Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Yandex SmartCaptcha ist ein Anti Bot Dienst der Marke Yandex Cloud, betrieben von Yandex LLC mit Sitz in Moskau und Rechenzentren in der Russischen Föderation. Er unterscheidet Menschen von Bots durch unsichtbare Verhaltensanalyse, Browser Fingerprinting und bei Bedarf interaktive Herausforderungen. Da Yandex die Daten in Russland verarbeitet, einem Land ohne DSGVO Angemessenheitsbeschluss, löst die Einbettung von SmartCaptcha auf einer europäischen Website Pflichten nach Kapitel V aus, erfordert eine informierte Einwilligung und wird von EU Aufsichtsbehörden zugunsten europäischer Alternativen abgeraten.
Yandex SmartCaptcha ist ein Anti Bot Dienst der Yandex LLC, eines russischen Unternehmens mit Hauptsitz in Moskau, als Teil der Produktfamilie Yandex Cloud. Er schützt Formulare, Anmeldeseiten und APIs vor automatisiertem Missbrauch, indem er unsichtbares Verhaltensscoring mit adaptiven interaktiven Herausforderungen (Bildraster, Schieber) kombiniert, die nur verdächtigen Sitzungen angezeigt werden. Der Dienst unterliegt den Yandex Cloud Bedingungen nach russischem Recht und ist auf russischen Verbraucherwebsites weit verbreitet. Sein Einsatz auf einer europäischen Website muss sorgfältig begründet werden.
SmartCaptcha erfasst IP Adresse, User Agent, Bildschirm und Zeitzoneninformationen, Maus und Tastatur Bewegungsmuster, Touch Ereignisse, Fingerprinting Signale (Canvas, WebGL, Audio Kontext, installierte Schriftarten) und die Referrer URL. Es setzt kurzlebige Cookies auf den Domains smartcaptcha.yandexcloud.net und captcha.yandex.ru und speichert Tokens im Local Storage, um geprüfte Sitzungen zu merken. Die Challenge wird in einem sandboxed iframe von Yandex Servern geladen. Jede Bewertung wird an die Yandex Infrastruktur in Russland gesendet und liefert ein binäres Urteil und einen Vertrauenswert.
Verhaltenssignale und Cookies fallen klar unter Art. 5(3) ePrivacy Richtlinie und unter § 25 TDDDG in Deutschland, sodass eine Einwilligung erforderlich ist. Verantwortliche argumentieren teils, Bot Schutz sei unbedingt erforderlich, doch EDSA und Aufsichtsbehörden akzeptieren diese Einstufung nur bei echten First Party Captchas ohne Profilbildung. Yandex erhebt Fingerprinting Daten und betreibt den Dienst außerhalb der EU, daher greift die Ausnahme nicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Empfohlene Rechtsgrundlage ist die ausdrückliche Einwilligung nach Art. 6(1)(a) DSGVO in Verbindung mit Art. 5(3) ePrivacy. Das Challenge Skript darf erst nach Zustimmung zur Sicherheits oder Bot Schutz Kategorie im Consent Banner geladen werden, und ein alternativer Verifizierungspfad (E Mail Link, einfache Rechenaufgabe, EU Captcha) muss für Ablehnende bereitstehen. Das berechtigte Interesse nach Art. 6(1)(f) ist hier zweifelhaft, da die Notwendigkeitsprüfung scheitert, sobald hCaptcha, Cloudflare Turnstile oder Friendly Captcha gleichwertigen Schutz bieten ohne Drittstaatentransfer.
Russland ist von keinem Angemessenheitsbeschluss der Europäischen Kommission erfasst. Übermittlungen erfordern daher ein Instrument nach Art. 46 DSGVO, in der Praxis Standardvertragsklauseln. Nach Schrems II (EuGH C 311/18) ist ein Transfer Impact Assessment Pflicht und muss das russische Föderationsgesetz 374 FZ (Jarowaja Gesetz), das SORM Überwachungsregime und die weitreichenden Zugriffsbefugnisse des FSB berücksichtigen. Pseudonymisierung und Ende zu Ende Verschlüsselung sind bei einem Captcha kaum umsetzbar. Die EU Sanktionen nach Verordnung 833/2014 können zudem die Geschäftsbeziehung mit russischen Anbietern einschränken.
