Datenschutz

Kontaktformular DSGVO — Anforderungen für Website-Formulare

Ein Kontaktformular ist datenschutzrechtlich kein triviales Element. Es verarbeitet personenbezogene Daten — und die DSGVO stellt konkrete Anforderungen an Transparenz, Rechtsgrundlage und Drittanbieter-Einbindung, die in der Praxis in den meisten Fällen nicht vollständig erfüllt sind.

Was bei einem Kontaktformular datenschutzrechtlich passiert

Sobald ein Nutzer ein Kontaktformular absendet, werden personenbezogene Daten übermittelt: Name, E-Mail-Adresse, Nachrichteninhalt — je nach Formular auch Telefonnummer, Adresse oder andere Angaben. Diese Daten werden verarbeitet, gespeichert und oft weitergeleitet — an E-Mail-Server, CRM-Systeme oder externe Formulardienste.

Art. 13 DSGVO verlangt, dass Nutzer vor oder spätestens bei der Datenerhebung über die Verarbeitung informiert werden. „Informiert" bedeutet nicht allgemein — es bedeutet spezifisch: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Rechte.

In der Praxis sind Kontaktformulare in den meisten Fällen nicht vollständig DSGVO-konform eingebunden. Der häufigste Mangel ist nicht das Fehlen eines Datenschutzhinweises — sondern ein unvollständiger Hinweis, eine falsch gewählte Rechtsgrundlage oder ein externer Formulardienst, der Daten an US-Server überträgt, ohne dass dies in der Datenschutzerklärung dokumentiert ist.

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Diese Abweichung entsteht strukturell — nicht als Ausnahme, sondern als typischer Zustand.

Formular vorhanden ≠ DSGVO-Anforderungen erfüllt

Link zur Datenschutzerklärung am Formular ≠ Informationspflicht nach Art. 13 DSGVO erfüllt

Externer Formulardienst eingebunden ≠ Auftragsverarbeitung geregelt

Die Datenschutzerklärung beschreibt einen dokumentierten Zustand — nicht zwingend den tatsächlichen technischen Zustand. In vielen Fällen stimmen beide nicht überein.

Ist das Kontaktformular Ihrer Website DSGVO-konform eingebunden und dokumentiert?

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Warum Kontaktformular-Anforderungen in der Praxis in den meisten Fällen unvollständig umgesetzt sind

Kontaktformulare werden typischerweise als funktionale Elemente eingebunden — nicht als datenschutzrechtliche Systemkomponenten. Der Webentwickler konfiguriert das Formular. Der Datenschutzhinweis wird, falls vorhanden, als Checkbox oder Pflichttext ergänzt. Ob der Hinweis inhaltlich vollständig ist, ob die Rechtsgrundlage korrekt gewählt wurde und ob ein externer Formulardienst in der Datenschutzerklärung erfasst ist — diese Fragen werden bei der Einbindung typischerweise nicht systematisch geprüft.

Hinzu kommt: Formulardienste werden häufig gewechselt oder aktualisiert — von ContactForm7 auf Gravity Forms, von eigenem SMTP auf SendGrid oder HubSpot. Jeder dieser Wechsel erzeugt neue datenschutzrechtliche Anforderungen. Die Datenschutzerklärung wird dabei typischerweise nicht synchron aktualisiert.

Warum sich Formular-Mängel von außen erkennen lassen

Welche externen Dienste bei der Formularübermittlung Daten empfangen, ist durch HTTP-Traffic-Analyse beim Absenden des Formulars feststellbar — ohne Zugang zur Serverkonfiguration. Dass ein Formulardienst externe Requests sendet, ist im Netzwerk-Tab öffentlich nachvollziehbar. Ob dieser Dienst in der Datenschutzerklärung erwähnt ist, lässt sich durch einfache Textsuche in der Erklärung prüfen. Beide Prüfungen sind automatisierbar und reproduzierbar.

Anforderungen im Einzelnen

Datenschutzhinweis am Formular

Unmittelbar am Formular muss auf die Datenverarbeitung hingewiesen werden — nicht nur ein Link auf die allgemeine Datenschutzerklärung. Der Hinweis muss mindestens enthalten: Wer die Daten verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage. Ein Text wie „Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu" erfüllt diese Anforderung nicht — er stellt zudem eine unzulässige Einwilligungskoppelung dar, wenn die Verarbeitung ohnehin auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird.

Rechtsgrundlage für die Verarbeitung

Die häufig verwendete Rechtsgrundlage für Kontaktformulare ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder bei Anfragen zur Vertragsanbahnung lit. b. Welche Grundlage zutrifft, hängt vom Zweck des Formulars ab. In der Datenschutzerklärung muss die konkrete Rechtsgrundlage für die Formularverarbeitung explizit genannt sein.

Drittanbieter-Formulardienste

Werden externe Formulardienste eingesetzt — Typeform, Formspree, HubSpot-Forms, Gravity Forms mit externem SMTP, ContactForm7 mit Drittanbieter-Plugin — dann werden Formulardaten an externe Server übertragen. Das erfordert zusätzlich:

  • Nennung des Dienstleisters in der Datenschutzerklärung mit Zweck und Rechtsgrundlage
  • Auftragsverarbeitungsvertrag mit dem Anbieter (Art. 28 DSGVO)
  • Bei US-Anbietern: Prüfung der Drittlandübertragung und Erwähnung in der Datenschutzerklärung

Diese Punkte lassen sich nicht zuverlässig manuell prüfen, da sie von technischen Zuständen und Template-Strukturen abhängen.

Speicherdauer

Die Datenschutzerklärung muss angeben, wie lange die Formulardaten gespeichert werden. Pauschalangaben wie „solange erforderlich" erfüllen die Anforderung nicht — die Speicherdauer muss konkret oder an ein Kriterium geknüpft sein.

Typische Fehlannahme

Annahme: „Ich habe einen Link zur Datenschutzerklärung direkt am Formular eingefügt — damit bin ich abgedeckt."

Tatsächlich: Ein Link auf die allgemeine Datenschutzerklärung erfüllt die Informationspflicht nach Art. 13 DSGVO nur dann, wenn die Datenschutzerklärung selbst alle erforderlichen Angaben für das Formular enthält — Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Betroffenenrechte. Fehlt auch nur eine Angabe in der Erklärung, ist der Link auf eine unvollständige Seite kein valider Informationsnachweis. Zusätzlich: Wenn der Formulardienst ein US-Anbieter ist und das in der Erklärung nicht erwähnt ist, besteht eine separate Lücke unabhängig vom Link. Diese Konfiguration — Link vorhanden, Erklärung unvollständig — ist bei Kontaktformularen in vielen Fällen anzutreffen.

Warum sich Vollständigkeit nicht selbst einschätzen lässt

Ob ein eingebundener Formulardienst Daten an externe Server überträgt, lässt sich ohne Netzwerkanalyse nicht feststellen. Ob die Datenschutzerklärung für das Formular alle erforderlichen Angaben enthält, erfordert einen systematischen Abgleich mit den DSGVO-Anforderungen. Ob ein Auftragsverarbeitungsvertrag mit dem Formulardienst abgeschlossen wurde, ist ohne Prüfung der Accounteinstellungen oder der Anbieterdokumentation nicht verlässlich feststellbar.

Wer diese Prüfungen nicht vorgenommen hat, kann die Frage „Ist das Kontaktformular DSGVO-konform?" nicht verlässlich beantworten — auch nicht durch Lesen des Datenschutzhinweistexts am Formular.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob das Kontaktformular Ihrer Website DSGVO-konform ist, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen