Was ist ein CAPTCHA? Definition 2026

Ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein automatisierter Test, der Menschen von Bots unterscheiden soll. Es schützt Webformulare, Logins, Registrierungen und Checkouts vor Spam, Scraping und automatisierten Angriffen.

Klassische CAPTCHAs mit verzerrtem Text, Bildauswahl oder Audio Challenges erzeugen jedoch erhebliche Hürden für Nutzer mit Behinderungen. In der WebAIM Screen Reader User Survey 10 aus Februar 2024 wurden CAPTCHAs zum wiederholten Mal als das problematischste Element im Web bewertet.

Seit dem 28. Juni 2025 müssen Online Shops, Banken und viele weitere B2C Dienste nach Barrierefreiheitsstärkungsgesetz (BFSG) barrierefrei sein. Wer Logins oder Kontaktformulare mit nicht barrierefreien CAPTCHAs schützt, riskiert Bußgelder bis 100.000 Euro und Abmahnungen. Moderne unsichtbare Lösungen wie Friendly Captcha, Cloudflare Turnstile oder das Open Source Tool Altcha lösen das Problem ohne Nutzerinteraktion.

NCA begleitet seit Jahren Online Shops, Behörden und SaaS Plattformen bei der Umsetzung von barrierefreiem Webdesign nach WCAG 2.2 und BFSG 2026. In Beratungsprojekten sehen wir regelmäßig, wie ein einziges Google reCAPTCHA am Checkout die Konformität einer ansonsten sauber gebauten Website kippt.

Wir helfen Teams, den richtigen Bot Schutz für ihren Use Case einzuordnen: Wir migrieren klassische reCAPTCHA Integrationen auf unsichtbare Alternativen wie Friendly Captcha oder Cloudflare Turnstile, integrieren accessible Forms in Symfony und Sulu Projekten, und prüfen den gesamten Login Flow im Accessibility Audit. Für die technische Umsetzung greifen wir auf PHP Consulting sowie unser Frontend Development zurück, und automatisieren Regressionstests mit axe core in Cypress, dokumentiert über die Routinen aus Accessibility Testing.

Seit WebAIM 2009 jährlich Screenreader Nutzer befragt, steht CAPTCHA auf Platz 1 der größten Hürden im Web. In der Survey 10 aus 2024 mit 1539 Antworten blieb das Ergebnis stabil: CAPTCHA bleibt mit deutlichem Abstand das problematischste Element. Nutzer mit Behinderungen bewerteten CAPTCHA doppelt so oft als kritisch wie Nutzer ohne Behinderung.

Die Hürden treffen mehrere Gruppen gleichzeitig:

• Blinde und sehbehinderte Nutzer scheitern an verzerrten Bildern und unleserlichen Texten
• Hörgeschädigte Nutzer können Audio Alternativen nicht entziffern
• Menschen mit Dyslexie oder kognitiven Einschränkungen verstehen die Aufgaben nicht in der gegebenen Zeit
• Nutzer mit motorischen Einschränkungen brechen an Slider und Drag and Drop CAPTCHAs ab
• Nicht Muttersprachler kämpfen mit verzerrtem Audio in fremder Sprache

Mit dem BFSG ist die Lage seit Juni 2025 nicht mehr nur eine Frage der Ethik, sondern eine rechtliche Pflicht. Wer mit einem nicht zugänglichen CAPTCHA den einzigen Weg zu Login, Registrierung oder Kauf blockiert, verstößt gegen WCAG 2.1 Level AA und damit gegen die European Accessibility Act (EAA) Umsetzung. Bußgelder bis 100.000 Euro, Abmahnungen und Verbandsklagen sind seitdem real.

CAPTCHAs lassen sich anhand der Nutzerinteraktion in vier Generationen einteilen. Je weniger Interaktion das CAPTCHA verlangt, desto höher ist in der Regel sowohl die Barrierefreiheit als auch die UX Qualität. Die folgende Tabelle zeigt die Entwicklung von verzerrtem Text bis zum unsichtbaren Verifizierungsverfahren im Hintergrund.

Text CAPTCHA mit verzerrten Buchstaben. Die älteste Form, in der Nutzer eine verzerrte Zeichenfolge abtippen. Für blinde Nutzer komplett unbedienbar, für Sehbehinderte und Menschen mit Dyslexie nahezu unmöglich. Moderne OCR Bots lösen die Aufgaben inzwischen besser als Menschen, der Sicherheitsgewinn ist also gering.

Bild CAPTCHA wie reCAPTCHA v2 und hCaptcha. Nutzer wählen Ampeln, Zebrastreifen oder Fahrräder aus einem Bildraster aus. Eine Audio Alternative existiert, ist aber oft verzerrt, einsprachig und für Hörgeschädigte nicht nutzbar. Außerdem speichert reCAPTCHA personenbezogene Daten in einem Cookie. Das wirft DSGVO Fragen auf und erzwingt einen Cookie Banner Consent vor der Anzeige.

