Captchas sind überall im Internet zu finden. Sie werden häufig in Kontaktformularen, Anmeldeseiten und Registrierungsseiten zum Schutz vor Spam, Crawlern und anderen Arten von automatisierter Software eingesetzt.
Jeder Internetnutzer ist schon mit einem Captcha konfrontiert worden. Sei es beim Ausfüllen eines Kontaktformulars oder bei der Anmeldung für einen neuen Dienst, Captchas sind überall. Captchas gibt es in verschiedenen Formen, wie z.B. die Erkennung einer Reihe verzerrter Zeichen oder die Auswahl von Bildern auf Basis dessen, was sie zeigen. In bestimmten Fällen können Captchas auch vollständig im Hintergrund operieren.
Die Wahl eines Captcha für Ihre Website ist nicht einfach. Es gibt verschiedene Faktoren, die bei der Auswahl zu berücksichtigen sind. Der offensichtlichste ist, wie gut das Captcha Ihre Website gegen Bots verteidigt. Aber es geht um mehr als das. Ein gutes Captcha sollte für jeden zugänglich sein (z.B. blinde Benutzer nicht diskriminieren oder für Besucher nicht zu kompliziert sein), transparent sein, wie es persönliche Daten verarbeitet, und die Daten seiner Nutzer respektvoll behandeln.
Google reCAPTCHA
reCAPTCHA ist die am häufigsten verwendete Captcha-Lösung und ist auf unzähligen Websites im Internet zu finden. Es handelt sich um einen Service von Google, der kleinen Websites und Anwendungen kostenlos zur Verfügung gestellt wird. Enterprise-Kunden zahlen für den Service pro Verifizierung.
reCAPTCHA kann entweder als Kontrollkästchen auf der Website erscheinen, das der Benutzer anklicken muss, um zu verifizieren, dass er ein Mensch ist, oder es kann im Hintergrund arbeiten. In beiden Fällen verlangt reCAPTCHA vom Benutzer, dass er manuell eine Bilderkennungsaufgabe löst, wenn das System den Benutzer für verdächtig hält, sogar im unsichtbaren Modus.
Wie erkennt reCAPTCHA, ob Sie ein Mensch sind?
reCAPTCHA verfolgt und sammelt so viele Informationen wie möglich über den Benutzer und sein Verhalten, wie z.B. einen kompletten Schnappschuss des Browserfensters des Benutzers, Browser-Plugins, Mausbewegungen, Tastenanschläge, zuvor besuchte Websites, IP-Adresse, Cookies und mehr. [1].
Durch die Kombination all dieser Informationen kann reCAPTCHA eine Vermutung darüber anstellen, ob der Benutzer ein Mensch ist oder nicht. In Fällen, in denen reCAPTCHA nicht genügend Informationen sammeln kann, um festzustellen, ob es sich bei einem Benutzer um einen Bot handelt, fordert es den Benutzer auf, ein Bildrätsel manuell zu lösen.
reCAPTCHA legt in seiner Datenschutzerklärung nicht offen, was es genau mit den gesammelten Daten macht [2].
Eine Gemeinsamkeit mit anderen Google-Diensten sind die Cookies , die zur Domain google.com gehören. Wenn Sie reCAPTCHA in Ihre Website einbinden, müssen Sie den JavaScript-Code von der Domain google.com laden. reCAPTCHA kann daher auf alle Cookies zugreifen, die zuvor von anderen Google-Diensten gesetzt wurden, um möglicherweise Nutzer auf Websites zu verfolgen, die nicht zu Google gehören. [3].
Ist reCAPTCHA DSGVO-konform?
Wenn Sie reCAPTCHA in Ihre Website einbinden, senden Sie unweigerlich Daten über Ihre Benutzer an Server in den Vereinigten Staaten. Wenn Sie Ihre Nutzer nicht darüber informieren können, wie die Daten verarbeitet werden, verstoßen Sie gegen die DSGVO und dürfen reCAPTCHA daher in der EU nicht verwenden. [4].
