Ein Kontaktformular gehört auf fast jede Website – aber kaum ein Element wird datenschutzrechtlich so oft falsch umgesetzt. Fehlende Datenschutz-Checkboxen, unverschlüsselte Übertragung, zu viele Pflichtfelder oder fehlende Informationen in der Datenschutzerklärung – die Liste möglicher Fehler ist lang.

Die Konsequenz: Abmahnungen wegen DSGVO-Verstößen bei Kontaktformularen sind inzwischen Alltag. Und das, obwohl es mit den richtigen Maßnahmen sehr einfach ist, ein rechtssicheres Kontaktformular zu erstellen.

In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie Ihr Kontaktformular DSGVO-konform gestalten – mit konkreten Code-Beispielen, Musterformulierungen und einer Checkliste.

Die rechtlichen Grundlagen: Was regelt die DSGVO bei Kontaktformularen?

Wenn ein Nutzer Ihr Kontaktformular ausfüllt, verarbeiten Sie personenbezogene Daten (Name, E-Mail-Adresse, oft auch Telefonnummer oder Nachricht). Die DSGVO regelt, wie Sie diese Daten verarbeiten dürfen.

Die wichtigsten Artikel der DSGVO

Art. 6 Abs. 1 DSGVO – Rechtsgrundlage
Sie brauchen eine Rechtsgrundlage für die Verarbeitung. Bei Kontaktformularen kommen in Frage:

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (explizite Zustimmung des Nutzers)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragsanbahnung (z.B. Anfrage für ein Angebot)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (z.B. Beantwortung einer allgemeinen Anfrage)

Art. 13 DSGVO – Informationspflicht
Beim Erheben personenbezogener Daten müssen Sie den Nutzer informieren über:

  • Wer verantwortlich ist (Ihr Unternehmen)
  • Zu welchem Zweck die Daten verarbeitet werden
  • Rechtsgrundlage der Verarbeitung
  • Speicherdauer
  • Empfänger der Daten (falls Sie die Daten weitergeben)
  • Rechte des Nutzers (Auskunft, Löschung, etc.)

Art. 5 Abs. 1 lit. c DSGVO – Datenminimierung
Sie dürfen nur die Daten erheben, die Sie tatsächlich benötigen. Keine unnötigen Pflichtfelder.

Art. 32 DSGVO – Technische und organisatorische Maßnahmen
Sie müssen die Daten sicher übertragen und speichern (z.B. SSL-Verschlüsselung).

Zusätzlich: TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)

§ 25 TTDSG regelt den Schutz der Endeinrichtungen. Relevant für Kontaktformulare:

  • Wenn Sie Cookies setzen (z.B. für CAPTCHA, Formularspeicherung), brauchen Sie eine Einwilligung
  • Wenn Sie Tracking-Tools im Formular einbinden (z.B. Google Analytics auf der Formularseite), brauchen Sie ebenfalls eine Einwilligung

Die 7 Pflicht-Bausteine eines DSGVO-konformen Kontaktformulars

1. SSL-Verschlüsselung (HTTPS)

Was ist SSL?
SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) verschlüsselt die Datenübertragung zwischen dem Browser des Nutzers und Ihrem Server. Ohne SSL werden die Formulardaten im Klartext übertragen – jeder, der den Netzwerkverkehr mitschneidet, kann mitlesen.

Ist SSL Pflicht?
Ja. Art. 32 DSGVO fordert „ein dem Risiko angemessenes Schutzniveau". Bei der Übertragung von personenbezogenen Daten (E-Mail-Adresse, Name) ist SSL der Mindeststandard.

Wie erkenne ich, ob SSL aktiv ist?

  • URL beginnt mit https:// (nicht http://)
  • Grünes Schloss-Symbol in der Adresszeile des Browsers

Wie aktiviere ich SSL?

Option 1: Let’s Encrypt (kostenlos)
Die meisten Hoster (Strato, 1&1, Hetzner, etc.) bieten kostenlose SSL-Zertifikate über Let’s Encrypt an. Aktivierung meist mit 1 Klick im Hosting-Panel.

