Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

hCaptcha

Was macht hCaptcha?

hCaptcha ist ein datenschutzfreundlicher Captcha Dienst, der Bots erkennt, ohne wie reCAPTCHA umfangreiche Nutzerprofile aufzubauen.

Was ist hCaptcha?

hCaptcha ist ein Captcha Dienst des US Anbieters Intuition Machines, Inc., der Bots und automatisierten Missbrauch auf Websites erkennt. hCaptcha positioniert sich als datenschutzfreundliche Alternative zu Google reCAPTCHA und wird in vielen europäischen Webanwendungen eingesetzt, um Logins, Registrierungsformulare und Kontaktformulare zu schützen. Cloudflare nutzt hCaptcha als Standard für Turnstile Vorgänger und Challenge Pages.

Welche Daten erhebt hCaptcha?

hCaptcha setzt typischerweise das Cookie hcaptcha sowie das Cookie hmt_id (Enterprise) und erhebt IP Adresse, User Agent, Browsersprache, installierte Plugins, Bildschirmgröße, Mausbewegungen, Tastatureingaben und Tap Events. Diese Signale werden an Server in den USA gesendet und mit Risikomodellen ausgewertet. Im Vergleich zu reCAPTCHA verzichtet hCaptcha auf das Tracking über mehrere Websites hinweg und bietet ein Privacy Pass kompatibles Verfahren.

Einwilligung nach DSGVO und TDDDG

Da hCaptcha Cookies setzt und auf den Endgeräten der Nutzer Informationen ausliest, fällt die Verwendung grundsätzlich unter Paragraf 25 Absatz 1 TDDDG und erfordert eine vorherige Einwilligung. Eine Ausnahme nach Paragraf 25 Absatz 2 TDDDG (technisch erforderlich) kann beim Login oder bei sicherheitsrelevanten Formularen greifen, sofern hCaptcha nur dort und nicht zu Tracking Zwecken eingesetzt wird. Die Aufsichtsbehörden bewerten dies streng, deshalb empfiehlt sich der Einsatz hinter einem Consent Banner, sobald hCaptcha auf jeder Seite geladen wird.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübermittlung in die USA

Intuition Machines, Inc. ist ein US Unternehmen mit Sitz in Delaware. Ein Drittlandtransfer findet statt, sobald der Endnutzer mit dem hCaptcha Widget interagiert. Der Anbieter nimmt am EU US Data Privacy Framework teil und stellt zusätzlich Standardvertragsklauseln im DPA bereit. Verantwortliche sollten eine Transfer Folgenabschätzung dokumentieren und die hCaptcha EU Endpunkte nutzen, wenn diese verfügbar sind.

Praktische Compliance Schritte

Laden Sie das hCaptcha Skript erst nach Einwilligung des Nutzers, sofern hCaptcha auf jeder Seite eingebunden ist. Beim Einsatz nur am Login oder bei Formularen kann das berechtigte Interesse als Rechtsgrundlage dienen, sollte aber dokumentiert werden. Schließen Sie ein Data Processing Addendum mit Intuition Machines ab, ergänzen Sie die Datenschutzerklärung um die Datenkategorien und Drittlandgarantien und prüfen Sie die Enterprise Variante, die noch weniger Signale auswertet.

GDPR consent category

Essenziell

Websites using hCaptcha must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for bot prevention and security. hCaptcha is designed to minimise personal data collection. Unlike Google reCAPTCHA, hCaptcha does not share challenge data with advertising platforms. The privacy-first design supports a legitimate interest basis without consent.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, SCCs for US transfers. hCaptcha provides a GDPR-compliant DPA and is designed as a privacy-respecting reCAPTCHA alternative.

DPIA considerations

hCaptcha verarbeitet IP Adresse, Browser Fingerprint Signale und Mausbewegungen zur Bot Erkennung. Eine DSFA ist üblicherweise nicht erforderlich, sofern hCaptcha nur am Login oder bei Formularen eingesetzt wird. Berücksichtigen Sie den Drittlandtransfer in die USA und prüfen Sie, ob Sie das Enterprise Modell mit eingeschränkter Datenerhebung nutzen können.

