TSA im VfL Lüneburg e. V.
Tanz im VfL Lüneburg e. V.
Wir setzen das WordPress‑Plugin „hCaptcha“ (hCaptcha for WP / hCaptcha‑Integration) ein, um unsere Online‑Formulare und Authentifizierungs-/Interaktionspunkte (z.B. Login, Registrierung, Kommentare, Kontaktformulare) gegen automatisierte Eingaben (Bots), Spam und Missbrauch abzusichern.
Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:
Bot‑Erkennung und Missbrauchsprävention (Abwehr automatisierter Masseneingaben, Credential Stuffing, Spam‑Submissions).
Sicherstellung der Verfügbarkeit und Integrität der Website‑Funktionen (Schutz der technischen Infrastruktur und der Anwendungslogik).
Qualitäts- und Sicherheitssteuerung (z.B. Bewertung, ob eine Interaktion als legitim einzustufen ist und ob eine Formularübermittlung zugelassen wird).
Dienstbereitstellung durch den Anbieter: Bei Nutzung von hCaptcha werden Daten an den Anbieter Intuition Machines, Inc. (hCaptcha) übermittelt und dort zur Erbringung, Verwaltung, Absicherung und Weiterentwicklung des Dienstes verarbeitet; hCaptcha beschreibt seinen Dienst als sicherheitsfokussiertes Machine‑Learning‑Produkt und führt u.a. Zwecke wie Bereitstellung/Administration des Dienstes, Verbesserung, Sicherheitszwecke sowie die Nutzung von „Labeled Data“ (Antworten/Prompt‑Ergebnisse) an.
Im Rahmen der Einbindung von hCaptcha können – abhängig von Implementierung und Konfiguration – insbesondere folgende Datenkategorien verarbeitet werden:
Technische Verbindungs- und Zugriffsdateninsbesondere IP‑Adresse, Browsertyp, Internet Service Provider, Plattformtyp, Gerätetyp, Betriebssystem sowie Datum/Zeitstempel des Zugriffs und vergleichbare technische Metadaten.
Interaktions-/Nutzungsdaten zur Bot‑Erkennungz.B. Mausbewegungen, Scroll‑Position, Keypress‑Events, Touch‑Events und vergleichbare Signale, soweit diese zur Beurteilung „Mensch vs. Bot“ erforderlich sind.
Challenge‑/Antwortdaten („Labeled Data“)Antworten auf Aufgaben/Prompts (z.B. Bild-/Audio-/Text‑bezogene Eingaben), die nach Anbieterangaben nicht an eine identifizierte Person gebunden sein sollen.
Cookie-/Storage‑bezogene InformationenhCaptcha verarbeitet Analytics‑Informationen teils unter Einsatz von Cookies und ähnlichen Tracking‑Technologien.
Die Rechtsgrundlage hängt von Einsatzkontext und Consent‑Architektur (insb. ob hCaptcha vorab geblockt wird) ab. Maßgeblich sind typischerweise:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Bot‑Schutz, Missbrauchsprävention und Absicherung der Website‑Funktionen.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern hCaptcha erst nach Einwilligung geladen wird (z.B. über Consent‑Management) oder soweit die Einbindung als nicht zwingend technisch erforderlich bewertet wird.
Nationales Recht zum Endgerätezugriff (Deutschland): Soweit hCaptcha Cookies/Storage auf dem Endgerät setzt/ausliest, ist ergänzend der nationale Rahmen zum Endgerätezugriff (in Deutschland: § 25 TDDDG) zu prüfen; je nach Einordnung „technisch erforderlich“ oder „einwilligungspflichtig“ kann § 25 Abs. 2 Nr. 2 TDDDG oder § 25 Abs. 1 TDDDG einschlägig sein. (Einordnung stets implementierungs‑/risikobasiert.)
Im Regelfall stützen wir die Verarbeitung im Zusammenhang mit hCaptcha auf:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr automatisierter Angriffe, Spam‑Reduktion, Sicherstellung von Integrität/Verfügbarkeit).
Dabei ist zu berücksichtigen, dass IP‑Adressen personenbezogene Daten sein können; dies ist in der unionsrechtlichen Rechtsprechung anerkannt (EuGH Breyer, Urteil v. 19.10.2016, C‑582/14). Curia
Soweit hCaptcha‑Implementierungen (oder deren Cookies/Storage‑Mechanismen) im konkreten Setup nicht als technisch erforderlich eingeordnet werden können oder eine Drittlandkonstellation eine Einwilligungslösung erforderlich macht, erfolgt die Einbindung – konzeptionell – erst nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TDDDG).
Unsere berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) liegen in:
Schutz vor Spam, Bot‑Traffic und missbräuchlichen Formularübermittlungen,
Schutz von Nutzerkonten (z.B. gegen Brute‑Force/Credential Stuffing),
Sicherstellung der Systemstabilität und Vermeidung von Ressourcenmissbrauch,
Reduktion operativer Aufwände (z.B. Ticket‑/Support‑Last durch Spam),
Schutz der Datenqualität in Prozessen, die auf Web‑Formulareingaben aufsetzen.