Option 2: Cloudflare (kostenlos)
Wenn Ihr Hoster kein SSL anbietet, können Sie Cloudflare als Proxy nutzen:

  1. Domain zu Cloudflare übertragen (DNS-Einstellungen ändern)
  2. SSL/TLS auf “Full” oder “Flexible” stellen
  3. Cloudflare übernimmt die Verschlüsselung

Wichtig: Nach Aktivierung von SSL müssen Sie alle internen Links auf https:// umstellen und eine 301-Weiterleitung von http:// auf https:// einrichten.

2. Pflichtfelder auf das Minimum reduzieren

Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):
Sie dürfen nur die Daten erheben, die Sie wirklich benötigen.

Was ist wirklich nötig?

Minimal-Kontaktformular:

  • E-Mail-Adresse (um antworten zu können)
  • Nachricht (um zu wissen, worum es geht)

Optional (nur wenn sinnvoll):

  • Name (für persönliche Ansprache – aber keine Pflicht!)
  • Telefonnummer (nur wenn telefonischer Rückruf explizit angeboten wird)
  • Betreff (zur Kategorisierung – kann auch Dropdown sein)

NICHT als Pflichtfeld:

  • ❌ Adresse (außer bei Lieferung/Vor-Ort-Service)
  • ❌ Geburtsdatum (fast nie erforderlich)
  • ❌ Geschlecht (diskriminierend und irrelevant)
  • ❌ Unternehmensgröße, Branche, etc. (nur für Marketing, nicht für Kontakt nötig)

Beispiel: Zu viele Pflichtfelder

Ich habe kürzlich eine Website geprüft, deren Kontaktformular 12 Pflichtfelder hatte:

  • Vorname, Nachname, E-Mail, Telefon, Firma, Straße, PLZ, Ort, Land, Branche, Mitarbeiteranzahl, Budget

Problem: Für eine einfache Anfrage (“Ich hätte gerne ein Angebot”) sind 90% dieser Felder unnötig → Verstoß gegen Datenminimierung.

Lösung: Nur E-Mail + Nachricht als Pflicht, Rest optional.

3. Datenschutz-Checkbox (Einwilligung oder Hinweis)

Hier wird es rechtlich komplex. Es gibt zwei Ansätze:

Option A: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Sie holen sich eine explizite Einwilligung des Nutzers:

<input type="checkbox" name="datenschutz" required>
<label for="datenschutz">
  Ich habe die <a href="/datenschutz/" target="_blank">Datenschutzerklärung</a> gelesen und willige in die Verarbeitung meiner Daten zum Zweck der Kontaktaufnahme ein. *
</label>

Wichtig:

  • Checkbox nicht vorankreuzen
  • required-Attribut setzen (Pflichtfeld)
  • Link zur Datenschutzerklärung direkt dabei

Vorteil: Rechtlich sehr sicher, weil Sie eine aktive Einwilligung haben.

Nachteil: Manche Nutzer fühlen sich von Checkboxen genervt (höhere Abbruchrate).

Option B: Hinweis ohne Checkbox (Art. 6 Abs. 1 lit. b oder f DSGVO)

Wenn die Kontaktaufnahme der Vertragsanbahnung dient (z.B. Anfrage für ein Angebot), können Sie auf die Checkbox verzichten und stattdessen einen Hinweis unterhalb des Formulars einfügen:

<p class="datenschutz-hinweis">
  Mit dem Absenden Ihrer Anfrage erklären Sie sich damit einverstanden, dass wir Ihre Daten zur Bearbeitung Ihrer Anfrage verwenden. Weitere Informationen finden Sie in unserer <a href="/datenschutz/">Datenschutzerklärung</a>.
</p>

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung), wenn es um eine konkrete Anfrage für Ihre Dienstleistungen geht
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), wenn es eine allgemeine Anfrage ist

Vorteil: Nutzerfreundlicher (keine zusätzliche Checkbox).

Nachteil: Rechtlich etwas unsicherer – Datenschützer und Gerichte sind sich nicht einig, ob ein Hinweis reicht.