Sample consent text

Diese Website verwendet hCaptcha von Intuition Machines, Inc. (USA), um Spam und Missbrauch zu verhindern. Dabei werden Ihre IP Adresse und technische Browser Daten an hCaptcha übertragen. Mehr Informationen finden Sie in unserer Datenschutzerklärung. Wenn Sie nicht einwilligen, klicken Sie bitte auf Ablehnen.

Technical details

Tracking methodCAPTCHA challenge widget, privacy-focused bot detection, no Google data sharing, first-party data processing, proof of work challenges

Server locationUnited States (Intuition Machines, Inc. / hCaptcha infrastructure)

Cookieless tracking availableYes

Data transferred outside the EUhCaptcha is operated by Intuition Machines Inc. (US). Challenge data and risk signals are processed on US infrastructure. EU personal data transfers require Standard Contractual Clauses. However, hCaptcha is explicitly designed to minimise personal data collection and provides a GDPR-compliant DPA.

Third-party domains contacted

hcaptcha.comnewassets.hcaptcha.com

Cookies placed

Name	Type	Duration	Purpose
hmt_id	session	Session	hCaptcha session identifier maintaining challenge state during bot verification — minimal data footprint

hCaptcha ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt hCaptcha?

hCaptcha setzt das Cookie hcaptcha sowie in der Enterprise Variante hmt_id und weitere kurzlebige Token. Sie speichern den Status der Bot Erkennung und schützen vor automatisierten Angriffen. Die Lebensdauer beträgt typischerweise eine Sitzung bis zu 24 Stunden.

Ist eine Einwilligung für hCaptcha erforderlich?

Nach Paragraf 25 TDDDG ist grundsätzlich eine Einwilligung erforderlich, weil hCaptcha Cookies setzt und Geräteinformationen ausliest. Bei strikt sicherheitsrelevantem Einsatz (Login, Konto Registrierung) lässt sich die Ausnahme der technisch notwendigen Verarbeitung diskutieren, aber die Datenschutzbehörden legen den Begriff eng aus.

Welche Rechtsgrundlage greift?

Bei zustimmungsbasiertem Einsatz ist Artikel 6 Absatz 1 Buchstabe a DSGVO einschlägig. Wird hCaptcha ausschließlich zur Sicherung kritischer Funktionen verwendet, kann das berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO greifen, sofern eine Interessenabwägung dokumentiert ist.

Werden Daten in die USA übermittelt?

Ja. Intuition Machines, Inc. verarbeitet die Daten in den USA. Der Anbieter ist unter dem EU US Data Privacy Framework zertifiziert und stellt Standardvertragsklauseln bereit. Sie sollten eine Transfer Folgenabschätzung dokumentieren.

Brauche ich eine Datenschutz Folgenabschätzung?

In der Regel ist keine DSFA erforderlich, weil hCaptcha kein systematisches Profiling ermöglicht. Setzen Sie hCaptcha jedoch in Bereichen mit besonders schutzbedürftigen Personen ein (Kinder, Patienten), prüfen Sie Risiken nach Artikel 35 DSGVO sorgfältig.

Wie integriere ich hCaptcha DSGVO konform?

Binden Sie hCaptcha nicht global ein, sondern nur dort, wo es benötigt wird. Verwenden Sie ein Consent Banner, dokumentieren Sie die Wahl der Rechtsgrundlage, schließen Sie ein DPA ab und verlinken Sie auf die Datenschutzerklärung von hCaptcha in Ihrem eigenen Dokument.

Welche Alternativen gibt es?

Alternativen sind Cloudflare Turnstile (privacy first, EU Hosting möglich), Friendly Captcha (Anbieter aus Deutschland), MTCaptcha oder selbst gehostete Lösungen wie Altcha. Friendly Captcha gilt als besonders DSGVO freundlich, da es ohne Cookies arbeitet.

Wie aktualisiere ich die Datenschutzerklärung?

Nennen Sie hCaptcha namentlich, beschreiben Sie die verarbeiteten Datenkategorien (IP, Browserdaten, Mausbewegungen), den Zweck (Bot Schutz), den Anbieter (Intuition Machines, Inc., USA), die Rechtsgrundlage und die Drittlandtransfergarantien.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note