- Pro: Kostenlos für Nicht-Enterprise-Kunden
- Pro: In den meisten Fällen muss der Benutzer kein Bildrätsel lösen
- Contra: Nicht für alle Benutzer zugänglich und damit nicht vollständig barrierefrei
- Contra: Verarbeitet eine große Menge an Daten über den Benutzer
- Contra: Keine Transparenz darüber, wie die Daten verarbeitet und gespeichert werden
- Contra: Teilt Cookies mit allen Google-Diensten
- Contra: Unterliegt als US-Anbieter dem US-Überwachungsrecht
hCaptcha
hCaptcha ist eine in den USA ansässige Alternative zu reCAPTCHA, die für kleinere Kunden kostenlos ist. hCaptcha verlangt von Website-Besuchern, dass sie Bilder kennzeichnen, was Teil ihres Geschäftsmodells ist: Die Muttergesellschaft von hCaptcha ist ein Bildmarkierungsdienst. Die markierten Bilder aus dem Captcha-Widget werden an Datenunternehmen verkauft [5].
hCaptcha bietet eine ähnliche Erfahrung wie die ältere Version 2 von reCAPTCHA. Aufgrund seines Geschäftsmodells konzentriert sich der Anbieter jedoch mehr auf manuelle Bilderkennungsaufgaben. Aufgrund dieser manuellen Aufgaben benötigt hCaptcha weniger Daten als Google, um seinen Dienst zu betreiben. Dennoch verwendet hCaptcha Cookies um seinen Service und die kostenpflichtigen Enterprise-Funktionen wie den passiven Modus bereitzustellen. Eines dieser Cookies speichert eine eindeutige Kennung für jeden Benutzer, die es hCaptcha ermöglicht, Benutzer auf allen Websites, die hCaptcha verwenden, zu verfolgen.
Wie erkennt hCaptcha, ob Sie ein Mensch sind?
Für reguläre Kunden erfordert hCaptcha, dass jeder Website-Benutzer manuell eine Bildmarkierungsaufgabe basierend auf einer Reihe von Bildern lösen muss. Selbst für Benutzer ohne Einschränkungen kann dies eine ziemliche Herausforderung sein, insbesondere weil die Markierungsaufgaben von hCaptcha tendenziell komplexer sind als die von reCAPTCHA.
Enterprise-Kunden haben die Möglichkeit, eine unsichtbare Version des Captcha zu verwenden. Bei dieser Version muss der Benutzer allerdings immer noch manuell ein Bildrätsel lösen, wenn nicht genügend Benutzerdaten gesammelt werden konnten, um zu erraten, ob der Besucher ein Mensch ist.
Ist hCaptcha DSGVO-konform?
Wie Google ist auch hCaptcha ein US-Unternehmen. Das bedeutet, dass es nicht möglich ist, zu garantieren, dass die Daten Ihrer Nutzer niemals die EU verlassen werden. Wenn Sie hCaptcha in Ihre Website einbinden, senden Sie unweigerlich Daten über Ihre Nutzer an einen US-Anbieter. Im Gegensatz zu reCAPTCHA legt hCaptcha in seiner Datenschutzerklärung offen, welche Daten gesammelt, verarbeitet und an Dritte weitergegeben werden, wozu kritischerweise auch weitere US-Unternehmen gehören. Um die DSGVO einzuhalten, müssen Sie von jedem Nutzer eine vorherige Zustimmung einholen, insbesondere für Cookies und Drittanbieter. Ohne diese vorherige Zustimmung ist die Nutzung aus datenschutzrechtlicher Sicht möglicherweise nicht möglich, was die praktische Integration von hCaptcha komplex macht.
- Pro: Kostenlos für Nicht-Enterprise-Kunden
- Pro: Informiert über Datenflüsse und sammelt weniger Daten.
