recaptcha wird von Google betrieben. Der Browser Ihrer Webseitenbesucher holt sich von Google das Captcha und übermittelt seine Lösung an Google. Also werden Daten (mindestens die IP) an Google gesendet. Sie haben vier Alternativen:
Variante 1: Sie verwenden ein Captcha, welches nur auf Ihrem Server läuft.
Variante 2: Sie holen sich vor Anzeige des Captchas die Genehmigung Ihrer Nutzer, indem Sie diese einen Auswahldialog bestätigen lassen und erst dann per AJAX-Request das Captcha laden.
Variante 3: Sie schließen einen Vertrag mit Google zur Auftragsdatenverarbeitung, welcher den deutschen Datenschutzbestimmungen entspricht.
Variante 4: Sie lassen ihren Webserver das Captcha abholen und die Lösung Ihres Nutzers an Google übermitteln.
Variante 4 bedeutet selber Schreiben, ebenso Variante 2. Variante 3 ist wohl eher Wunschdenken, Variante 1 die gangbarste Lösung.
Verwenden Sie doch ein mathematisches Captcha anstatt eines Bildes. Meiner Erfahrung nach sind diese Captchas viel weniger anfällig gegen SPAM.