Führen Sie eine vollständige DSFA durch, bewerten Sie EU Alternativen (hCaptcha in Irland, Cloudflare Turnstile unter SCC und EU US Data Privacy Framework, Friendly Captcha in Deutschland) und prüfen Sie das Sanktionsrisiko. Ist SmartCaptcha unverzichtbar, schließen Sie das Yandex Cloud SCC Addendum, dokumentieren Sie das Transfer Impact Assessment, beschränken Sie die Challenge auf risikoreiche Endpunkte, blockieren Sie das Skript hinter einem granularen Consent Banner und aktualisieren Sie Datenschutzerklärung und Verzeichnis. Beobachten Sie Entscheidungen von EDSA, DSK und nationalen Aufsichtsbehörden zu russischen Auftragsverarbeitern und planen Sie eine Migration.
Websites using Yandex SmartCaptcha must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung nach Art. 35 DSGVO ist dringend empfohlen, weil Yandex SmartCaptcha (i) eine systematische Überwachung der Besucher über Verhaltens und Fingerprinting Signale durchführt, (ii) automatisierte Entscheidungen trifft, die legitime Nutzer blockieren können, und (iii) Daten in ein Drittland ohne Angemessenheitsbeschluss übermittelt. Die DSFA muss die Notwendigkeitsprüfung gegenüber EU Alternativen (hCaptcha, Cloudflare Turnstile, Friendly Captcha), das Transfer Impact Assessment für Russland, die Garantien (SCC, Transportverschlüsselung, vertragliche Beschränkungen gegen Behördenzugriffe) und das verbleibende Restrisiko dokumentieren.
Sample consent text
Diese Website nutzt Yandex SmartCaptcha, um automatisierte Bots auf Formularen und Anmeldeseiten zu erkennen. SmartCaptcha setzt Cookies und Identifikatoren auf Ihrem Gerät und übermittelt Browser Signale sowie Ihre IP Adresse an Server von Yandex LLC in der Russischen Föderation. Russland ist von keinem DSGVO Angemessenheitsbeschluss erfasst, der Transfer erfolgt auf Grundlage von Standardvertragsklauseln mit zusätzlichen Schutzmaßnahmen. Klicken Sie auf Akzeptieren, um den Bot Schutz zu aktivieren, oder auf Ablehnen, um einen alternativen Verifizierungsweg zu nutzen.
Third-party domains contacted
smartcaptcha.yandexcloud.netcaptcha.yandex.ruyandex.ruyandex.commc.yandex.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| yandexuid | Persistent | 1 year | Long lived Yandex visitor identifier used by SmartCaptcha to recognise the browser across challenges and to feed Yandex anti fraud signals. |
| yp | Persistent | 10 years | Yandex preferences cookie storing language, region and security settings used by SmartCaptcha and other Yandex products. |
| i | Persistent | 1 year | Yandex identifier cookie linked to the visitor profile, used to detect bot patterns and repeat offenders across sessions. |
| smartcaptcha_token | Local Storage | Session | Validation token stored after a successful challenge so the visitor is not prompted again within the same session. |
| yandex_login | Session | Session | Optional session cookie set when the visitor is logged in to a Yandex account, used to lower the friction of the challenge. |
Yandex SmartCaptcha ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
SmartCaptcha erhebt die IP Adresse des Besuchers, den User Agent, Bildschirm und Zeitzoneninformationen, Maus und Tastatur Bewegungsmuster, Touch Ereignisse, Fingerprinting Signale (Canvas, WebGL, Audio Kontext, installierte Schriftarten) und die Referrer URL. Es setzt Cookies und speichert Tokens auf smartcaptcha.yandexcloud.net und captcha.yandex.ru, um geprüfte Sitzungen zu merken. Alle Signale werden an Yandex Server in der Russischen Föderation zur Bewertung übermittelt. Das Ergebnis ist ein Vertrauenswert und ein binäres Urteil, mit dem die einbindende Website das Absenden des Formulars erlaubt oder blockiert.
