Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Altcha

Was macht ALTCHA?

ALTCHA ist eine quelloffene, datenschutzfreundliche Captcha Alternative von BAU.PLUS aus der Slowakei (EU). Sie schützt Formulare vor Spam und Bots durch eine Proof of Work Aufgabe, die im Browser gelöst wird, ohne Cookies, ohne Verhaltensanalyse und ohne Fingerprinting in der Standardkonfiguration. ALTCHA kann vollständig selbst gehostet oder über den EU Endpunkt genutzt werden und stellt damit eine der saubersten DSGVO konformen Voreinstellungen am Markt dar.

Was ALTCHA ist und was es leistet

ALTCHA ist eine quelloffene Captcha Alternative, die von Daniel Regeci und dem Team von BAU.PLUS in der Slowakei entwickelt wird. Statt auf Verhaltensanalyse, Fingerprinting oder Bildaufgaben zu setzen, lässt sie im Browser des Besuchers eine Proof of Work Aufgabe lokal berechnen, bevor das Formular abgeschickt wird. Der Server prüft anschließend das signierte Token und akzeptiert oder verwirft die Übermittlung, wodurch der Großteil der Spambots zuverlässig blockiert wird, ohne den menschlichen Nutzer jemals zu profilieren.

Von ALTCHA verarbeitete Daten und Cookies

In der Standardkonfiguration setzt ALTCHA keine Cookies, betreibt kein Fingerprinting und legt keine Verhaltensprofile an. Verarbeitet werden ausschließlich die IP Adresse des Besuchers (für jede HTTP Anfrage an den Verifizierungsendpunkt unvermeidlich), die Proof of Work Aufgabe und das kurzlebige signierte Token, das der Browser zurücksendet. Bei Nutzung der gehosteten Variante auf eu.altcha.org oder us.altcha.org kann ein temporärer altcha_session Wert serverseitig zur Ratenbegrenzung vorgehalten werden, jedoch werden keine persistierenden clientseitigen Kennungen auf dem Gerät abgelegt.

DSGVO und ePrivacy Implikationen

Da ALTCHA lediglich lokale Berechnungen im Browser und einen einzigen signierten Austausch mit dem Verifizierungsendpunkt durchführt, fällt es klar unter die Ausnahme der unbedingt erforderlichen Verarbeitung nach Art. 5(3) ePrivacy und § 25 Abs. 2 TDDDG. Es findet keine Profilbildung im Sinne von Art. 22 DSGVO statt, es werden keine besonderen Kategorien personenbezogener Daten verarbeitet, und bei Nutzung des EU Endpunkts oder einer selbst gehosteten Instanz erfolgt keine Übermittlung in Drittländer. Die verbleibenden DSGVO Pflichten beschränken sich auf Transparenz in der Datenschutzerklärung und eine kurze Interessenabwägung.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligungserfordernisse und Rechtsgrundlage

In den meisten Einsatzszenarien ist keine vorherige Einwilligung erforderlich. ALTCHA kann unter der ePrivacy Ausnahme geladen werden, da es zum Schutz der vom Nutzer angeforderten Formularübermittlung gegen Missbrauch zwingend erforderlich ist, und die Verarbeitung stützt sich auf Art. 6(1)(f) DSGVO (berechtigtes Interesse an der Betrugsabwehr) oder Art. 6(1)(b) DSGVO (Erfüllung des durch das Formular repräsentierten Vertrags). Es sollte in der Kategorie unbedingt erforderlich des Cookie Banners aufgeführt und in der Datenschutzerklärung kurz erläutert werden. Einwilligung wird nur relevant, wenn der Einsatz mit optionalen Analyse oder Risikobewertungsfunktionen kombiniert wird, die über den reinen Spamschutz hinausgehen.

Drittlandübermittlungen und praktische Schritte

Beim Selbsthosting oder bei Nutzung des Endpunkts eu.altcha.org verlassen keine personenbezogenen Daten die EU, womit die Drittlandproblematik aus Kapitel V DSGVO vollständig entfällt. Wählt der Betreiber us.altcha.org, stützt sich die Übermittlung auf Standardvertragsklauseln und ein Transfer Impact Assessment, was in Datenschutzerklärung und Verarbeitungsverzeichnis zu dokumentieren ist. Praktische Schritte: LIA dokumentieren, EU Variante oder Selbsthosting bevorzugen, ALTCHA in der Datenschutzerklärung unter Sicherheit ausweisen, im Cookie Banner als unbedingt erforderlich kennzeichnen und die Konfiguration jährlich überprüfen, um sicherzustellen, dass keine optionalen Tracking Funktionen aktiviert wurden.

GDPR consent category

Essenziell

Websites using ALTCHA must obtain user consent under GDPR regulations.

Legal basisLegitimate interest under Art. 6(1)(f) GDPR for fraud and abuse prevention, with contract performance under Art. 6(1)(b) as a secondary basis where the captcha is required to submit a form requested by the user. The ePrivacy strictly necessary exception in Art. 5(3) typically covers the local JavaScript execution.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (2002/58/EC), German TDDDG, Slovak Act 452/2021 on electronic communications

DPIA considerations

Eine vollständige Datenschutz Folgenabschätzung ist für ALTCHA in der Standardkonfiguration in der Regel nicht erforderlich: es werden keine Cookies gesetzt, kein Fingerprinting und keine Verhaltensprofile erstellt, und die Verarbeitung beschränkt sich auf die temporäre IP Adresse sowie ein kurzlebiges Proof of Work Token zur Bestätigung legitimer Formulareinreichungen. Eine kurze Interessenabwägung (LIA) wird empfohlen, in der Betrugsabwehr als Zweck, das mildere Mittel gegenüber reCAPTCHA oder hCaptcha und das Fehlen jeglicher Profilbildung dokumentiert werden. Bei Nutzung des US Endpunkts ist ein Transfer Impact Assessment mit Standardvertragsklauseln zu dokumentieren.