Interaktive CAPTCHAs wie Slider und Drag and Drop. Beliebt im chinesischen Markt, aber für Nutzer mit motorischen Einschränkungen, Parkinson oder Schluckauf der Maus eine reale Hürde. Tastaturbedienung ist meistens nicht implementiert. Mit Keyboard Navigation sind diese CAPTCHAs nicht WCAG konform.

Audio CAPTCHA als Alternative. Soll Sehbehinderten helfen, bleibt aber selbst eine Barriere: starkes Hintergrundrauschen, nur eine Sprache, kurze Reaktionszeit. Für hörgeschädigte Nutzer komplett unbenutzbar. Die WebAIM Survey listet inkonsistente Audio Qualität als Hauptkritikpunkt.

Das W3C hat mit der Group Draft Note Inaccessibility of CAPTCHA einen eigenen Text zu dem Thema veröffentlicht. Die WCAG 2.1 und 2.2 Level AA erlaubt klassische CAPTCHAs nur, wenn alle folgenden Bedingungen erfüllt sind:

• Text Alternative: Eine textliche Beschreibung erklärt Zweck und Funktion des CAPTCHA für Screenreader
• Alternative Modi: Mindestens zwei alternative Output Modi für verschiedene Sinneswahrnehmungen, typisch visuell plus auditiv
• Alle Bedienungen über Tastatur müssen möglich sein, inklusive Fokus Reihenfolge
• Keine Zeitlimits, die nicht verlängert oder deaktiviert werden können
• Ausreichender Kontrast und keine reinen Farbinformationen

In der Praxis erfüllen weder reCAPTCHA v2 noch hCaptcha alle Anforderungen gleichzeitig. Die Konsequenz: Wer einen Service unter BFSG Geltungsbereich betreibt und solche CAPTCHAs als einzigen Schutz nutzt, ist nicht konform. Das ist auch der Grund, warum unsichtbare CAPTCHAs nach WCAG 2.2 AA zertifizierbar sind, klassische dagegen nicht.

Aus den Beratungsprojekten der letzten Monate lassen sich klare Muster ableiten, was im BFSG Kontext funktioniert:

• Unsichtbare Verifikation bevorzugen. Proof of Work, Risk Scoring oder Private Access Tokens laufen ohne Nutzer Interaktion und sind damit per Design barrierefrei
• Mehrere Modi anbieten. Falls eine Challenge nicht vermeidbar ist: visuell plus auditiv plus textbasiert, alles mit Tastatur bedienbar
• CAPTCHA nur an kritischen Punkten wie Registrierung oder Passwort Reset einsetzen, nicht an jedem Kontaktformular
• Rate Limiting und Honeypot Felder kombinieren, dann muss das CAPTCHA nicht für jeden Request feuern
• Cookie freie Anbieter wählen, das spart Consent Layer und entlastet DSGVO Dokumentation
• Fallback ohne CAPTCHA für authentifizierte oder verifizierte Nutzer, etwa eingeloggte Kunden
• Barrierefreiheits Erklärung mit Hinweis auf den eingesetzten Bot Schutz und alternative Kontaktwege

Wer ein bestehendes accessible Form hat und nur das CAPTCHA tauschen muss, kommt häufig mit einem Aufwand von zwei bis fünf Personentagen aus, je nach Anzahl der Integrationspunkte.

Seit dem 28. Juni 2025 müssen Anbieter im Geltungsbereich des BFSG ihre digitalen Produkte barrierefrei anbieten. Der Standard ist EN 301 549, die wiederum WCAG 2.1 Level AA referenziert. Eine Aktualisierung der EN 301 549 auf WCAG 2.2 wird in 2026 erwartet, wer heute auf 2.2 setzt, ist auf der sicheren Seite.

Direkt betroffen mit Pflicht zur Barrierefreiheit von CAPTCHA und Formularen sind unter anderem:

• Online Shops und E Commerce Plattformen mit Verbraucher Endkunden
• Banken und Finanzdienstleister mit Online Banking
• Telekommunikations Dienstleister
• E Book Anbieter und Verlage mit digitalen Buch Plattformen
• Buchungsplattformen für Personenverkehr, Bahn, Bus, Flug
• Selbstbedienungsterminals wie Geldautomaten oder Ticketsysteme

Bei Verstößen drohen Bußgelder bis 100.000 Euro pro Verstoß, Marktüberwachungs Massnahmen sowie Abmahnungen und Schadensersatzforderungen über Verbandsklagen. Reine Kleinstunternehmen unter 10 Mitarbeitern und 2 Millionen Euro Umsatz sind ausgenommen, betreiben sie aber einen Online Shop, fallen sie trotzdem unter das BFSG. Die Compliance Pflicht gilt also für die allermeisten kommerziellen Webseiten.

