einen Cookie-Banner für hCaptcha brauchst du daher nicht einzurichten.
Externe Verbindungen
Baut hCaptcha Verbindungen zu externen Servern auf?
Ja. Sobald ein Besucher eine Seite mit hCaptcha aufruft, lädt sein Browser ein Skript von hcaptcha.com. Gleichzeitig entstehen Anfragen an newassets.hcaptcha.com, .w.hcaptcha.com und api.hcaptcha.com. Das passiert automatisch – ohne dass der Besucher etwas anklicken oder eingeben muss.
Diese Verbindung ist kein technisch notwendiger Bestandteil deiner Website selbst: Deine Seite lädt auch ohne hCaptcha, nur der Formularschutz fehlt dann. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt – oder du nutzt hCaptcha ausschließlich auf Unterseiten, die erst nach einer aktiven Aktion des Besuchers aufgerufen werden.
In jedem Fall muss hCaptcha in deiner Datenschutzerklärung stehen.
hCaptcha auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet hCaptcha Daten, die Besucher in Formulare eingeben?
hCaptcha verarbeitet keine Formulardaten. Der Dienst analysiert ausschließlich Verhaltenssignale des Browsers beim Seitenaufruf – wie Mausbewegungen oder die Dauer auf der Seite. Was jemand in ein Kontaktformular einträgt, Name, E-Mail oder Nachricht, geht nicht an hCaptcha.
Drittlandtransfer
Werden Daten meiner Besucher in die USA übertragen?
hCaptcha überträgt Besucherdaten in die USA. Der Anbieter Intuition Machines, Inc. hat seinen Sitz in Delaware und betreibt seine Rechenzentren unter anderem dort.
hCaptcha hat sich dem EU-US-Datenschutzabkommen angeschlossen, das die EU-Kommission 2023 als ausreichend anerkannt hat – damit ist die Datenübertragung in die USA derzeit auf einer gültigen Rechtsgrundlage möglich. Dieses Abkommen könnte allerdings durch künftige Gerichtsentscheidungen wieder kippen, wie es bei früheren Abkommen bereits passiert ist.
In deiner Datenschutzerklärung musst du die Übertragung in die USA nennen und auf das Abkommen als Grundlage hinweisen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit hCaptcha?
Intuition Machines, Inc. verarbeitet Daten deiner Website-Besucher in deinem Auftrag – dafür braucht es einen schriftlichen Vertrag, den sogenannten Auftragsverarbeitungsvertrag.
Der gute Teil: hCaptcha hat diesen Vertrag in seinen allgemeinen Nutzungsbedingungen integriert. Wenn du hCaptcha über die Standardbedingungen nutzt, gilt der Vertrag automatisch als abgeschlossen – du musst nichts separat unterschreiben oder anfordern. Die Bedingungen findest du unter hcaptcha.com/gdpr.
Datenschutzerklärung
Muss hCaptcha in meiner Datenschutzerklärung stehen?
hCaptcha muss in deiner Datenschutzerklärung stehen, weil der Dienst Daten deiner Website-Besucher verarbeitet und weitergibt. Folgende Angaben gehören in den Eintrag:
- Zweck: Schutz von Formularen vor automatisierten Bot-Eingaben
- Rechtsgrundlage: Berechtigtes Interesse des Website-Betreibers an einem sicheren Betrieb
- Empfänger: Intuition Machines, Inc., 1065 SW 8th St #704, Miami FL 33130, USA
- Drittlandtransfer: Übermittlung in die USA auf Basis des EU-US-Datenschutzabkommens (Data Privacy Framework)
- Speicherdauer: hCaptcha speichert keine personenbezogenen Daten dauerhaft
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
hCaptcha – Schutz vor automatisierten Formular-Eingaben
Wir nutzen auf dieser Website den Sicherheitsdienst hCaptcha, um Formulare vor automatisierten Eingaben durch Bots zu schützen. Anbieter ist Intuition Machines, Inc., 1065 SW 8th St #704, Miami FL 33130, USA. Beim Aufruf von Seiten mit einem hCaptcha-Formular werden automatisch Daten an hCaptcha übertragen, darunter IP-Adresse, Browser- und Gerätedaten sowie das Verhalten des Besuchers auf der Seite. Diese Daten werden von Intuition Machines, Inc. verarbeitet, um zu erkennen, ob es sich um einen menschlichen Besucher oder einen Bot handelt.
Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einem sicheren Betrieb unserer Website. Da Intuition Machines, Inc. in den USA ansässig ist, können Daten in die USA übertragen werden. Das Unternehmen ist dem EU-US-Datenschutzabkommen (Data Privacy Framework) beigetreten, das von der EU-Kommission als angemessenes Schutzniveau anerkannt wurde. Personenbezogene Daten werden von hCaptcha nicht dauerhaft gespeichert. Weitere Informationen findest du in der Datenschutzerklärung von hCaptcha unter hcaptcha.com/privacy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu hCaptcha?
Friendly Captcha der Friendly Captcha GmbH aus Wörthsee (Deutschland) erfüllt dieselbe Aufgabe – Formulare vor Bots schützen – ohne Daten in die USA zu schicken. Friendly Captcha verarbeitet alle Daten ausschließlich auf Servern innerhalb der EU. Der Dienst setzt keine Cookies und erfasst keine Nutzungsdaten für Werbung oder Tracking. Für WordPress gibt es ein Plugin, das sich ohne technische Vorkenntnisse einrichten lässt. Der Dienst wird aktiv weiterentwickelt und ist in einer kostenlosen Einstiegsversion verfügbar.
Fehler
Typische Fehler bei der Nutzung von hCaptcha
Der häufigste Fehler ist, hCaptcha ohne Eintrag in der Datenschutzerklärung zu betreiben. Weil kein Cookie-Banner nötig ist, entsteht leicht der Eindruck, hCaptcha sei „komplett unsichtbar“ – das stimmt aber nicht. Die Verbindung zu den US-Servern findet trotzdem statt und muss transparent gemacht werden.
Ein weiterer Fehler: Formulare mit hCaptcha tauchen auf Seiten auf, die kein Cookie-Banner davor haben, obwohl eine externe Verbindung beim Seitenaufruf entsteht. Wenn dein Cookie-Banner hCaptcha-Verbindungen blockieren soll, muss er das auch tatsächlich tun – nicht nur in den Einstellungen aktiviert sein, sondern auch technisch das Skript aufhalten.
Außerdem: Wenn du hCaptcha bei einem Formular-Plugin aktiviert hast und das Plugin später wechselst oder deaktivierst, kann hCaptcha als Verbindung erhalten bleiben, ohne dass du es merkst. Nach Plugin-Wechseln lohnt sich ein kurzer Scan der eigenen Website.
DSGVO-Check
Wie erkenne ich, ob hCaptcha auf meiner Website aktiv ist?
hCaptcha lässt sich direkt über die Netzwerkanfragen deines Browsers erkennen. Öffne deine Website im Browser, drücke F12 (Entwicklertools), wechsle auf den Tab „Netzwerk“ und lade die Seite neu. Suche in der Liste nach Anfragen an diese Domains:
hcaptcha.comnewassets.hcaptcha.comapi.hcaptcha.com
Wenn du dort Einträge siehst, ist hCaptcha aktiv und schickt Daten an diese Server. Prüfe dann, ob deine Datenschutzerklärung einen Eintrag für hCaptcha enthält und ob dein Cookie-Banner diese Verbindungen korrekt behandelt.
Noch einfacher: Lass datenrein.de deine Website direkt scannen. Der Scan erkennt hCaptcha automatisch und zeigt dir, welche Datenschutzpflichten dadurch entstehen.
Quellen und weiterführende Links
- hCaptcha – offizielle Website
- hCaptcha – Dokumentation und FAQ
- hCaptcha – DSGVO-Informationsseite und Vertragsbedingungen
- hCaptcha – Datenschutzerklärung
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.