Was empfehle ich?

Für maximale Rechtssicherheit: Checkbox (Option A).

Für bessere Usability bei B2B-Anfragen: Hinweis (Option B) – aber nur, wenn es wirklich um Vertragsanbahnung geht (z.B. “Ich möchte ein Angebot für Ihre Dienstleistung X”).

Niemals: Gar keine Information. Sie müssen den Nutzer zumindest darauf hinweisen, dass seine Daten verarbeitet werden (Art. 13 DSGVO).

4. Transparente Information direkt beim Formular

Sie müssen den Nutzer zum Zeitpunkt der Datenerhebung informieren (Art. 13 DSGVO). Ein Link zur Datenschutzerklärung reicht, aber besser ist ein kurzer Hinweis direkt beim Formular:

Gutes Beispiel:

<p class="datenschutz-info">
  <strong>Datenschutzinformation:</strong><br>
  Die von Ihnen eingegebenen Daten verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage. Ihre Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Weitere Informationen finden Sie in unserer <a href="/datenschutz/">Datenschutzerklärung</a>.
</p>

Was sollte drin stehen?

  • Zweck: Wofür werden die Daten verwendet? (“Bearbeitung Ihrer Anfrage”)
  • Speicherdauer: Wie lange werden die Daten gespeichert? (“Nach Abschluss der Bearbeitung”)
  • Link zur Datenschutzerklärung: Für detaillierte Infos

Wo platzieren?

  • Unterhalb des Formulars (vor dem Absende-Button)
  • Oder als kleiner Hinweis direkt bei den Eingabefeldern

5. CAPTCHA (optional, aber empfohlen)

CAPTCHA-Mechanismen (z.B. Google reCAPTCHA, hCaptcha) verhindern Spam durch Bots.

Datenschutz-Problem:
Viele CAPTCHA-Dienste (insbesondere Google reCAPTCHA) übertragen Daten an externe Server – teilweise in die USA.

Option A: Google reCAPTCHA v3 (mit Einwilligung)

Was ist reCAPTCHA v3?
Es analysiert das Nutzerverhalten auf der Seite und gibt einen Score (0-1) zurück, wie wahrscheinlich es ist, dass der Nutzer ein Bot ist. Kein klassisches “Bitte klicken Sie auf alle Bilder mit Ampeln”-CAPTCHA.

Datenschutz-Problem:

  • Daten werden an Google übertragen (IP-Adresse, Mausbewegungen, Cookies)
  • Datenschutzbehörden sehen das kritisch (Drittlandübermittlung in die USA)

Lösung:

  1. reCAPTCHA v3 nur nach Einwilligung laden (Cookie-Banner)
  2. In Datenschutzerklärung erwähnen
  3. Auftragsverarbeitungsvertrag (AVV) mit Google abschließen

Option B: hCaptcha (datenschutzfreundlicher)

hCaptcha ist eine Alternative zu Google reCAPTCHA:

  • Server in EU wählbar
  • Weniger aggressives Tracking
  • DSGVO-konformer als reCAPTCHA

Integration:
docs.hcaptcha.com

Option C: Honeypot (ohne externe Dienste)

Die datenschutzfreundlichste Lösung: Honeypot-Feld.

Wie funktioniert es?

  1. Sie fügen ein verstecktes Feld ins Formular ein (z.B. <input type="text" name="website" style="display:none">)
  2. Echte Nutzer sehen das Feld nicht und lassen es leer
  3. Bots füllen oft alle Felder aus – auch das versteckte
  4. Ihre Server-Logik prüft: Wenn das Honeypot-Feld ausgefüllt ist → Formular ablehnen

Vorteil: Keine externen Dienste, keine Datenübertragung, DSGVO-konform.

Nachteil: Weniger effektiv gegen fortgeschrittene Bots.

