Captcha von BerlinSMS –
DSGVO konforme Schnittstelle für zuverlässigen Bot-Schutz

Das Captcha-System von BerlinSMS besteht aus drei Komponenten: dem Frontend-Widget, das in Ihrer Webseite eingebettet wird, dem BerlinSMS Captcha-Server zur Token-Ausstellung sowie der Verifikations-API, die Ihr Backend nach der Formularübermittlung aufruft. Die gesamte Kommunikation läuft verschlüsselt über HTTPS. Alle Daten – Token, Verifikationsergebnisse und Logs – verbleiben ausschließlich auf Servern in Deutschland.

Im Unterschied zu Google reCAPTCHA analysiert das BerlinSMS Captcha das Nutzerverhalten nicht im Hintergrund und sendet keine Verhaltensdaten in die USA. Kein Browser-Fingerprinting, kein MausbewegungsTracking, keine Risikobewertung durch externe Algorithmen – nur eine saubere, überprüfbare Challenge-Response-Verifikation auf Ihrer eigenen Infrastruktur-Basis.

/

Warum kein Google reCAPTCHA?

Für Arztpraxen, Kliniken, Apotheken und andere Einrichtungen des Gesundheitswesens kommt hinzu: Die allein durch den Seitenaufruf übertragene IP-Adresse kann in Verbindung mit dem Seitenkontext (z. B. eine Praxis-Website) als Gesundheitsdatum eingestuft werden – und unterliegt damit dem besonderen Schutz nach Art. 9 DSGVO. Das BerlinSMS Captcha überträgt keine Daten an Dritte und erfordert daher keine gesonderte Einwilligung.

Captcha Rest-API Ihrer Wahl

Das Captcha von BerlinSMS ist über eine schlanke REST API angebunden. Das Sitekey/Secretkey-Modell trennt Frontend- und Backend-Kommunikation sauber: Der Sitekey ist öffentlich und wird im JavaScript-Snippet des Frontend bei Ihnen verwendet. Der Secretkey bleibt serverseitig und verifiziert das Token, das das Captcha-Widget nach erfolgreich absolvierter Challenge zurückgibt.

Die Einbindung erfolgt in zwei klar getrennten Schritten:

Schritt 1 – Frontend-Einbindung: Ein Code-Tag lädt das Captcha-Widget. Ein Code-Element mit dem data-sitekey-Attribut positioniert das Widget im Formular. Das ist alles, was im Frontend notwendig ist – kein eigenes JavaScript, kein Framework-Wissen erforderlich.

Schritt 2 – Serverseitige Verifikation: Nach dem Absenden des Formulars sendet Ihr Backend das zurückgegebene Token per HTTP GET an
https://api.berlinsms.de/captcha/verify.
Die Antwort ist ein einfaches JSON-Objekt mit dem Feld success: true oder success: false. Bei false lehnen Sie die Formularübermittlung ab – fertig.

Diese zwei Schritte sind unabhängig von Programmiersprache, Framework oder CMS. Das Captcha lässt sich damit in WordPress, Typo3, SAP, Oracle, Oxid, individuelle PHP-Anwendungen, Python-Backends, Node.js-Dienste und jede andere Umgebung integrieren, die HTTP-Requests absetzen kann.

Anwendungsfälle Captcha BerlinSMS

• Kontaktformulare und Anfrageformulare – Schutz vor Spam-Einreichungen ohne Google-Tracking auf der Kontaktseite
• Login- und Registrierungsseiten – Schutz vor Credential-Stuffing und Brute-Force-Angriffen
• Patientenportale und medizinische Formulare – Bot-Schutz ohne DSGVO-Risiko durch Google-Datenübertragung
• Online-Terminbuchungen – Verhinderung automatisierter Buchungen durch Bots
• Kommentar- und Bewertungsformulare – Schutz vor automatisierten Fake-Bewertungen
• Newsletter-Anmeldeformulare – Sicherstellung, dass nur echte Nutzer sich eintragen
• Bezahl- und Checkout-Seiten – Schutz vor automatisierten Zahlungsversuchen

Besonders empfehlenswert ist das BerlinSMS Captcha für alle Betreiber, die Google reCAPTCHA bereits im Einsatz haben und im Zuge ihrer DSGVO-Compliance-Prüfung auf eine datenschutzkonforme Alternative umstellen möchten – ohne die technische Einbindung grundlegend ändern zu müssen. Das Sitekey/Secretkey-Modell ist bewusst analog zu reCAPTCHA v2 gestaltet, um die Migration so reibungslos wie möglich zu machen.

