Was ist ein CAPTCHA?
Die Abkürzung CAPTCHA steht für Completely Automated Public Turing test to tell Computers and Humans Apart. Dabei handelt es sich um einen automatisierten Test, der feststellen soll, ob eine Eingabe von einem Menschen oder einem Computerprogramm stammt.
CAPTCHAs werden häufig eingesetzt, um Formulare vor automatisierten Angriffen (z. B. Spam oder Bot-Anfragen) zu schützen. Ein klassisches Beispiel sind verzerrte Buchstaben- oder Zahlenfolgen, die in einem Bild dargestellt werden. Diese müssen vor dem Absenden eines Formulars korrekt eingegeben werden.
CAPTCHAs vs. Barrierefreiheit und Datenschutz
Trotz ihrer Schutzfunktion bringen CAPTCHAs auch erhebliche Herausforderungen mit sich – insbesondere im Hinblick auf Barrierefreiheit und Datenschutz.
Barrierefreiheit
Viele gängige CAPTCHA-Formate sind für Menschen mit Behinderungen schwer oder gar nicht nutzbar:
- Visuelle Tests sind für Screenreader nicht erfassbar.
- Audio-Optionen enthalten häufig Störgeräusche oder undeutliche Sprache, was sie für Menschen mit Hör- oder kognitiven Einschränkungen unzugänglich macht.
- Interaktive Elemente (z. B. das Erkennen von Objekten in Bildern oder das Ankreuzen kleiner Kästchen) erschweren die Bedienung bei motorischen Einschränkungen.
Diese Probleme stehen im Widerspruch zu den Anforderungen der Web Content Accessibility Guidelines (WCAG), die barrierefreie digitale Angebote vorschreiben.
Datenschutz
Ein weiteres Problem betrifft den Umgang mit personenbezogenen Daten. Einige CAPTCHA-Dienste – insbesondere reCAPTCHA von Google – werten neben der eigentlichen Benutzerinteraktion auch IP-Adressen, Mausbewegungen, Verweildauer, Browserdaten und weitere Verhaltensmerkmale aus. Diese Daten können an Drittanbieter übermittelt und dort weiterverarbeitet werden.
Gerade im europäischen Raum steht diese Praxis häufig in der Kritik, da sie nicht mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) vereinbar ist, insbesondere was Transparenz, Datenminimierung und Zweckbindung betrifft.
Es gibt Dienste wie z. B. hCaptcha mit einem stärker datenschutzorientierten Ansatz oder Open-Source-Lösungen wie Friendly Captcha, die keine persönlichen Daten erheben und DSGVO-konform einsetzbar sind.