Code-Beispiel (PHP):

<?php
if (!empty($_POST['website'])) {
  // Honeypot wurde ausgefüllt → Bot
  die('Spam detected.');
}

// Rest der Formularverarbeitung
?>

<input type="text" name="website" style="display:none;" tabindex="-1" autocomplete="off">

6. Sichere Datenspeicherung und -verarbeitung

Wo werden die Formulardaten gespeichert?

Option A: E-Mail-Versand
Die Formulardaten werden per E-Mail an Sie verschickt (z.B. mit PHP mail() oder WordPress Contact Form 7).

Datenschutz-Aspekt:

  • E-Mails sind standardmäßig unverschlüsselt (Klartext über SMTP)
  • Wenn Sie die E-Mail auf Ihrem Server/E-Mail-Anbieter speichern, müssen Sie dafür sorgen, dass der Zugriff geschützt ist (Passwort, 2FA)

Empfehlung: Nutzen Sie verschlüsselte E-Mail-Übertragung (TLS/STARTTLS). Die meisten modernen E-Mail-Provider (Gmail, Outlook, etc.) unterstützen das automatisch.

Option B: Datenbank-Speicherung
Die Formulardaten werden in einer Datenbank gespeichert (z.B. mit WordPress-Plugin “Contact Form DB” oder eigenem CRM).

Datenschutz-Aspekt:

  • Datenbank muss gegen unbefugten Zugriff geschützt sein (starke Passwörter, keine öffentliche Exposition)
  • Regelmäßige Löschung alter Anfragen (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO)

Empfehlung: Setzen Sie eine automatische Löschung nach 6-12 Monaten (außer bei gesetzlichen Aufbewahrungspflichten, z.B. bei Rechnungen).

Wer hat Zugriff auf die Daten?

Minimaler Zugriff:

  • Nur Personen, die die Anfragen bearbeiten müssen, sollten Zugriff haben
  • Nutzen Sie individuelle Accounts (nicht ein gemeinsames Passwort für alle)

Beispiel aus der Praxis:
Ein Unternehmen hatte ein Kontaktformular, dessen Daten in einer Excel-Datei auf einem Netzlaufwerk gespeichert wurden – ohne Passwortschutz. Jeder Mitarbeiter hatte Zugriff. Datenschutzverstoß!

Lösung: CRM mit Rollen-Berechtigungen (z.B. nur Vertriebs-Team hat Zugriff, nicht IT-Abteilung).

7. Datenschutzerklärung ergänzen

Ihre Datenschutzerklärung muss einen Abschnitt über das Kontaktformular enthalten.

Muster-Text für Datenschutzerklärung:

**Kontaktformular**

Wenn Sie uns über unser Kontaktformular eine Anfrage zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

**Welche Daten werden erhoben?**
- E-Mail-Adresse (Pflichtfeld)
- Name (optional)
- Nachricht (Pflichtfeld)
- IP-Adresse (automatisch, zur Spam-Prävention)
- Zeitpunkt der Anfrage (automatisch)

**Zu welchem Zweck?**
Die Verarbeitung dient der Bearbeitung Ihrer Anfrage und der Kontaktaufnahme mit Ihnen.

**Rechtsgrundlage:**
- Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung), wenn Ihre Anfrage auf den Abschluss eines Vertrages abzielt
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage), bei allgemeinen Anfragen
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), wenn Sie der Verarbeitung durch Ankreuzen der Checkbox zugestimmt haben

**Speicherdauer:**
Ihre Daten werden gelöscht, sobald die Bearbeitung Ihrer Anfrage abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten bestehen. Bei Vertragsabschluss können gesetzliche Aufbewahrungsfristen gelten (z.B. 10 Jahre für Rechnungen gem. § 147 AO).

**Empfänger:**
Ihre Daten werden nur intern verarbeitet. Eine Weitergabe an Dritte erfolgt nicht, außer zur Erfüllung Ihrer Anfrage (z.B. Weiterleitung an zuständige Fachabteilung).

**Ihre Rechte:**
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Kontaktieren Sie uns dazu unter [Ihre E-Mail-Adresse].

