Captchas vs. Datenschutz, Barrierefreiheit & UX: Wie wir damit umgehen
Von: Jonas Captchas nerven und die meisten Lösungen haben irgendwelche Probleme mit Datenschutz, Barrierefreiheit, UX oder allem. Wir geben einen Überblick und zeigen, worauf es uns bei der Auswahl ankommt und welche Kompromisse man eingehen muss.
Captchas gehören zu den Themen, bei denen Barrierefreiheit, Datenschutz und Nutzererlebnis regelmäßig in Konflikt geraten. Wir möchten einordnen, wie wir das Thema bei kulturbanause angehen und welche Anbieter wir uns angeschaut haben. Grundsätzlich versuchen wir in Projekten ganz ohne Captcha auszukommen. Wenn ein Captcha unvermeidbar ist, setzen wir auf eine datenschutzkonforme, barrierefreie und möglichst selbst gehostete Lösung. Allerdings sind wir mit keiner uns bekannten Lösung vollständig zufrieden, da sie alle – je nach Projektanforderungen – Nachteile haben.
Was sind Captchas?
Captcha steht für »Completely Automated Public Turing test to tell Computers and Humans Apart«. Es handelt sich um einen automatisierten Test, der erkennen soll, ob eine Eingabe von einem Menschen oder von einem Bot stammt. Captchas kommen typischerweise in Formularen, bei Login-Vorgängen oder bei Registrierungen zum Einsatz.
Arten von Captchas
Es gibt verschiedene Ansätze, die sich in der Art der Nutzerinteraktion und im Grad der Sichtbarkeit unterscheiden. Die relevantesten sind:
- Bildbasierte Captchas stellen visuelle Aufgaben, etwa das Auswählen bestimmter Motive wie Ampeln, Zebrastreifen oder Fahrzeuge. Sie sind weit verbreitet, aber problematisch in Bezug auf Barrierefreiheit. Zudem finden viele Menschen diese Art der Abfrage sehr nervig.
- Textbasierte Captchas zeigen verzerrte Buchstaben- oder Zahlenfolgen, die abgetippt werden müssen. Auch diese Variante ist für Menschen mit Sehbeeinträchtigungen oder kognitiven Einschränkungen schwer nutzbar.
- Rechenaufgaben fordern die Lösung einfacher mathematischer Aufgaben wie »Was ergibt 3 + 7?«. Sie sind leichter zugänglich als Bilder, aber ebenfalls nicht barrierefrei im engeren Sinne, da kognitive Tests problematisch sind.
- Checkbox-Captchas wie das bekannte »Ich bin kein Roboter« analysieren im Hintergrund das Nutzerverhalten und zeigen nur bei Verdacht eine zusätzliche Aufgabe. Die Checkbox selbst ist dabei nicht die eigentliche Prüfung – die Analyse findet vorher statt.
- Unsichtbare Captchas sind technisch den Checkbox-Captchas sehr ähnlich, arbeiten jedoch vollständig im Hintergrund. Sie analysieren das Verhalten oder den Kontext einer Anfrage, um einen Risk-Score zu berechnen. Die Verifizierung erfolgt automatisch, ohne dass Nutzerinnen und Nutzer aktiv etwas tun müssen.
- Proof-of-Work-Captchas verfolgen einen anderen Ansatz: Das Endgerät löst eine kryptografische Rechenaufgabe, die für einen einzelnen Aufruf trivial ist, bei massenhaften Bot-Anfragen aber schnell aufwändig wird. Da keine Nutzerdaten erhoben werden müssen, ist dieses Verfahren besonders datenschutzfreundlich. Allerdings hat dieser Ansatz auch Nachteile, denn die Berechnung erfolgt auf dem Endgerät der Nutzerinnen und Nutzer und benötigt Rechenleistung sowie Energie.
Anforderungen, Vorteile und Nachteile von Captchas
Bots verursachen Spam, erzeugen gefälschte Konten, überlasten Server und manipulieren Formulare. Captchas lösen in diesem Zusammenhang ein reales und häufig auftretendes Problem. Ein wirksamer Schutz für Formulare ist daher in vielen Projekten notwendig. Gleichzeitig bringen Captchas eine Reihe von Problemen mit sich, die in der Theorie häufig unterschätzt werden.
