Kontaktformulare datenschutzkonform gestalten

Ein Kontaktformular gehört zu den selbstverständlichsten Elementen einer Website — und genau deshalb wird der Datenschutz hier oft übersehen. Dabei ist jedes Kontakt-, Anmelde- oder Buchungsformular eine Verarbeitung personenbezogener Daten: Name, E-Mail-Adresse, Telefonnummer und der Inhalt der Nachricht fallen an, sobald jemand das Formular absendet. Dieser Beitrag ordnet neutral ein, welche Anforderungen daraus folgen und wie du deine eigenen Formulare daraufhin selbst prüfst.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Welche Rechtsgrundlage trägt dein Formular?

Jede Verarbeitung personenbezogener Daten braucht nach der DSGVO eine Rechtsgrundlage. Welche das beim Formular ist, hängt vom Zweck ab — eine pauschale Antwort gibt es nicht:

• Vertrag oder vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b DSGVO): Fragt jemand über das Formular ein Angebot an oder bucht einen Termin, geschieht die Verarbeitung in der Regel, um auf seine Anfrage zu reagieren.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Geht es über die reine Bearbeitung der Anfrage hinaus — etwa weil du die Adresse zusätzlich für Werbung oder einen Newsletter nutzen willst — brauchst du dafür eine eigene, freiwillige Einwilligung.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Bei einer allgemeinen Kontaktaufnahme ohne Vertragsbezug kann ein berechtigtes Interesse in Betracht kommen — das setzt aber eine Abwägung mit den Interessen der Betroffenen voraus.

Welche Grundlage in deinem konkreten Fall passt, hängt davon ab, wozu du die Daten tatsächlich verwendest. Wichtig ist vor allem: Der genannte Zweck und die spätere Nutzung sollten zusammenpassen — und genau das sollte auch in deiner Datenschutzerklärung stehen.

Pflichten und gute Praxis im Überblick

Verschlüsselte Übertragung per TLS/HTTPS

Daten aus einem Formular wandern über das Netz zu deinem Server. Werden sie unverschlüsselt übertragen, könnten sie auf diesem Weg mitgelesen werden. Art. 32 DSGVO verlangt Maßnahmen, die dem Risiko angemessen sind — bei personenbezogenen Daten ist eine Transportverschlüsselung per TLS/HTTPS daher faktisch der Standard. Praktisch heißt das: Die Seite mit dem Formular und das Ziel, an das es absendet, sollten über https:// laufen. Mehr zum technischen Hintergrund steht im Beitrag zur SSL/TLS-Verschlüsselung.

Datenminimierung: nur abfragen, was nötig ist

Die DSGVO verlangt, sich auf das für den Zweck Erforderliche zu beschränken. Für eine einfache Kontaktanfrage reichen oft eine Möglichkeit zur Rückmeldung (etwa E-Mail-Adresse) und das Anliegen. Frage nicht standardmäßig Telefonnummer, vollständige Anschrift oder Geburtsdatum ab, wenn du sie für die Beantwortung nicht brauchst. Felder, die du nur optional erheben willst, solltest du klar als optional kennzeichnen — Pflichtfelder bleiben den wirklich nötigen Angaben vorbehalten.

Datenschutzhinweis direkt am Formular

Betroffene müssen wissen, was mit ihren Daten geschieht. Ein kurzer, verständlicher Hinweis unmittelbar am Formular — mit Link zur vollständigen Datenschutzerklärung — schafft Transparenz an der Stelle, an der die Daten erhoben werden. So sieht die Person vor dem Absenden, wer verantwortlich ist und wozu die Angaben verwendet werden.

