PrivacyTools.io
Geprüft von Marco Wollank
Heute ersetzen: reCAPTCHA

Das beste datenschutzfreundliche CAPTCHA in 2026

Private Alternativen zu reCAPTCHA, geprüft nach unseren öffentlichen Kriterien.

Nach Bedrohungsstufe gruppiert

Abgedeckt Einfacher Einstieg und gute Voreinstellungen für alle
Gehärtet Etwas Einrichtung und echte Gewinne für Engagierte

How they compare

Tool Hosting Based in Cost
ALTCHA
Self-hosted · Free
mCaptcha
Self-hosted · Free
Friendly Captcha
Managed (EU) Germany Freemium

Jedes CAPTCHA auf deiner Seite ist eine Bitte, die du an einen Besucher richtest, und das bekannte ist Google verpflichtet. Es beobachtet, wie Menschen sich bewegen und klicken, und setzt ein Tracking-Cookie, um ihnen zu folgen, und verwandelt dann ihre Lösungsmühe in Beschriftungen, die Googles eigene Modelle trainieren. All das ist der Preis dafür, Spam zu blockieren, den du auf anderem Weg blockieren könntest. Die Tools hier erledigen dieselbe Aufgabe mit einem Hintergrundrätsel, das einen Spammer echte Rechenleistung kostet, und verlangen dabei nichts vom Datenschutz deines Besuchers.

Warum du das Tracking in reCAPTCHA nicht einfach abschalten kannst

Die Datensammlung ist keine Einstellung, sie ist die Art, wie reCAPTCHA entscheidet, wer ein Mensch ist. Es bewertet Verhaltenssignale wie Mausbewegung und Klick-Timing, bindet sie dann über das _GRECAPTCHA-Cookie an eine Kennung und sendet das an Googles Server in den USA. Es gibt keinen Schalter, der das Bot-Blockieren behält und die Überwachung fallen lässt, denn die Überwachung ist das Bot-Blockieren. Die Daten leisten auch Doppeldienst: Das Lösen seiner Aufgaben hilft, Googles maschinelle Lernsysteme zu trainieren. Der einzige Weg, dein Formular davon abzuhalten, deine Besucher zu profilieren, ist, aufzuhören, einen Profiler zu nutzen, und genau das lässt dich jeder Pick auf dieser Seite tun.

Wie wir auswählen

Jedes Tool hier wird an unseren öffentlichen Aufnahmekriterien gehalten: Es muss Missbrauch blockieren, ohne den Besucher zu tracken, kein Werbe-Cookie setzen, keine Besucherdaten zur Profilierung an einen Dritten senden und klar benennen, wie es funktioniert. Wir bevorzugen Proof-of-Work-Designs, die im Browser laufen und auf deinem Server überprüfen, und wir listen nur, was wir auf unser eigenes Kontaktformular setzen würden. Wo ein Tool Kompromisse macht, etwa verwaltet statt selbst gehostet zu sein, sagen wir es.

Worauf du bei einem CAPTCHA achten solltest

Fang damit an, wo die Prüfung passiert. Ein selbst gehostetes CAPTCHA wie ALTCHA oder mCaptcha hält jede Anfrage auf einer von dir kontrollierten Infrastruktur, sodass keine Besucherdaten deinen Server verlassen. Als Nächstes schau auf die Methode: ein im Hintergrund laufendes Proof-of-Work-Rätsel stoppt Massen-Spam, ohne deinen Leser zu bitten, Bilder zu beschriften. Dann prüfe das Cookie-Verhalten, denn ein Tool, das kein Cookie setzt und nichts im Browser speichert, ist eines, das du ohne Einwilligungsabfrage einsetzen kannst. Wäge zum Schluss den Aufwand ab, den du investieren kannst. Selbsthosting gibt dir die meiste Kontrolle, während eine verwaltete Option wie Friendly Captcha einen Teil davon gegen einen Dienst tauscht, den jemand anderes betreibt.

Was ist mit hCaptcha oder Cloudflare Turnstile?