Barrierefreiheit
Seit dem Inkrafttreten des EAA und den Vorgaben der BITV 2.0 müssen öffentliche und zunehmend auch privatwirtschaftliche Webangebote barrierefrei sein. Die WCAG sind dabei der technische Maßstab. Bildbasierte und textbasierte Captchas stehen häufig im Konflikt mit diesen Anforderungen – insbesondere dann, wenn keine gleichwertige barrierefreie Alternative angeboten wird. Sie sind für blinde und sehbehinderte Menschen nicht bedienbar, für Menschen mit kognitiven Einschränkungen schwer verständlich und für Menschen mit motorischen Einschränkungen oft nicht zuverlässig zu lösen. Auch Audio-Alternativen sind in der Praxis häufig unzureichend – sie setzen gutes Hörvermögen voraus und sind in vielen Sprachen nicht verfügbar. Wer ein Captcha einsetzt, muss sicherstellen, dass es WCAG-konform ist oder eine gleichwertige Alternative bereitstellt. Andernfalls wird der Sicherheitsmechanismus zur Barriere.
Datenschutz
Viele Captcha-Lösungen erheben Daten, die weit über das hinausgehen, was für die Unterscheidung zwischen Mensch und Bot erforderlich ist. IP-Adressen, Browser-Fingerprints, Mausbewegungen, Cookies usw. Insbesondere bei den Angeboten großer US-Konzerne fließen diese Daten i.d.R. auf Server außerhalb der EU. Eine DSGVO-konforme Nutzung von US-basierten Diensten ist grundsätzlich möglich, der rechtliche und organisatorische Aufwand dafür ist allerdings erheblich, und ein Restrisiko bleibt. Wer diesen Aufwand vermeiden möchte, setzt auf Anbieter, bei denen die Daten die EU gar nicht erst verlassen. Das ist unser bevorzugter Ansatz.
Usability und UX
Alle visuellen Captchas werden gemeinhin als störend und nervig wahrgenommen. Zudem ist die Wirksamkeit klassischer Captchas auch nicht mehr das, was sie einmal war. Moderne Bots und KI-Modelle lösen bild- und textbasierte Captchas recht zuverlässig und schneller als viele Menschen. Neuere Captcha-Verfahren sind weniger anfällig – aber auch sie bieten keinen vollständigen Schutz.
Am liebsten gar kein Captcha
Bevor wir über einzelne Anbieter sprechen, wollen wir unsere grundsätzliche Haltung deutlich machen: Wir streben zunächst an, ganz ohne Captcha auskommen. In vielen Fällen ist das möglich, wenn man bereit ist, auf bestimmte Features zu verzichten oder alternative Schutzmaßnahmen zu kombinieren.
Wir setzen in den meisten Fällen auf eine Kombination aus mehreren Standard-Maßnahmen:
- Honeypot-Felder sind versteckte Formularfelder, die für Menschen unsichtbar sind, von Bots aber automatisch ausgefüllt werden. Wird ein solches Feld ausgefüllt, kann die Anfrage verworfen werden. Die meisten Formular-Plugin für WordPress bieten Honeypots an.
- Zeitprüfungen und serverseitige Validierungen helfen ebenfalls: Wenn ein Formular innerhalb von Millisekunden nach dem Seitenaufruf abgesendet wird, stammt die Eingabe mit hoher Wahrscheinlichkeit nicht von einem Menschen.
- Web Application Firewalls (WAF) können auf Infrastrukturebene das Angriffsvolumen zusätzlich reduzieren – das ersetzt kein Captcha, verringert aber den Druck, eines einsetzen zu müssen.
Und man kann sich auch grundsätzlich fragen, ob ein Formular wirklich notwendig ist. Nicht jede Kontaktmöglichkeit braucht ein Formular, zumal viele Menschen auch lieber eine E-Mail schicken. Erst wenn die o.g. Maßnahmen nicht ausreichen – z.B. bei Registrierungsformularen, Kommentarfunktionen oder häufig besuchten Kontaktseiten – denken wir über ein Captcha nach.