Friendly Captcha aus München ist seit Jahren der bekannteste DSGVO konforme Anbieter aus Deutschland und seit 2024 nach WCAG 2.2 Level AA zertifiziert. Es nutzt einen unsichtbaren Proof of Work Algorithmus im Browser, fordert keine Nutzer Interaktion und arbeitet ohne Cookies. Geeignet für Unternehmen mit strikter EU Datenresidenz Pflicht.

Cloudflare Turnstile hat 2026 etwa 23 mal mehr Marktanteil als Friendly Captcha und ist kostenlos bis 20 Widgets pro Account. Es kombiniert Browser Telemetrie, Proof of Work und Private Access Tokens aus dem Apple und Google Ökosystem. Für die meisten Nutzer komplett unsichtbar, im Managed Mode bei verdächtigen Signalen aber eine Checkbox Challenge. US Jurisdiktion ist bei strengen DSGVO Anforderungen ein Punkt zur Prüfung.

Altcha ist eine Open Source Alternative aus Europa unter MIT Lizenz. Proof of Work im Browser, vollständig selbst hostbar. Geeignet für Teams, die Anbieter Lock In vermeiden wollen und sich ein Bewusstsein für Bot Schutz im eigenen Stack aufbauen. Wird unter anderem von Regierungsbehörden und Universitäten eingesetzt.

hCaptcha ist eine reCAPTCHA Alternative mit Bilderkennungs Challenges. Barrierefreiheit hat sich verbessert, ist aber durch die Bildauswahl Logik weiterhin nicht für alle Nutzergruppen gleichwertig. Cookie basiert, was DSGVO Hürden auslöst.

Google reCAPTCHA v3 arbeitet komplett im Hintergrund mit Risk Scoring statt Challenge. Das ist UX seitig ein Fortschritt, sammelt aber umfangreiche Tracking Daten und verlangt Consent vor dem Laden. In BFSG Pflicht Sektoren wird Google reCAPTCHA häufig nicht empfohlen, weil die Datenschutz Frage ungelöst bleibt.

In Beratungsprojekten zur digitalen Barrierefreiheit hilft NCA Teams, den richtigen Anbieter für den jeweiligen Use Case einzuordnen. Friendly Captcha hat Stärken bei strikter EU Compliance, Cloudflare Turnstile bei kostenfreien Einstiegs Szenarien, Altcha bei Open Source orientierten Stacks. Welche Lösung in Ihrem Projekt passt, hängt von Hosting, Datenresidenz und Conversion Anforderung ab.

Bevor ein CAPTCHA eingebaut wird, lohnt sich die Frage: Brauche ich überhaupt eines? Für viele Standard Formulare reicht eine Kombination aus weniger invasiven Techniken:

• Honeypot Felder in accessible Forms versteckte Felder fangen primitive Bots ab, ohne menschliche Nutzer zu stören
• Rate Limiting nach IP, Session oder Account verhindert Brute Force Versuche bei Login und Passwort Reset
• Time to Submit Heuristik: ein Formular, das in unter zwei Sekunden ausgefüllt wird, ist meist ein Bot
• Verifizierte Sessions: eingeloggte Nutzer brauchen kein CAPTCHA mehr
• Web Application Firewall mit Bot Management auf Infrastruktur Ebene

Erst wenn Spam Wellen, Credential Stuffing oder gezieltes Scraping nachweisbar werden, lohnt sich der Schritt zum CAPTCHA. Auch dann gilt: unsichtbar zuerst, sichtbar nur als Fallback bei hohem Risk Score. Diese Strategie spart Conversion und schützt zugleich vor BFSG Verstössen.

In den NCA Accessibility Audits aus 2025 und 2026 war reCAPTCHA v2 in mehr als der Hälfte der geprüften Webseiten der größte einzelne BFSG Showstopper. Die Migration auf eine unsichtbare Lösung ist meist überschaubar: Frontend Snippet austauschen, Backend Validierung anpassen, Server Secret in der Konfiguration ersetzen, Tests grün. In Symfony Projekten haben wir den Wechsel mit einem dedizierten CaptchaValidator Service typisch in einem Sprint umgesetzt.

Im Frontend ergänzen wir zusätzlich ARIA Statusmeldungen wie aria-live Regions, damit Screenreader Nutzer mitbekommen, dass die Verifikation läuft oder abgeschlossen ist. Im Accessibility Testing automatisieren wir die Prüfung mit axe core in Cypress, sodass jede neue Pull Request die CAPTCHA freie A11Y Konformität verifiziert.

Für Online Shop Kunden in Sulu CMS und Shopware liefert NCA neben der technischen Umsetzung auch die Compliance Dokumentation: aktualisierte Barrierefreiheits Erklärung, Test Protokolle und ein Migrationsplan für die nächste Audit Runde. So wird aus dem CAPTCHA Tausch ein dokumentierter Konformitäts Nachweis statt nur einer schnellen Frontend Änderung.

Die wichtigsten Fragen rund um CAPTCHA, Barrierefreiheit und BFSG Konformität 2026, kompakt beantwortet.