Beide sind ein klarer Schritt nach oben gegenüber reCAPTCHA beim Datenschutz, und vielleicht hast du gehört, wie sie empfohlen werden. Sie vermeiden das Werbeprofil-Problem und sind leicht einzubinden. Der ehrliche Unterschied ist, dass beide weiterhin ein Dritter sind, dem du die Signale deiner Besucher überlässt: Die Überprüfung läuft auf fremden Servern, und du vertraust den Datenbedingungen dieses Unternehmens, statt den Dritten ganz zu entfernen. Das ist eine andere Position als bei einem selbst gehosteten CAPTCHA, bei dem nichts über den Besucher je deinen eigenen Server verlässt. Beide sind vernünftig, wenn dir ein verwalteter Dienst passt, aber genau deshalb verweisen wir dich stattdessen auf die EU-basierte verwaltete Option oben und behalten unsere Spitzenplätze für Tools, die du selbst betreiben kannst.

So wechselst du

Wähle ein Tool und setze sein Widget in das Formular, das du schützen willst, überprüfe dann die Antwort auf deinem Server, was jedes Projekt mit Copy-und-Paste-Beispielen dokumentiert. Die meisten starten mit einem einzelnen Formular mit viel Spam, einem Kontaktfeld oder einer Anmeldung, bestätigen, dass das Rätsel seine Aufgabe tut, und rollen es dann über die ganze Seite aus. Wenn du speziell von Googles Tool weggehst, führt dich unsere Seite mit reCAPTCHA-Alternativen durch den Wechsel. CAPTCHA ist selten das einzige Google-Skript auf einer Seite, also schließt es mehr desselben Lecks, dies mit datenschutzfreundlicher Statistik und einem Kommentarsystem zu kombinieren, das nicht nach Hause telefoniert. Um Google auf ganzer Linie zu streichen, deckt der De-Google-Plan den Rest ab.

Häufige Fragen

Gibt es eine datenschutzfreundliche Alternative zu reCAPTCHA?
Ja, und du hast eine echte Auswahl davon. Die Picks auf dieser Seite stoppen Spam mit einem im Hintergrund laufenden Proof-of-Work-Rätsel, statt den Besucher zu profilieren. Keiner setzt ein Tracking-Cookie, und die selbst gehosteten halten jede Prüfung auf deinem eigenen Server, sodass überhaupt keine Besucherdaten abfließen.
Was ist ein Proof-of-Work-CAPTCHA?
Es bittet den Browser des Besuchers, ein kleines Rätsel zu berechnen, bevor ein Formular abgeschickt wird. Eine echte Person bemerkt die kurze Verzögerung nie. Ein automatisiertes Tool, das Tausende von Anfragen abfeuert, zahlt diese Rechenlast bei jeder einzelnen, und genau das macht Massen-Spam langsam und teuer statt kostenlos.
Sind diese CAPTCHAs für meine Besucher schwieriger?
Meist sind sie einfacher. Die meisten Proof-of-Work-CAPTCHAs sind unsichtbar oder ein einzelnes Kontrollkästchen, also gibt es keinen verzerrten Text zum Entziffern und keine Ampeln zum Anklicken. Die Arbeit passiert im Hintergrund, während der Besucher das Formular ausfüllt.
Brauchen datenschutzfreundliche CAPTCHAs ein Cookie-Banner oder eine Einwilligung?
Die selbst gehosteten Optionen hier setzen keine Cookies und senden nichts an einen Dritten, also gibt es kein Tracking, dem zugestimmt werden müsste, und nichts, was zu einer Datenschutzerklärung hinzukommt. Ein verwalteter Dienst verarbeitet weiterhin eine Anfrage auf seinen Servern, also prüfe seine Datenbedingungen, aber keiner von diesen baut ein Werbeprofil so auf, wie es der Platzhirsch tut.
Kann ein CAPTCHA jeden Bot stoppen?
Kein Tool stoppt alles. Proof-of-Work macht automatisierten Missbrauch in großem Umfang teuer, was den Spam abdeckt, der die meisten Formulare füllt. Ein entschlossener Angreifer, der gezielt auf deine Seite zielt, kann den Preis trotzdem zahlen, also behandle ein CAPTCHA als eine Schicht und nicht als die gesamte Verteidigung.
Schadet der Wechsel weg von reCAPTCHA meinem Spam-Schutz?
Für die alltägliche Flut an Formular-Spam und Fake-Anmeldungen nein. Proof-of-Work erhöht die Kosten von Masseneinreichungen, woher der meiste Missbrauch kommt. Du gibst Googles Verhaltensbewertung auf, hörst aber zugleich auf, Google deine Besucher zu füttern, und genau um diesen Tausch geht es auf dieser Seite.