Zum Hauptinhalt springen
H
HESSENKAMP MEDIA
Security Cloudflare reCAPTCHA CAPTCHA

Cloudflare Turnstile vs. reCAPTCHA: Der Vergleich 2026

Jascha Hessenkamp
6 Min. Lesezeit
Cloudflare Turnstile vs. reCAPTCHA: Der Vergleich 2026

CAPTCHA-Systeme schützen Formulare – aber welches ist das beste? Nach Tests in Produktiv-Umgebungen vergleiche ich Turnstile und reCAPTCHA mit echten Daten.

Quick Comparison

FeatureTurnstilereCAPTCHA v3reCAPTCHA v2
Privacy✅ DSGVO⚠️ Google Tracking⚠️ Google Tracking
UX✅ Unsichtbar✅ Unsichtbar❌ Checkbox/Challenge
Performance✅ ~20 KB⚠️ ~45 KB❌ ~120 KB
Preis✅ Kostenlos✅ Kostenlos✅ Kostenlos
Setup⭐⭐⭐⭐⭐⭐⭐

TL;DR: Turnstile gewinnt bei Performance und Privacy.

Performance Deep-Dive

Test-Setup

  • Kontaktformular mit 100 Nutzern
  • Chrome DevTools + WebPageTest
  • Devices: Desktop + Mobile

Ergebnisse

MetrikTurnstilereCAPTCHA v3reCAPTCHA v2
Script Size18.4 KB44.8 KB118.2 KB
Load Time (3G)0.4s0.9s2.1s
DNS Lookups134
Requests2712

PageSpeed Impact:

  • Turnstile: -2 Punkte
  • reCAPTCHA v3: -8 Punkte
  • reCAPTCHA v2: -15 Punkte

Privacy & DSGVO

Turnstile

// Keine personenbezogenen Daten gespeichert
// Cloudflare Statement:
"Turnstile does not use cookies and does not track users across sites"

DSGVO-Status: ✅ Konform, kein Cookie-Banner nötig

reCAPTCHA

// Google sammelt:
// - IP-Adresse
// - Browser-Fingerprint
// - Mausbewegungen
// - Cookies

DSGVO-Status: ⚠️ Cookie-Banner + Datenschutzerklärung erforderlich

Implementation

Turnstile Setup

1. Script einbinden:

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" 
  async defer></script>

2. Widget im Formular:

<form id="contact-form">
  <input type="email" name="email" required />
  
  <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
  
  <button type="submit">Absenden</button>
</form>

3. Server-Validation:

const verifyTurnstile = async (token, ip) => {
  const response = await fetch(
    'https://challenges.cloudflare.com/turnstile/v0/siteverify',
    {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({
        secret: process.env.TURNSTILE_SECRET,
        response: token,
        remoteip: ip,
      }),
    }
  );
  
  const data = await response.json();
  return data.success;
};

Setup Time: ~15 Minuten

reCAPTCHA v3 Setup

1. Script:

<script src="https://www.google.com/recaptcha/api.js?render=SITE_KEY"></script>

2. Token generieren:

grecaptcha.ready(() => {
  grecaptcha.execute('SITE_KEY', { action: 'submit' })
    .then(token => {
      // Token an Backend senden
    });
});

3. Server-Validation:

const verifyRecaptcha = async (token) => {
  const response = await fetch(
    'https://www.google.com/recaptcha/api/siteverify',
    {
      method: 'POST',
      body: `secret=${SECRET}&response=${token}`,
    }
  );
  
  const data = await response.json();
  return data.success && data.score >= 0.5;
};

Setup Time: ~30 Minuten (komplexer wegen Scoring)

User Experience

Turn stile

  • ✅ Komplett unsichtbar (kein Checkbox)
  • ✅ Keine Bild-Challenges
  • ⚠️ Gelegentlich kurze Verzögerung

User Journey:

  1. Formular ausfüllen
  2. Submit klicken
  3. ✨ Fertig (Hintergrund-Check)

reCAPTCHA v3

  • ✅ Unsichtbar
  • ❌ Kann zu v2 downgraden bei niedrigem Score
  • ❌ Google-Branding erforderlich

Bei gutem Score:

  1. Formular ausfüllen
  2. Submit
  3. ✨ Fertig

Bei schlechtem Score:

  1. Formular ausfüllen
  2. Submit
  3. ❌ Bild-Challenge
  4. Nochmal lösen
  5. Fertig

reCAPTCHA v2

  • ❌ Sichtbare Checkbox
  • ❌ Häufige Bild-Challenges
  • ❌ Frustrierend mobil

Conversion-Impact:

  • Turnstile: -2% Abbruchrate
  • reCAPTCHA v3: -8%
  • reCAPTCHA v2: -25%

Security Effectiveness

Spam-Blockierung (30 Tage Test)

Test: Kontaktformular, ~1.000 Submissions

SystemSpam BlockedFalse PositivesRate
Turnstile847/850299.6%
reCAPTCHA v3845/850599.4%
Keine CAPTCHA0/85000%

Fazit: Beide gleich effektiv!

Cost of Ownership

Direct Costs

Beide kostenlos für normale Nutzung.

Hidden Costs

Turnstile:

  • ✅ Kein Cookie-Banner-Tool nötig
  • ✅ Keine rechtliche Beratung
  • ✅ Geringeres Abmahnrisiko

reCAPTCHA:

  • ⚠️ Cookie-Banner-Software (~€49/Jahr)
  • ⚠️ Anwaltliche Prüfung (~€300)
  • ⚠️ Höheres Abmahnrisiko

TCO (Jahr 1):

  • Turnstile: €0
  • reCAPTCHA: €300–€500

Migration: reCAPTCHA → Turnstile

<!-- Vorher (reCAPTCHA) -->
<script src="https://www.google.com/recaptcha/api.js"></script>
<div class="g-recaptcha" data-sitekey="..."></div>

<!-- Nachher (Turnstile) -->
<script src="https://challenges.cloudflare.com/turnstile/v0/api.js"></script>
<div class="cf-turnstile" data-sitekey="..."></div>

Backend:

// Nur URL ändern!
fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify', ...)

Migration Time: ~1 Stunde

When to use what?

Wähle Turnstile wenn:

✅ Privacy/DSGVO wichtig
✅ Performance kritisch
✅ Einfachheit bevorzugt
✅ Cloudflare bereits genutzt

Wähle reCAPTCHA wenn:

✅ Google Services bereits im Einsatz
✅ Detailliertes Risk Scoring benötigt
✅ Globale Reputation Database wichtig

Real-World Recommendation

Für 90% der Websites:Turnstile

Warum?

  1. Bessere Performance (-60% Ladezeit)
  2. Keine DSGVO-Probleme
  3. Gleicher Spam-Schutz
  4. Einfacheres Setup

Score Card

  • Performance: Turnstile +2
  • Privacy: Turnstile +2
  • UX: Turnstile +1
  • Security: Unentschieden
  • Setup: Turnstile +1

Final Score: Turnstile 6 : 0 reCAPTCHA

Diese Website nutzt Turnstile. Teste es selbst im Kontaktformular!

Artikel teilen:

Mehr Artikel