Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Vaptcha ist ein chinesischer CAPTCHA Dienst zur Bot Abwehr. Das JavaScript Widget setzt Cookies, analysiert Mausbewegungen und Verhaltensmuster und überträgt IP Adresse und Interaktionsdaten an Server in China. Aufgrund des Drittlandtransfers in ein Land ohne Angemessenheitsbeschluss und ohne SVK Garantien wird Vaptcha von europäischen Datenschutzbehörden nicht empfohlen.
Vaptcha ist ein chinesischer CAPTCHA Anbieter, der eine Alternative zu reCAPTCHA und hCaptcha bietet. Das JavaScript Widget kombiniert verhaltensbasierte Bot Erkennung mit klassischen Bilderrätseln. Verifikation und Auswertung erfolgen serverseitig auf Vaptcha Infrastruktur in China.
Vaptcha setzt First Party und teilweise Third Party Cookies (vaptcha_session, vaptcha_visitor) zur Wiedererkennung. Verarbeitet werden Mausbewegungen, Klick und Tippmuster, Bildschirmgröße, User Agent, IP Adresse und Geräteinformationen. Diese Verhaltensdaten werden an chinesische Server zur Auswertung übertragen.
China hat keinen Angemessenheitsbeschluss der EU Kommission. Chinesische Sicherheitsgesetze (z. B. National Intelligence Law) verpflichten Anbieter zur Zusammenarbeit mit Behörden, was die Anforderungen der Schrems II Rechtsprechung kaum erfüllbar macht. Berechtigtes Interesse für Bot Abwehr (Art. 6 Abs. 1 lit. f DSGVO) ist theoretisch möglich, aber die Übermittlung erfordert dennoch Standardvertragsklauseln plus zusätzliche Garantien (oft schwer praktisch realisierbar).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DSGVO ist die rechtlich verlässlichste Grundlage. Der Nutzer muss explizit über China als Datenstandort und das Risiko des Zugriffs durch chinesische Behörden informiert werden, bevor er einwilligt. Das Widget muss bis zur Einwilligung blockiert werden.
Aufgrund der hohen Compliance Risiken empfehlen europäische Datenschutzbehörden den Wechsel zu EU oder Datenschutz freundlichen Anbietern: Cloudflare Turnstile, Friendly Captcha (Deutschland), MTCaptcha (USA mit EU Hosting), Cap.js und HCaptcha mit EU Region.
Websites using Vaptcha must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird dringend empfohlen, da Vaptcha einen Drittlandtransfer nach China ohne Angemessenheitsbeschluss darstellt und dabei IP Adressen und Verhaltensdaten verarbeitet.
Sample consent text
Wir verwenden Vaptcha zur Abwehr automatisierter Anfragen. Vaptcha setzt Cookies, analysiert Ihr Verhalten und übermittelt diese Daten an Server in China. Mit Klick auf Akzeptieren willigen Sie in das Setzen dieser Cookies und die Datenübermittlung in ein Drittland mit unbestimmtem Schutzniveau ein.
Third-party domains contacted
www.vaptcha.comapi.vaptcha.comcdn.vaptcha.comv.vaptcha.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| vaptcha_token | security | Session | Stores the CAPTCHA verification token after the user completes the challenge, used for server side validation. |
| vaptcha_vid | security | 24 hours | Assigns a visitor identifier for behavioral analysis to distinguish humans from bots. |
| vaptcha_risk_score | security | Session | Stores the computed risk score from client side behavioral analysis including mouse movements and interaction patterns. |
| vaptcha_lang | functionality | 1 year | Remembers the selected language preference for the CAPTCHA widget interface. |
Vaptcha ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Vaptcha setzt First Party Cookies (vaptcha_session, vaptcha_visitor) und je nach Konfiguration zusätzliche Third Party Cookies zur Bot Erkennung. Die Speicherdauer reicht von Session bis zu mehreren Monaten.
Ja. Aufgrund nicht zwingend erforderlicher Cookies und des Drittlandtransfers nach China ist eine ausdrückliche, informierte Einwilligung nach Art. 5 Abs. 3 ePrivacy, Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DSGVO erforderlich.
In der Praxis Einwilligung (Art. 6 Abs. 1 lit. a) plus Art. 49 Abs. 1 lit. a DSGVO für den Drittlandtransfer. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) ist für CAPTCHA prinzipiell denkbar, ist aber bei einem Anbieter aus China kaum verteidigbar.
Ja. Daten werden an Server in China übertragen. China hat keinen Angemessenheitsbeschluss und chinesische Sicherheitsgesetze erschweren Schrems II konforme Garantien.
Dringend empfohlen. Drittlandtransfer in ein Hochrisikoland und systematische Erhebung von IP und Verhaltensdaten sind klassische DSFA Auslöser nach Art. 35 DSGVO.
Realistisch nur mit ausdrücklicher Einwilligung, Standardvertragsklauseln, Transfer Impact Assessment und engen Speicherfristen. Aufgrund der Risiken empfehlen die meisten europäischen Datenschutzbehörden den Wechsel zu EU CAPTCHA Anbietern.
Ja: Cloudflare Turnstile (USA mit minimaler Datenerhebung), Friendly Captcha (Deutschland, EU Hosting), MTCaptcha (USA mit EU Hosting Option), Cap.js und HCaptcha mit EU Region.
Listen Sie pro Cookie Anbieter, Name, Zweck, Speicherdauer und Rechtsgrundlage. Erläutern Sie zusätzlich den Drittlandtransfer nach China, das fehlende Schutzniveau, die Garantien (SVK + TIA) und eine einfache Widerrufsmöglichkeit.