Newsletter & Werbung: separate Einwilligung

Soll das Formular auch eine Einwilligung für Newsletter oder Werbung einholen, gehört das in eine eigene, nicht vorausgewählte Checkbox — getrennt vom Absenden der eigentlichen Anfrage. Eine bereits angehakte Box ist keine wirksame Einwilligung. Für Newsletter hat sich zudem das Double-Opt-In etabliert: Nach dem Eintragen geht eine Bestätigungs-E-Mail raus, und erst der Klick darauf aktiviert den Versand. Das dokumentiert die Einwilligung und verhindert fremde Eintragungen. Mehr dazu im Beitrag zu Newsletter- und CRM-Tools.

Zweckbindung und Löschkonzept

Daten aus einem Formular dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden — eine Kontaktanfrage ist keine Einladung, die Adresse anschließend für Werbung zu verwenden. Außerdem solltest du festlegen, wie lange du die Daten aufbewahrst und wann du sie löschst. Eine Anfrage, die erledigt ist, muss nicht unbegrenzt im Postfach oder in der Datenbank liegen bleiben.

Spamschutz ohne übergriffiges Tracking

Formulare ziehen Spam an, und der Wunsch nach Schutz ist berechtigt. Nicht jede Lösung ist aus Datenschutzsicht gleich unproblematisch: Externe Dienste können selbst Daten der Besucher an Dritte übertragen. Datensparsamere Verfahren laufen oft serverseitig oder ohne Drittanbieter:

• Honeypot-Feld: ein für Menschen unsichtbares Zusatzfeld. Füllt es ein automatisiertes Skript aus, wird die Einsendung verworfen — ohne dass Besucherdaten an Dritte gehen.
• Zeitmessung: Wird ein Formular in Sekundenbruchteilen abgeschickt, deutet das auf einen Bot hin. Diese Prüfung kann serverseitig erfolgen.

Setzt du dagegen ein externes CAPTCHA ein, lohnt ein genauer Blick darauf, welche Daten dabei wohin fließen. Was dabei zu beachten ist, behandelt der Beitrag zu CAPTCHA & DSGVO.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen. Geh deine Formulare einmal aus Sicht der Besucher durch:

• Lädt das Formular über HTTPS? Steht in der Adresszeile https:// und ist die Verbindung als sicher markiert? Prüfe das auf jeder Seite mit einem Formular, nicht nur auf der Startseite.
• Gibt es einen Datenschutzhinweis? Ist unmittelbar am Formular ein kurzer Hinweis mit Link zur Datenschutzerklärung sichtbar — bevor man absendet?
• Sind nur nötige Felder Pflicht? Geh die Pflichtfelder durch: Brauchst du wirklich jedes davon, um die Anfrage zu beantworten? Optionale Felder sollten als solche erkennbar sein.
• Gehen beim Absenden Daten an Dritte? Öffne die Entwicklertools (F12), gehe auf „Netzwerk", sende das Formular testweise ab und sieh nach, an welche Domains Daten gehen — tauchen dort fremde Dienste auf, lohnt eine genauere Prüfung.

Wie konfora Formulare und die übrigen Bereiche automatisiert erfasst und einordnet, kannst du in der Methodik nachlesen. Einen schnellen ersten Eindruck deiner Seite bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Er ersetzt keine fachkundige Prüfung, zeigt dir aber, ob an dieser Stelle Handlungsbedarf besteht.

Kurz zusammengefasst

• Jedes Kontakt-, Anmelde- oder Buchungsformular verarbeitet personenbezogene Daten und braucht eine Rechtsgrundlage — Vertrag/vorvertraglich, Einwilligung oder berechtigtes Interesse, je nach Zweck.
• Personenbezogene Daten sollten verschlüsselt per TLS/HTTPS übertragen werden (Art. 32 DSGVO); frage nur ab, was du wirklich brauchst, und kennzeichne optionale Felder.
• Ein Datenschutzhinweis mit Link zur Datenschutzerklärung gehört direkt ans Formular; Newsletter/Werbung brauchen eine separate, nicht vorausgewählte Einwilligung (Double-Opt-In).
• Spamschutz geht datensparsam — etwa per Honeypot oder Zeitmessung — ohne Besucherdaten unnötig an Dritte zu übertragen.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.