Im Zusammenhang mit hCaptcha können personenbezogene Daten an folgende Empfänger/Kategorien übermittelt werden:
Anbieter des CAPTCHA‑Dienstes: Intuition Machines, Inc. (hCaptcha) als externer Dienstleister für Bot‑Erkennung.
Dienstleister/Sub‑Dienstleister des Anbieters (Unterauftragsverarbeiter): nach Anbieterangaben u.a. Anbieter für Hosting/Storage/Analytics sowie technische Support‑/Betriebsdienstleister; hCaptcha nennt in seiner Privacy Policy beispielhaft Sentry (Debugging) und Cloudflare (Traffic‑Optimierung).
Interne Empfänger (Need‑to‑know): Website‑Administration/IT‑Security/Support, soweit erforderlich zur Betriebssicherheit und Fehleranalyse.
Darüber hinaus kann der Anbieter nach eigener Darstellung Informationen teilen, z.B. mit Behörden bei rechtlicher Verpflichtung oder mit Dienstleistern zur Erbringung des Services; außerdem kann auf Anfrage eines Integrators eine Risikoauskunft zu einer Challenge/IP vorgesehen sein.
hCaptcha wird von Intuition Machines, Inc. betrieben, einem Unternehmen mit Hauptsitz in den USA; der Anbieter weist darauf hin, dass Daten auch in Ländern außerhalb des EWR verarbeitet werden können.
Für Drittlandübermittlungen nennt hCaptcha als Transfermechanismen insbesondere:
Standardvertragsklauseln (SCCs) als geeignete Garantien nach Art. 46 DSGVO; hCaptcha beschreibt SCCs als Mechanismus für Übermittlungen aus dem EWR in die USA.
EU‑US / UK‑US / Swiss‑US Data Privacy Framework (DPF): hCaptcha gibt an, dort eingeschrieben/zertifiziert zu sein.
Zugleich beschreibt hCaptcha einen regionalen Verarbeitungsansatz (weit überwiegend regionale Server; Metadatenverarbeitung in Rechenzentren u.a. in Europa und „falls anwendbar“ in den USA; nur begrenzte/zeitlich limitierte Metadaten/Logdaten).
Wir speichern im Rahmen von hCaptcha grundsätzlich keine dauerhaft personenbezogenen „Challenge‑Inhalte“. Üblicherweise erfolgt eine Echtzeit‑Validierung (Token/Response) und es wird nur das Ergebnis (z.B. „valid/invalid“) im jeweiligen Formularprozess verarbeitet.
Soweit bei uns Protokolldaten anfallen (z.B. Server‑/Security‑Logs im Zusammenhang mit Formularaufrufen), erfolgt die Speicherung:
für 14 Tage (Regelbetrieb; technische Fehleranalyse/Abwehr von Missbrauch), anschließend Löschung/Rotation,
länger im Incident‑/Rechtsfall, soweit zur Abwehr/Analyse eines Angriffs oder zur Rechtsdurchsetzung erforderlich (unter strikter Zugriffsbeschränkung).
Zum Anbieter: hCaptcha stellt in seinen öffentlichen Informationen heraus, auf minimierte bzw. fehlende Langzeit‑Retention von End‑User‑Daten ausgelegt zu sein; zudem werden Metadaten/Logdaten nur für einen begrenzten Zeitraum verarbeitet.
Die Bereitstellung der Daten ist nicht gesetzlich vorgeschrieben. Sie ist jedoch technisch erforderlich, um die jeweils geschützte Funktion (z.B. Absenden eines Formulars, Login/Registrierung) unter Bot‑Schutz nutzen zu können.
Wenn Sie die Übermittlung an hCaptcha nicht wünschen (z.B. durch Blockieren von Scripts/Cookies), kann dies dazu führen, dass Formularfunktionen nicht oder nur eingeschränkt nutzbar sind. Soweit verfügbar, können Sie uns alternativ über andere Kontaktwege (z.B. E‑Mail/Telefon/Postalisch) erreichen.
hCaptcha führt eine automatisierte technische Bewertung durch, um zwischen menschlichen und automatisierten Interaktionen zu unterscheiden; dabei werden Interaktionssignale (z.B. Maus-/Touch‑Events) und technische Metadaten verarbeitet. hCaptcha
Die Bewertung kann dazu führen, dass eine Interaktion zugelassen, eine zusätzliche Challenge angezeigt oder eine Übermittlung abgelehnt wird. Der Anbieter beschreibt zudem die Möglichkeit, auf Integrator‑Anfrage eine Risikoeinschätzung zu einer Challenge/IP bereitzustellen. hCaptcha
Eine automatisierte Entscheidung i.S.d. Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) liegt dabei regelmäßig nicht vor, da es sich primär um eine Sicherheits-/Missbrauchsabwehrmaßnahme zur Sicherstellung des technischen Betriebs handelt.