Captcha-Anbieter im Vergleich
Viele Captcha-Dienste bieten eine kostenlose Basisstufe an, die für kleine Websites mit geringem Traffic ausreicht. Für den professionellen Einsatz mit höherem Aufkommen oder erweiterten Funktionen fallen jedoch Kosten an – und das ist auch in Ordnung. Sicherheit und Datenschutz haben einen Wert, und ein zuverlässiger Schutzmechanismus darf etwas kosten.
Neben den reinen Kosten gibt es weitere Überlegungen, die in die Entscheidung einfließen sollten. Möchte man einen globalen Tech-Konzern unterstützen, der möglicherweise Nutzerdaten für eigene Zwecke verwendet? Wo werden die Daten verarbeitet – in der EU oder auf Servern in den USA? Ist die Lösung Open Source und damit transparent und überprüfbar? Kann man das System selbst hosten und behält so die volle Kontrolle? Diese Fragen sind für uns bei kulturbanause entscheidend, und wir geben uns große Mühe Projektpartnern unsere Sichtweise nachvollziehbar zu vermitteln.
Google reCAPTCHA
Google reCAPTCHA ist der am weitesten verbreitete Captcha-Dienst. Die aktuelle Version (v3) arbeitet unsichtbar im Hintergrund und liefert einen sogenannten Risk-Score, auf dessen Basis ihr selbst entscheidet, wie ihr mit einer Anfrage umgeht. Technisch funktioniert das ziemlich gut. Trotzdem setzen wir reCAPTCHA nur im Notfall ein.
Datenschutz problematisch
reCAPTCHA überträgt umfangreiche Daten an Google-Server. Google hat angekündigt, ab April 2026 die Rolle vom »Data Controller« zum »Data Processor« zu wechseln. Das klingt zunächst nach einer Verbesserung: Google verarbeitet die Daten dann formal nur noch nach Weisung der Website-Betreiber. In der Praxis bedeutet das allerdings, dass die rechtliche Verantwortung auf die Betreiber übergeht, während die Vertragsbedingungen weiterhin von Google festgelegt werden. Eine wirkliche Kontrolle hat man somit nicht.
Nicht Open Source
reCAPTCHA ist proprietär. Wie genau die Risikobewertung funktioniert, welche Daten erhoben und wie sie verarbeitet werden, ist nicht überprüfbar.
Überschaubare Kosten
reCAPTCHA Essentials bietet bis zu 10.000 Bewertungen pro Monat kostenlos an. Darüber hinaus fallen bei reCAPTCHA Premium 8 USD pro 1.000 Bewertungen an (bei über 10.000) bzw. 1 USD pro 1.000 Bewertungen ab 100.000. Die Enterprise-Stufe erfordert ein 12-Monats-Abo. Die aktuellen Preise findet ihr auf der reCAPTCHA-Preisseite.
Cloudflare Turnstile
Cloudflare Turnstile wird häufig als unkomplizierte Alternative zu reCAPTCHA genannt. Die Integration ist recht einfach, es gibt keine visuellen Rätsel, und es kostet in der Basisversion nichts. Enterprise-Funktionen gibt es allerdings nur gegen individuelle Preise.
US-Unternehmen mit globaler Datenverarbeitung
Cloudflare ist ein amerikanisches Unternehmen. Die Datenverarbeitung erfolgt über die globale Cloudflare-Infrastruktur, und eine exklusive Verarbeitungsoption innerhalb der EU ist uns nicht bekannt. Wie bei allen US-Anbietern ist eine DSGVO-konforme Nutzung zwar grundsätzlich möglich, aber mit erhöhtem rechtlichen Aufwand und Restrisiko verbunden. Selbst wenn Cloudflare angibt, keine Daten für Werbe-Retargeting zu nutzen, bleiben die Daten auf Servern eines US-Konzerns, der dem US-amerikanischen Recht unterliegt.
Nicht Open Source
Turnstile ist ein proprietärer Dienst. Der Code, der auf den Endgeräten eurer Nutzerinnen und Nutzer ausgeführt wird, ist nicht einsehbar. Was genau erfasst und übertragen wird, lässt sich von außen nicht vollständig nachvollziehen.
Barrierefreiheit unklar
Cloudflare dokumentiert nach unserem Kenntnisstand keine vollständige WCAG-Konformität für Turnstile. Zum Zeitpunkt unserer Recherche konnten wir keine offizielle Erklärung dazu finden. Bei Wettbewerbern(!) wird zudem auf Einschränkungen bei der Nutzung mit Screenreadern und assistiven Technologien hingewiesen. Wir haben das nicht selbst getestet, halten den Punkt aber für relevant genug, um ihn zu erwähnen.
hCaptcha
hCaptcha ist nach reCAPTCHA einer der bekanntesten Captcha-Dienste und positioniert sich ausdrücklich als datenschutzfreundliche und barrierefreie Alternative. Bei genauerem Hinsehen halten diese Versprechen einer kritischen Prüfung allerdings nur bedingt stand.
Kerngeschäft basiert auf KI-Training
hCaptcha setzt bevorzugt auf bildbasierte Rätsel, bei denen Nutzerinnen und Nutzer Objekte in Fotos identifizieren müssen. Im Hintergrund werden damit KI-Modelle trainiert. Ob das mit einer datenschutzfreundlichen Positionierung vereinbar ist, muss jeder für sich selbst entscheiden. In Enterprise-Lizenzen gibt es auch ein unsichtbares Verfahren.
DSGVO-Konformität mit Einschränkungen
hCaptcha bewirbt sich als DSGVO-konform und bietet ein Data Processing Agreement an. Formal ist eine datenschutzkonforme Nutzung damit grundsätzlich möglich. Allerdings bleibt, dass die Datenverarbeitung auf US-Servern erfolgt. Auch das beworbene »First-Party-Hosting«, bei dem Anfragen über eine Subdomain der eigenen Website laufen, ändert daran nichts, zumal dieses Feature nur im Enterprise-Tarif verfügbar ist. Wer »DSGVO-konform« als »Daten verlassen die EU nicht« versteht, wird hier nicht fündig.
Barrierefreiheit in Stufen
hCaptcha bietet zwei Alternativen zum Bild-Captcha: ein textbasiertes Rätsel und ein Third-Party-Cookie, für das sich Betroffene per E-Mail registrieren müssen. In der Enterprise-Variante gibt es darüber hinaus den bereits erwähnten unsichtbaren Modus. Die Verantwortung für eine barrierefreie Implementierung lagert hCaptcha dabei bewusst auf die Website-Betreiber aus. Für uns klingt das eher nach einem Workaround, aber nicht nach einer standardmäßig barrierefreien Lösung.
Nicht Open Source
Der Dienst ist proprietär, nicht selbst hostbar und verarbeitet Daten über externe Server.
Friendly Captcha
Friendly Captcha ist ein deutscher Anbieter, der einen deutlich datenschutzfreundlicheren Ansatz verfolgt als die US-basierten Alternativen. Die Lösung arbeitet unsichtbar im Hintergrund auf Basis von Proof-of-Work und erfordert keine Nutzerinteraktion.
Etwas Open Source, kein Self-Hosting
Das Widget-SDK ist öffentlich einsehbar. Der Verifizierungsdienst selbst ist allerdings proprietär und läuft über die Server von Friendly Captcha. Ohne Enterprise-Plan ist man dauerhaft auf die Infrastruktur des Anbieters angewiesen.
Barrierefreiheit stark
Friendly Captcha arbeitet standardmäßig unsichtbar. Damit bietet es eine sehr gute Ausgangslage für barrierefreien Einsatz. Friendly Captcha bewirbt auf der Accessibility-Seite u.a. WCAG 2.2 AA-Konformität. Eine unabhängige Zertifizierungsstelle wird nicht genannt. Für uns wiegt schwerer, dass wir aus eigener Projekterfahrung bestätigen können, dass Friendly Captcha eine BITV-Prüfung durch deutsche Behörden bestanden hat.