Sample consent text

ALTCHA wird auf dieser Website als unbedingt erforderliche Sicherheitsmaßnahme zum Schutz unserer Formulare vor Spam und automatisiertem Missbrauch eingesetzt. Die Proof of Work Aufgabe läuft lokal in Ihrem Browser, setzt keine Cookies und erstellt keine Profile. Auf dieser Grundlage wird sie ohne vorherige Einwilligung gemäß Art. 5(3) ePrivacy, § 25 Abs. 2 TDDDG und Art. 6(1)(f) DSGVO geladen. Details finden Sie in unserer Datenschutzerklärung.

Technical details

Tracking methodJavaScript widget that solves a proof of work challenge in the browser and returns a signed token, with no behavioural tracking, fingerprinting or cookies set by default

Server locationEuropean Union (eu.altcha.org by default), optional US endpoint, or fully self hosted on the publisher infrastructure

Cookieless tracking availableYes

Third-party domains contacted

altcha.orgeu.altcha.orgus.altcha.orgcdn.altcha.orgapi.altcha.orgdocs.altcha.org

Cookies placed

Name	Type	Duration	Purpose
altcha_session	http_cookie	session	Optional short lived server side identifier used only by the hosted variant to apply rate limiting on the verification endpoint. Not set on the visitor device.
altcha_token	first_party_storage	request	Signed proof of work token returned by the widget and submitted with the form. Held only in the form payload, not persisted in cookies or localStorage by default.
altcha_challenge	first_party_storage	request	Challenge payload generated by the server and consumed by the widget during the single page lifecycle. Discarded as soon as the proof of work is solved.
altcha_rate_limit	http_cookie	session	Optional anti abuse counter used by self hosted deployments that opt in to per session rate limiting. Off by default.

ALTCHA ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies oder Kennungen setzt ALTCHA?

In der Standardkonfiguration keine. ALTCHA führt eine Proof of Work Aufgabe im Browser aus und sendet ein signiertes Token zurück; es werden keine Cookies und keine clientseitigen Kennungen gespeichert. Bei der gehosteten Variante kann serverseitig ein kurzlebiger altcha_session Eintrag nur zur Ratenbegrenzung vorgehalten werden.

Ist eine Einwilligung vor dem Laden von ALTCHA erforderlich?

In den meisten Fällen nein. ALTCHA schützt die vom Nutzer angeforderte Formularübermittlung und gilt damit als unbedingt erforderlich nach Art. 5(3) ePrivacy und § 25 Abs. 2 TDDDG; es kann ohne vorherige Einwilligung geladen werden. Dokumentieren Sie die Interessenabwägung und nennen Sie ALTCHA im Cookie Banner als unbedingt erforderlich.

Welche Rechtsgrundlage gilt für die Verarbeitung mit ALTCHA?

Primär Art. 6(1)(f) DSGVO (berechtigtes Interesse an der Betrugs und Missbrauchsabwehr); alternativ Art. 6(1)(b) DSGVO (Vertragserfüllung), wenn das Captcha für die Bereitstellung des vom Nutzer angeforderten Dienstes erforderlich ist.

Übermittelt ALTCHA Daten in Drittländer?

Nein bei Selbsthosting oder Nutzung des Endpunkts eu.altcha.org, der in der EU betrieben wird. Übermittlungen in die USA finden nur statt, wenn Sie ausdrücklich us.altcha.org wählen; in diesem Fall sind Standardvertragsklauseln und ein Transfer Impact Assessment erforderlich.

Ist eine DSFA für ALTCHA erforderlich?

In der Regel nicht. ALTCHA profiliert keine Nutzer, setzt keine Cookies und betreibt kein Fingerprinting; das Risiko ist gering. Eine kurze Interessenabwägung genügt meist. Eine DSFA wird nur relevant, wenn Sie ALTCHA mit optionalen Analyse oder Risikobewertungsfunktionen kombinieren.

Wie setze ich ALTCHA datenschutzkonform ein?

Bevorzugen Sie die Selbsthosting Variante oder den Endpunkt eu.altcha.org, dokumentieren Sie die LIA, weisen Sie ALTCHA in der Datenschutzerklärung unter Sicherheit aus, kennzeichnen Sie es im Cookie Banner als unbedingt erforderlich und prüfen Sie die Konfiguration jährlich auf optional aktivierte Tracking Funktionen.

Gibt es Alternativen zu ALTCHA?

Ja. Friendly Captcha ist ein sehr ähnliches EU Pendant. mCaptcha ist eine weitere quelloffene Proof of Work Lösung. hCaptcha ist datenschutzorientiert, aber US basiert; Cloudflare Turnstile ist weit verbreitet, jedoch auf US Infrastruktur; Google reCAPTCHA ist die invasivste Option.

Wie aktualisiere ich die Datenschutzerklärung für ALTCHA?

Ergänzen Sie einen kurzen Abschnitt, der erläutert, dass ALTCHA Formulare gegen Spam und Missbrauch schützt, lokal eine Proof of Work Aufgabe ausführt, keine Cookies setzt und keine Profile bildet, und dass die Verarbeitung auf Art. 6(1)(f) DSGVO gestützt wird.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note