Schema-Grafik Platzhalter / Technischer Ablauf

Der vollständige Ablauf einer Captcha-Verifikation läuft in vier Schritten:

1. Seitenaufruf: Der Browser des Nutzers lädt das Captcha-Widget vom BerlinSMS-Server. Der Server antwortet mit dem Widget-JavaScript, das den Sitekey validiert.
2. Challenge: Der Nutzer löst die Captcha-Challenge. Das Widget generiert ein zeitlich begrenztes Token und speichert es im Formular als verstecktes Feld.
3. Formularübermittlung: Das Token wird zusammen mit den Formulardaten an Ihr Backend übermittelt.
4. Verifikation: Ihr Backend sendet Token und Secretkey an https://api.berlinsms.de/captcha/verify. Die API prüft das Token und antwortet mit {"success": true} oder {"success": false, "error": "timeout-or-duplicate"}.

Das Token ist einmalig verwendbar und zeitlich begrenzt. Ein bereits verwendetes oder abgelaufenes Token wird von der API als timeout-or-duplicate zurückgewiesen – Replay-Angriffe sind damit ausgeschlossen.

Häufige Fragen zum BerlinSMS Captcha

Benötige ich ein Google-Konto für das BerlinSMS Captcha?

Nein. Das BerlinSMS Captcha ist vollständig unabhängig von Google. Sie benötigen lediglich einen BerlinSMS-Account, aus dem Sie Ihr Sitekey/Secretkey-Paar generieren. Das gesamte System läuft auf BerlinSMS-Servern in Deutschland.

Werden Nutzerdaten an Dritte übermittelt?

Nein. Das Captcha-System kommuniziert ausschließlich zwischen dem Browser des Nutzers, Ihrer eigenen Anwendung und den BerlinSMS-Servern in Deutschland. Es findet kein Datentransfer an Google, Cloudflare oder andere Drittanbieter statt. Das macht das BerlinSMS Captcha zur datenschutzrechtlich sicheren Alternative für Seiten mit sensiblen Zielgruppen.

Ist das Captcha auch ohne Cookie-Banner DSGVO-konform einsetzbar?

Ja. Da keine Daten an Drittanbieter übertragen werden und keine verhaltensbasierte Analyse stattfindet, ist das BerlinSMS Captcha ohne gesonderte Einwilligung einsetzbar – auch auf Seiten, die vor dem Erscheinen des Cookie-Banners aufgerufen werden, wie Login-Seiten oder Kontaktformulare. Dies ist ein wesentlicher Vorteil gegenüber Google reCAPTCHA.

Wie lange ist ein Captcha-Token gültig?

Das Token ist zeitlich begrenzt und einmalig verwendbar. Ein abgelaufenes oder bereits verwendetes Token wird von der Verifikations-API mit dem Fehlercode timeout-or-duplicate zurückgewiesen. Die genaue Gültigkeitsdauer entnehmen Sie der REST API Referenz.

Kann ich das Captcha in WordPress einbinden?

Ja. Das Captcha lässt sich in jede WordPress-Installation einbinden – über eine Plugin-Integration oder direkt per JavaScript in eigene Themes und Formularplugins. Eine Schritt-für-Schritt-Anleitung finden Sie unter Captcha einbinden.

Ist das BerlinSMS Captcha für Arztpraxen geeignet?

Ja, und es ist die empfohlene Wahl. Arztpraxen, die Google reCAPTCHA auf ihrer Website einsetzen, riskieren eine unzulässige Übertragung von IP-Adressen in die USA – die im Kontext einer Praxis-Website als Gesundheitsdaten eingestuft werden können (Art. 9 DSGVO). Das BerlinSMS Captcha überträgt keine Nutzerdaten an Dritte und ist daher ohne Einwilligungspflicht und ohne DSGVO-Risiko für Arztpraxen einsetzbar. BerlinSMS stellt auf Anfrage einen vollständigen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zur Verfügung.

Wieviel kostet die Nutzung des BerlinSMS Captcha?

Das Captcha ist frei verfügbar.