**CAPTCHA:**
Zur Spam-Prävention nutzen wir [Google reCAPTCHA v3 / hCaptcha / Honeypot]. [Falls reCAPTCHA/hCaptcha: Dabei werden Daten an [Google LLC / hCaptcha Inc.] übertragen. Weitere Informationen: [Link zur Datenschutzerklärung des Dienstleisters].]

Wichtig: Passen Sie den Text an Ihre tatsächliche Umsetzung an (welche Felder erheben Sie wirklich? Nutzen Sie reCAPTCHA oder nicht?).

WordPress: Die besten Plugins für DSGVO-konforme Kontaktformulare

1. Contact Form 7 + DSGVO-Addon

Contact Form 7 ist das beliebteste Kontaktformular-Plugin (>5 Mio. Installationen).

DSGVO-Erweiterung:

  • Installieren Sie zusätzlich “Contact Form 7 - DSGVO-Erweiterung” oder “Borlabs Cookie” (blockt CF7-Scripts bis zur Einwilligung)
  • Fügen Sie eine Datenschutz-Checkbox hinzu

Beispiel-Code (Contact Form 7):

<label>Ihr Name
  [text your-name]
</label>

<label>Ihre E-Mail-Adresse*
  [email* your-email]
</label>

<label>Ihre Nachricht*
  [textarea* your-message]
</label>

[acceptance datenschutz]
Ich habe die <a href="/datenschutz/" target="_blank">Datenschutzerklärung</a> gelesen und willige in die Verarbeitung meiner Daten ein.*
[/acceptance]

[submit "Absenden"]

Vorteile:

  • Kostenlos
  • Sehr flexibel
  • Große Community

Nachteile:

  • DSGVO-Features nicht out-of-the-box (benötigt Konfiguration)
  • Keine CAPTCHA-Integration ohne zusätzliches Plugin

2. WPForms (Premium)

WPForms ist ein Premium-Plugin mit Drag & Drop-Editor.

DSGVO-Features:

  • DSGVO-Checkbox vorgefertigt (“GDPR Agreement”)
  • IP-Adressen-Speicherung deaktivierbar
  • Automatische Löschung alter Einträge
  • CAPTCHA-Integration (reCAPTCHA, hCaptcha, Cloudflare Turnstile)

Preis: Ab $49/Jahr

Vorteile:

  • Sehr benutzerfreundlich (kein Code nötig)
  • DSGVO-konform out-of-the-box
  • Exzellenter Support

Nachteile:

  • Kostenpflichtig (aber für professionelle Websites lohnenswert)

3. Gravity Forms (Premium)

Gravity Forms ist das mächtigste Formular-Plugin für WordPress.

DSGVO-Features:

  • Einwilligungs-Feld (Consent Field)
  • Daten-Export für Betroffenenrechte (DSGVO Art. 15)
  • Automatische Löschung nach X Tagen
  • IP-Adressen-Anonymisierung

Preis: Ab $59/Jahr

Vorteile:

  • Extrem flexibel (Conditional Logic, Multi-Page-Forms, Berechnungen)
  • Professioneller Support
  • Viele Integrationen (Mailchimp, PayPal, Zapier, etc.)

Nachteile:

  • Teurer als Alternativen
  • Komplex für Einsteiger

4. Ninja Forms (Kostenlos + Premium)

Ninja Forms ist ein Mittelweg zwischen Contact Form 7 und WPForms.

DSGVO-Features:

  • Kostenlose Version hat Basis-DSGVO-Funktionen
  • Premium-Addon “GDPR Compliance” für erweiterte Features

Preis: Kostenlos (Basis) / Ab $49/Jahr (Premium)

Vorteile:

  • Drag & Drop (benutzerfreundlich)
  • Kostenlose Version bereits gut nutzbar

Nachteile:

  • Viele wichtige Features nur in Premium (z.B. Conditional Logic, File Uploads)