Datenschutz hat seinen Preis
Friendly Captcha erhebt laut eigener Datenschutzerklärung Verbindungs-, Umgebungs- und Interaktionsdaten deutlich sparsamer als die US-Anbieter. Dedizierte EU-Datenendpunkte gibt es erst ab dem Advanced-Plan für 200 Euro pro Monat. Die günstigeren Tarife nutzen globale Endpunkte, bei denen eine ausschließliche Verarbeitung in der EU nicht garantiert ist.
ALTCHA
ALTCHA ist die Lösung, die wir aktuell am häufigsten in Kundenprojekten einsetzen. Der Ansatz überzeugt uns in den Bereichen, die uns am wichtigsten sind: Datenschutz, Selbst-Hosting und Barrierefreiheit. Dass die Kernlösung Open Source ist, reduziert die Abhängigkeit von diesem einzelnen Anbieter.
Open Source und selbst gehostet
Das Widget und die Integrations-Bibliotheken sind unter MIT-Lizenz vollständig quelloffen. Die Basisversion mit Proof-of-Work-Verifizierung funktioniert ohne externe Abhängigkeiten und kann komplett auf der eigenen Infrastruktur betrieben werden. Das ist ein Vorteil, bedeutet aber auch, dass man Wartung, Updates und Sicherheit selbst verantworten muss. Für erweiterte Funktionen gibt es ALTCHA Sentinel, ein kostenpflichtiges und ebenfalls selbst gehostetes Produkt.
Datenschutzkonform und barrierefrei
Im Standardmodus erhebt ALTCHA keine Cookies, kein Tracking, kein Fingerprinting und überträgt keine Daten an Dritte. Auch bei der Barrierefreiheit überzeugt der Ansatz: Proof-of-Work arbeitet unsichtbar im Hintergrund und bietet wie bei Friendly Captcha somit eine sehr gute Ausgangssituation. ALTCHA bewirbt WCAG 2.2 AA-Konformität, eine unabhängige Zertifizierung wird ebenfalls nicht genannt. Für Risikofälle bietet Sentinel einen Code-Challenge-Modus mit Audio-Option. Dieses Feature ist somit allerdings kostenpflichtig.
Kostenlos bis kostenintensiv
Das Open-Source-Widget ist kostenlos. Das nicht über den offiziellen Plugin-Store erhältliche WordPress-Plugin (v2) beinhaltet allerdings auch Premium-Tarife ab 99 Euro pro Jahr für eine Website, Agenturen zahlen 999 Euro pro Jahr für bis zu 50 Sites. ALTCHA Sentinel startet bei 99 Euro pro Monat und skaliert auf bis zu 799 Euro pro Monat in der Enterprise-Version. Die Grenze zwischen »kostenlos« und »kostenpflichtig« ist damit weniger klar, als es auf den ersten Blick wirkt.
Probleme in der Praxis
Die Anbieter, die Barrierefreiheit, Datenschutz und Transparenz am besten lösen, können aufgrund des unsichtbaren Prüf-Verfahrens für Probleme bei der Implementierung sorgen. Zwar gibt es für alle Anbieter WordPress-Plugins oder Erweiterungen für Formulare wie Gravity Forms, im Einzelfall stolpert man jedoch immer wieder über Details.
Ein bekanntes Problem betrifft mehrstufige Formulare: Die kryptografische Challenge wird beim Laden des Formulars einmalig erzeugt und hat eine begrenzte Gültigkeitsdauer. Wenn Personen für das Ausfüllen zu lange brauchen oder die Seite zwischendurch vollständig oder teilweise neu geladen wird, kann die Challenge ablaufen oder ungültig werden. Das Formular lässt sich dann nicht absenden, obwohl die Person kein Bot ist.
Im Zusammenhang mit einstufigen Formularen ist uns das Problem nicht untergekommen.
Das Thema ist in Bewegung
Anbieter ändern ihre Preisstrukturen, Datenschutzbedingungen werden angepasst, neue Lösungen kommen auf den Markt.
Wir behalten das Thema im Blick und passen unsere Einschätzung an, wenn sich die Ausgangslage ändert. ALTCHA ist zum jetzigen Zeitpunkt die Lösung, die unsere Anforderungen am ehesten erfüllt – auch wenn wir im Projektalltag mitunter auf Einschränkungen stoßen. Am besten ist daher immer noch: kein Captcha.
