Inhaltsverzeichnis
aktualisiert am 18.10.2022 ergänzt mit der Datenschutzantwort von hCaptcha und Problematik mit Spam von gmail-Adressen
Das wohl bekannteste Captcha-Tool ist wohl das von Google.
Viele Alternativen dazu gibt es nicht wirklich. Und doch habe ich vor Kurzem eins gefunden.
Meine Kriterien für ein Captcha Plugin
Das grösste Kriterium war, dass es DSGVO tauglich ist und eben Spambots so gut wie nur möglich abwehrt. Das Google reCAPTCHA ist sehr umstritten, was die DSGVO angeht. Es übermittelt definitiv Daten nach Amerika, aber, wenn es in der Datenschutzerklärung als unbedingt nötiges Tool hinterlegt ist, kann man es rechtlich gesehen trotzdem nutzen.
Diesen Kompromiss wollte ich eigentlich nicht mehr eingehen und machte mich vor ein paar Monaten auf die Suche nach Alternativen. Diese machte sich schwerer, als gedacht.
Bei der Recherche auf hCaptcha gestossen
Dabei bin ich auf hCaptcha gestossen. Sieht aus, wie das von Google, ist ebenfalls kostenlos und gemäss eigenen Aussagen werden hier keine personalisierten Daten gesammelt.
Auf deren Seite heisst es:
Es ist eigentlich ganz einfach: für Captcha Anbieter, die vor allem mit Werbung ihr Geld verdienen, sind Ihre Besucher das Produkt. Unser Produkt ist der effektive Schutz vor Bots, der gleichzeitig die Privatsphäre ihrer Nutzer und Kunden schützt. Darüberhinaus unterstützen wir Initiativen wie den Privacy Pass.
Etwas lustig dabei ist, man kann sich mit dem Google-Konto registrieren, hat aber auch die Möglichkeit mit Email und Passwort. Nach der Registrierung ist das Vorgehen recht einfach.
Der Secret Key bleibt für alle Domains immer der Gleiche. Unter Websites hast Du die Möglichkeit, neue Websites zu erfassen für die dann jeweils ein anderer Sitekey. Wenn Du mehrere Webseiten verwalten möchtest, empfehle ich auch verschiedene Sitekeys anzulegen.
Bei den Sitekeys kannst Du dann auch mehrere Hostnamen eröffnen. Zum Beispiel für die Subdomains oder alle Domains mit einem Sitekey erfassen. Wichtig ist nur, dass die Seite bei den Hosts hinzugefügt werden muss, sonst funktioniert das hCaptcha nicht.
hCaptcha WordPress Plugin
hCaptcha macht es für WordPress mit dem eigenen Plugin relativ einfach, es auf jeder Seite einzubinden. Hier findest Du den Download des hCaptcha Plugins.
Nach der Einrichtung des Plugins wählst Du aus, wo genau das hCaptcha eingesetzt werden soll und es macht seine Arbeit gut.
hCaptcha mit dem Schwierigkeitsgrad konfigurieren
Nach der Installation und dem Verbinden mit der API von hCaptcha kannst Du auch noch die Stärke des Schwierigkeitsgrades anpassen. Der geht von Einfach bis Immer auf.
GIF öffnenIch habe die Erfahrung gemacht, dass sogar bei Einfach schon 90% aller Bots eliminiert werden.
Mein Fazit zu hCaptcha
Als Google reCAPTCHA Alternative absolut genial. Es hat, wie oben im Blogbeitragsbild zu sehen ist, nach der Aktivierung ALLE Spambots eliminiert. Somit hatte der Kunde keine Spamanfragen mehr und es kamen nur noch normale Anfragen durch. Wie Du am Datum entnehmen kannst, siehst du die Reduktion des Spams sehr deutlich.
In der Konfiguration ist es etwas komplizierter, als Google’s reCAPTCHA, jedoch eine echte Alternative zu denen. Die Verwaltung der Konfiguration finde ich einfach und übersichtlich. Auf jeden Fall für WordPress ein sehr empfehlenswertes Captcha-Plugin.