Checkliste: DSGVO-konformes Kontaktformular einrichten

  • SSL-Verschlüsselung aktiv (URL beginnt mit https://)
  • Nur notwendige Pflichtfelder (E-Mail + Nachricht minimal)
  • Datenschutz-Checkbox oder gut sichtbarer Hinweis
  • Link zur Datenschutzerklärung direkt beim Formular
  • Kurze Datenschutzinfo unterhalb des Formulars
  • CAPTCHA (optional: reCAPTCHA mit Einwilligung, hCaptcha oder Honeypot)
  • Datenschutzerklärung ergänzt (Abschnitt “Kontaktformular”)
  • Sichere Speicherung (E-Mail verschlüsselt oder Datenbank geschützt)
  • Zugriffsbeschränkung (nur autorisierte Personen haben Zugriff auf Formulardaten)
  • Automatische Löschung alter Anfragen (nach 6-12 Monaten)
  • IP-Adressen-Speicherung minimiert oder anonymisiert (falls gespeichert, in Datenschutzerklärung erwähnen)

Häufige Fehler und wie Sie sie vermeiden

Fehler 1: Kein SSL (HTTP statt HTTPS)

Beispiel: Ein Unternehmen hatte ein Kontaktformular auf http://example.de/kontakt – ohne SSL.

Problem: Daten werden unverschlüsselt übertragen → Verstoß gegen Art. 32 DSGVO (Datensicherheit).

Konsequenz: Abmahnung + Bußgeld möglich.

Lösung: SSL-Zertifikat aktivieren (Let’s Encrypt ist kostenlos).

Fehler 2: Zu viele Pflichtfelder

Beispiel: Ein Online-Shop hatte ein Kontaktformular mit 15 Pflichtfeldern (inkl. Geburtsdatum, Adresse, Geschlecht).

Problem: Verstoß gegen Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

Lösung: Nur Felder als Pflicht markieren, die wirklich nötig sind.

Fehler 3: Vorangekreuzte Datenschutz-Checkbox

Beispiel:

<input type="checkbox" name="datenschutz" checked> Ich akzeptiere die Datenschutzerklärung

Problem: Einwilligung muss durch aktive Handlung erfolgen (Art. 4 Nr. 11 DSGVO, EuGH C-673/17 “Planet49”).

Lösung: Checkbox nicht vorankreuzen (checked-Attribut entfernen).

Fehler 4: Google reCAPTCHA ohne Einwilligung

Beispiel: Google reCAPTCHA wird direkt beim Seitenaufruf geladen (ohne Cookie-Banner).

Problem: Daten werden an Google übertragen, bevor der Nutzer zugestimmt hat → Verstoß gegen DSGVO + TTDSG.

Lösung:

  • reCAPTCHA nur nach Einwilligung laden (Cookie-Banner)
  • Oder: hCaptcha / Honeypot nutzen (datenschutzfreundlicher)

Fehler 5: Keine Information in der Datenschutzerklärung

Beispiel: Kontaktformular ist da, aber in der Datenschutzerklärung steht nichts dazu.

Problem: Verstoß gegen Informationspflicht (Art. 13 DSGVO).

Lösung: Abschnitt “Kontaktformular” in Datenschutzerklärung einfügen (siehe Muster-Text oben).

Praxisfall: Abmahnung wegen fehlendem SSL

Ein Beispiel aus meiner Beratungspraxis:

Fall: Ein kleines Unternehmen hatte ein Kontaktformular auf einer Website ohne SSL-Zertifikat. Die Datenübertragung erfolgte über http://.

Abmahnung:

  • Vorwurf: Verstoß gegen Art. 32 DSGVO (mangelnde Datensicherheit)
  • Forderung: Strafbewehrte Unterlassungserklärung + 900 € Anwaltskosten

Ausgang:

  • Das Unternehmen aktivierte sofort SSL (Let’s Encrypt, kostenlos)
  • Unterschrieb eine modifizierte Unterlassungserklärung
  • Zahlte 500 € Anwaltskosten (nach Verhandlung)

Lehre: SSL ist nicht optional – es ist Pflicht, sobald Sie personenbezogene Daten übertragen.

Häufige Fragen (FAQ)

Brauche ich zwingend eine Datenschutz-Checkbox?