- Contra: Verwendet Cookies und US-Drittanbieter
- Contra: Benutzer mit nicht ausreichenden Daten müssen ein Bilderrätsel lösen
- Contra: Nicht für alle Benutzer zugänglich und damit nicht vollständig barrierefrei
- Contra: Unterliegt als US-Anbieter dem US-Überwachungsrecht
Friendly Captcha
Friendly Captcha ist eine neue Captcha-Alternative mit Sitz in der EU, die sich auf Datenschutz und Barrierefreiheit konzentriert. Es ist die einzige ausgefeilte Lösung auf der Grundlage der Proof-of-Work-Technologie auf dem Markt, das eine Kombination aus Kryptographie und fortschrittlichem Fingerprinting mit vollständigem Schutz der Privatsphäre verwendet, um Websites und Formulare vor Angriffen zu schützen.
Anstatt den Benutzer die Rätsel von Hand lösen zu lassen, generiert Friendly Captcha ein kryptografisches Rätsel, das vom Browser des Benutzers gelöst wird – vollständig im Hintergrund. Basierend auf technischen Signalen kann die Schwierigkeit des Rätsels skaliert werden, um mutmaßlichen Bots das Durchkommen zu erschweren. Friendly Captcha ist vollständig DSGVO-konform und erfordert keine vorherige Zustimmung des Benutzers zur Verwendung.
Wie erkennt Friendly Captcha, ob Sie ein Mensch sind?
Friendly Captcha gibt jedem Benutzer ein einzigartiges kryptografisches Rätsel, das vom Browser des Benutzers ohne manuelle Interaktion gelöst werden kann. Das Lösen des Rätsels dauert in der Regel nur ein paar Sekunden und kann im Hintergrund erfolgen, während der Benutzer noch mit einem anderen Teil der Website interagiert. Der Schwierigkeitsgrad des Rätsels und damit die Zeit, die zum Lösen des Rätsels benötigt wird, wird intelligent skaliert, um Spam und böswillige Benutzer abzuwehren.
Ist Friendly Captcha DSGVO-konform?
Wenn Sie den EU-Endpunkt von Friendly Captcha verwenden, verlassen die Daten Ihre Benutzer niemals die EU. Friendly Captcha ist transparent darüber, welche Informationen gesammelt und verarbeitet werden und verwendet keine Cookies zur Verfolgung von Benutzern. Indem Sie Ihre Benutzer über den Einsatz informieren, können Sie Friendly Captcha DSGVO-konform verwenden.
- Pro: Benutzerfreundlich, da der Benutzer keine Bilderrätsel von Hand lösen muss
- Pro: Barrierefrei für alle Benutzer
- Pro: Keine Cookies oder Tracking
- Pro: Die Daten verlassen zu keinem Zeitpunkt die EU
- Contra: Nur kostenlos für kleine Websites und Anwendungen
Fazit
reCaptcha und hCAPTCHA sind in ihrer Funktionsweise ähnlich. Während hCaptcha sich mehr auf Bildmarkierungsaufgaben konzentriert und daher in Bezug auf den Datenschutz etwas besser ist, sind sie beide für Menschen mit Einschränkungen nicht sonderlich zugänglich. Vor allem bei der kostenlosen Version von hCaptcha muss jeder Benutzer ein Bilderrätsel manuell lösen. Darüber hinaus sind reCAPTCHA und hCaptcha als US-Unternehmen keine Option für Websites in der EU.
Friendly Captcha nutzt einen anderen technologischen Ansatz und ist die benutzerfreundlichere und zugänglichere Option. Vor allem, wenn es Ihnen wichtig ist, dass die Daten Ihrer Nutzer geschützt bleiben und die EU nicht verlassen, ist Friendly Captcha die beste Wahl.
Wenn Sie Friendly Captcha selbst ausprobieren möchten, können Sie sich die Live-Demo ansehen. Weitere Informationen über Friendly Captcha finden Sie hier.