Ja. Da SmartCaptcha Tokens und Cookies auf dem Endgerät speichert und Fingerprinting Signale erhebt, fällt es unter Art. 5(3) ePrivacy und § 25 TDDDG und erfordert eine vorherige, freie, spezifische und informierte Einwilligung. EDSA, DSK, CNIL und AEPD akzeptieren die Ausnahme unbedingt erforderlich nicht für einen Drittstaat Captcha, der Profilbildung betreibt. Das Challenge Skript darf erst nach Zustimmung zur Sicherheits oder Anti Bot Kategorie geladen werden, und ein alternativer Verifizierungsweg muss bei Ablehnung bereitstehen.
Einwilligung nach Art. 6(1)(a) DSGVO in Verbindung mit Art. 5(3) ePrivacy ist die sicherste Grundlage. Das berechtigte Interesse nach Art. 6(1)(f) ist umstritten, da die Notwendigkeitsprüfung scheitert, sobald EU Alternativen (hCaptcha, Cloudflare Turnstile, Friendly Captcha) gleichwertigen Schutz ohne Drittstaatentransfer bieten. Wird die Einwilligung erhoben, muss sie granular, von anderen Zwecken getrennt, leicht widerrufbar und in der Consent Management Plattform samt Nachweis dokumentiert sein.
SmartCaptcha verarbeitet Daten in Yandex Cloud Rechenzentren in Moskau und Wladimir. Russland verfügt über keinen Angemessenheitsbeschluss nach Art. 45 DSGVO, sodass Übermittlungen auf Standardvertragsklauseln nach Art. 46 in Verbindung mit den EDSA Zusatzmaßnahmen nach Schrems II gestützt werden müssen. Das Transfer Impact Assessment muss das Föderationsgesetz 374 FZ (Jarowaja Gesetz), das SORM Überwachungsregime und die FSB Zugriffsbefugnisse berücksichtigen und darlegen, wie technische oder vertragliche Garantien das Restrisiko mindern.
Eine Datenschutz Folgenabschätzung nach Art. 35 DSGVO ist dringend empfohlen. Die Verarbeitung erfüllt mehrere Kriterien aus der EDSA Liste: systematische Überwachung durch Verhaltenssignale, automatisierte Entscheidungen, die legitime Nutzer blockieren können, und Übermittlungen in ein Drittland ohne Angemessenheit. Die DSFA sollte SmartCaptcha mit EU Alternativen vergleichen, das Transfer Impact Assessment dokumentieren, die Garantien (SCC, Transportverschlüsselung, vertragliche Beschränkungen) auflisten und das Restrisiko für die betroffenen Personen quantifizieren.
Blockieren Sie das SmartCaptcha Skript, bis der Besucher im Consent Banner einer dedizierten Sicherheitskategorie zustimmt. Beschränken Sie die Challenge auf risikoreiche Endpunkte (Login, Registrierung, Zahlung) statt auf jede Seite. Schließen Sie den Yandex Cloud Auftragsverarbeitungsvertrag und das SCC Addendum. Dokumentieren Sie das Transfer Impact Assessment und aktualisieren Sie Datenschutzerklärung, Verzeichnis und Cookie Register. Bieten Sie einen barrierearmen alternativen Verifizierungspfad, damit eine Ablehnung Nutzer nicht aussperrt.
EU freundliche Alternativen sind hCaptcha (Intuition Machines, EU Server und SCC), Cloudflare Turnstile (USA unter EU US Data Privacy Framework und SCC), Friendly Captcha (Deutschland, Privacy by Design, ohne Fingerprinting), Altcha (Open Source, selbst hostbar) und Anubis oder einfache Proof of Work Challenges. Für risikoarme Formulare können serverseitige Maßnahmen wie Honeypot Felder, Rate Limiting und Time on Form Prüfungen einen Drittanbieter Captcha vollständig ersetzen.
Führen Sie Yandex SmartCaptcha namentlich im Cookie Register unter Sicherheit oder Bot Schutz auf. Nennen Sie den Verantwortlichen (Yandex LLC), die Datenkategorien (IP, Fingerprinting Signale, Verhaltensdaten), die gesetzten Cookies und Tokens, die Speicherdauer, die Rechtsgrundlage (Einwilligung), das Empfängerland (Russland) und die Garantien (SCC plus Transfer Impact Assessment). Verlinken Sie die Yandex Cloud Datenschutzdokumentation. Aktualisieren Sie die Richtlinie bei jedem Anbieterwechsel oder nach neuen Leitlinien von EDSA, DSK oder nationalen Aufsichtsbehörden zu russischen Auftragsverarbeitern.