Nicht zwingend, aber empfohlen. Wenn die Anfrage der Vertragsanbahnung dient (Art. 6 Abs. 1 lit. b DSGVO), können Sie auch mit einem Hinweis arbeiten. Für maximale Rechtssicherheit: Checkbox nutzen.

Darf ich die IP-Adresse speichern?

Ja, zur Spam-Prävention ist das zulässig (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Aber:

  • In Datenschutzerklärung erwähnen
  • Optional: IP-Adresse anonymisieren (z.B. nur die ersten 3 Oktette speichern)
  • Nach kurzer Zeit löschen (z.B. 7 Tage)

Muss ich Formulardaten nach einer bestimmten Zeit löschen?

Ja, Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Sobald der Zweck erfüllt ist (Anfrage bearbeitet), müssen Sie die Daten löschen – außer es bestehen gesetzliche Aufbewahrungspflichten (z.B. bei Rechnungen 10 Jahre gem. § 147 AO).

Empfehlung: Automatische Löschung nach 6-12 Monaten für allgemeine Anfragen.

Kann ich Google reCAPTCHA nutzen?

Ja, aber nur mit Einwilligung (Cookie-Banner). Und: In Datenschutzerklärung erwähnen, AVV mit Google abschließen. Datenschutzfreundlicher: hCaptcha oder Honeypot-Methode.

Muss in der Datenschutzerklärung stehen, welche Felder ich erhebe?

Idealerweise ja (Transparenz, Art. 13 DSGVO). Mindestens sollten Sie beschreiben, welche Arten von Daten Sie erheben (z.B. “Name, E-Mail-Adresse, Nachricht”).

Was passiert, wenn ich gegen die DSGVO verstoße?

  • Abmahnung: Typisch €500-2.000 + Anwaltskosten
  • Bußgeld: Bis 20 Mio. € oder 4% des Jahresumsatzes (Art. 83 DSGVO) – in der Praxis für KMU meist €5.000-50.000 bei schweren Verstößen
  • Schadensersatz: Nutzer können Schadensersatz verlangen (Art. 82 DSGVO), z.B. bei Datenleck

Darf ich Formulardaten an Dritte weitergeben (z.B. CRM, Mailchimp)?

Ja, aber:

  • In Datenschutzerklärung erwähnen (wer ist der Empfänger?)
  • AVV (Auftragsverarbeitungsvertrag) mit dem Drittanbieter abschließen
  • Idealerweise: Einwilligung des Nutzers einholen (“Ich willige ein, dass meine Daten an [CRM-Anbieter] übermittelt werden”)

Zusammenfassung: Die 5 wichtigsten Punkte

  1. SSL aktivieren – ohne HTTPS kein Kontaktformular
  2. Nur notwendige Pflichtfelder – Datenminimierung ernst nehmen
  3. Datenschutz-Checkbox oder Hinweis – Nutzer muss informiert sein
  4. Datenschutzerklärung ergänzen – Abschnitt “Kontaktformular” einfügen
  5. Regelmäßig alte Anfragen löschen – Speicherbegrenzung beachten

Wenn Sie diese 5 Punkte befolgen, sind Sie rechtlich auf der sicheren Seite.

Weiterführende Hilfe

Kostenloser DSGVO-Check:
Prüfen Sie Ihr Kontaktformular mit unserem kostenlosen DSGVO-Check – erkennt automatisch häufige Fehler (kein SSL, zu viele Pflichtfelder, fehlende Checkbox).

Fertige Vorlagen:
In unserem DSGVO-Rettungspaket finden Sie:

  • Muster-Datenschutztexte für Kontaktformulare
  • Code-Snippets für DSGVO-konforme Checkboxen
  • Checklisten für WordPress-Formular-Plugins

Professionelle Unterstützung:
Wenn Sie Unterstützung bei der rechtssicheren Einrichtung benötigen, werfen Sie einen Blick auf unsere Datenschutz-Produkte.

Rechtlicher Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer individuellen Situation konsultieren Sie bitte einen Fachanwalt für IT-Recht oder Datenschutzrecht. Stand: Februar 2026.