Datenschutzantwort von hCaptcha
Aufgrund eines Kommentares hierunter habe ich bei hCaptcha nachgefragt, wie genau sie den Datenschutz handhaben und wie die Daten gespeichert bzw. verarbeitet werden. Zitat:
Alle Daten in unserem System sind von vornherein flüchtig. Informationen werden de-identifiziert und am Rande aggregiert, d. h. wenn der Endnutzer aus den Niederlanden kommt, werden sie in den Niederlanden oder ganz in der Nähe „verarbeitet“. Zu den Unternehmensoptionen gehören auch „Zero PII“-Modi, bei denen nicht einmal eine IP-Adresse an uns gesendet wird: Der Nutzer verbindet sich stattdessen mit Ihnen, und Sie senden eine verdeckte Kennung.
Trotz hCaptcha Spameinträge vor allem mit gmail-Adressen
Ich habe festgestellt, dass trotz des hCaptcha Spameinträge erfolgen von gmail-Adressen oder @mail.ru Adressen. Diese werden meines Erachtens manuell getätigt und das hCaptcha händisch gelöst. Um diese Spameinträge zu umgehen, kannst du grundsätzlich die gmail-Adressen in deinem Formular sperren. Das habe ich beispielsweise gemacht und schwupps, waren sie nicht mehr vorhanden. Damit schliesst du allerdings leider auch Anfragen oder Ausfüllungen von Personen mit einer gmail-adresse aus. Deswegen würde ich das explizit erwähnen.
5 Responses
Hallo,
und wie schaut es Datenschutzrechtlich mit dem hCaptcha in der EU aus? Nur einfach einrichten wird auch nicht ausreichen, oder? Nachteil an HCaptcha: Das zugehörige Unternehmen sitzt in den USA, wohin eine Datenübertragung seit Wegfall des Privacy Shields nur unter strengen Voraussetzungen möglich ist.
Ja, das ist so, dass das Unternehmen den Sitz in den USA hat. Jedoch sagen sie selbst, dass sie keine personenbezogenen Daten benötigen, um das Captcha zu lösen oder die Maschine lernen zu lassen. Anders ist das bei Google. Dort werden klar personenbezogene Daten gesammelt. ich müsste diesbezüglich mal den Rechtsanwalt Schwenke über seine Meinung des Dienstes fragen. Vielleicht hat er diesen Dienst auch schon unter die Lupe genommen und analysiert, was genau für Daten gespeichert werden und ob überhaupt.
Ich habe noch explizit nachgefragt, wie das aussieht und folgende Antwort erhalten:
Alle Daten in unserem System sind von vornherein flüchtig. Informationen werden de-identifiziert und am Rande aggregiert, d. h. wenn der Endnutzer aus den Niederlanden kommt, werden sie in den Niederlanden oder ganz in der Nähe „verarbeitet“. Zu den Unternehmensoptionen gehören auch „Zero PII“-Modi, bei denen nicht einmal eine IP-Adresse an uns gesendet wird: Der Nutzer verbindet sich stattdessen mit Ihnen, und Sie senden eine verdeckte Kennung.
Danke für die Infos! Anderweitig wird „gewarnt“, dass die Nutzung von hCaptcha (finde ich eigentlich auch prima) in der Datenschutzerklärung auftauchen MUSS (Cookie würde gesetzt, Angabe warum man über hCaptcha Daten erhebt , Rechtsgrundlage, etc.). Was stimmt denn zum aktuellen Zeitpunkt?
Hallo Jochen. Ich habe in einem anderen Kommentar geschrieben, was mir hCaptcha rückgemeldet hat. Ich bin grundsätzlich kein Rechtsanwalt. Da gibt es einige andere, die dir da besser Auskunft erteilen können wie du genau was wo hinschreiben und informieren musst. Aber hCaptcha meinte zu meiner Nachfrage wegen des Datenschutzes folgendes:
Alle Daten in unserem System sind von vornherein flüchtig. Informationen werden de-identifiziert und am Rande aggregiert, d. h. wenn der Endnutzer aus den Niederlanden kommt, werden sie in den Niederlanden oder ganz in der Nähe „verarbeitet“. Zu den Unternehmensoptionen gehören auch „Zero PII“-Modi, bei denen nicht einmal eine IP-Adresse an uns gesendet wird: Der Nutzer verbindet sich stattdessen mit Ihnen, und Sie senden eine verdeckte Kennung.