Aktualisiert: März 2026 · Lesezeit: 7 Min.
Ein Kontaktformular auf der Website — was soll daran kompliziert sein? Name, E-Mail, Nachricht, Absenden. Technisch simpel. Datenschutzrechtlich? Da wird es spannend. Denn mit jedem Absenden werden personenbezogene Daten erhoben, übertragen und gespeichert. Und genau dafür brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO.
Die gute Nachricht: Sie müssen nicht auf Kontaktformulare verzichten. Aber Sie müssen ein paar Dinge richtig machen. Und „ein paar" ist hier wörtlich gemeint — es sind fünf bis sechs Punkte, die den Unterschied zwischen konform und abmahnfähig ausmachen.
Für die meisten Kontaktformulare kommt Art. 6 Abs. 1 lit. f DSGVO in Frage: das berechtigte Interesse. Sie haben ein berechtigtes Interesse daran, dass Besucher Sie kontaktieren können. Der Besucher hat ein Interesse, seine Anfrage zu stellen. Passt.
Alternativ kann Art. 6 Abs. 1 lit. b greifen, wenn die Anfrage auf einen Vertragsschluss abzielt. Jemand fragt über Ihr Formular ein Angebot für eine Dachreparatur in Mannheim an? Vorvertragliche Maßnahme. Saubere Rechtsgrundlage.
Was Sie NICHT brauchen: eine Checkbox „Ich stimme der Datenverarbeitung zu". Das wird ständig falsch gemacht. Eine Einwilligung nach lit. a ist für ein normales Kontaktformular weder nötig noch sinnvoll — Sie öffnen damit sogar eine Angriffsfläche, denn eine Einwilligung kann jederzeit widerrufen werden.
Was Sie allerdings brauchen: einen Datenschutzhinweis. Art. 13 DSGVO verlangt die Information zum Zeitpunkt der Datenerhebung. Ein kurzer Text unter dem Formular reicht: „Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen in unserer Datenschutzerklärung."
Art. 32 DSGVO verlangt angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Bei einem Kontaktformular heißt das: Die Daten müssen verschlüsselt übertragen werden. HTTPS ist Pflicht.
Ein Formular ohne SSL ist wie ein Brief ohne Umschlag. In öffentlichen WLANs — Cafés in Berlin, Züge der Deutschen Bahn — können unverschlüsselte Formulardaten abgefangen werden. Die Lösung: Let's Encrypt. Kostenlos, automatisch, von fast jedem Hoster unterstützt.
Art. 5 Abs. 1 lit. c DSGVO: Daten müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Für eine einfache Kontaktanfrage brauchen Sie Name und E-Mail. Vielleicht noch ein Betreff-Feld. Punkt.
Was Sie NICHT als Pflichtfeld setzen sollten: Geburtsdatum, Adresse, Telefonnummer (wenn E-Mail ausreicht), Firma (wenn nicht relevant). Jedes zusätzliche Pflichtfeld erhöht Ihr Datenrisiko und senkt gleichzeitig die Conversion-Rate.
Eine Zahnarztpraxis in Dresden, die ich beraten habe, hatte zwölf Pflichtfelder in ihrem Kontaktformular — inklusive Krankenkasse und Geburtsdatum. Für eine einfache Terminanfrage. Das ist nicht nur DSGVO-widrig (Gesundheitsdaten nach Art. 9!), sondern auch aus Nutzersicht abschreckend.
Wie lange dürfen Sie die Kontaktanfrage aufbewahren? Solange der Zweck besteht — keinen Tag länger. Meiner Erfahrung nach sind sechs Monate ein guter Richtwert für Anfragen, die nicht zu einem Auftrag führen. Bei Vertragsschluss greifen die handelsrechtlichen Aufbewahrungspflichten (6 bzw. 10 Jahre).
Viele WordPress-Plugins wie Contact Form 7 oder WPForms speichern Anfragen in der Datenbank — teilweise unbegrenzt. Prüfen Sie die Einstellungen und aktivieren Sie eine automatische Löschung.
Google reCAPTCHA ist der populärste Spam-Schutz. Und gleichzeitig ein DSGVO-Problem: Es lädt Google-Scripts, setzt Cookies und überträgt Daten in die USA. Ohne Einwilligung geht das nicht.
Alternativen gibt es genug. Honeypot-Felder sind unsichtbare Formularfelder, die nur Bots ausfüllen — datenschutzkonform und effektiv. Mathematische Captchas funktionieren ohne externe Dienste. Friendly Captcha ist eine europäische Alternative, die ohne Cookies auskommt.
Wer unbedingt reCAPTCHA nutzen will, muss es in die Datenschutzerklärung aufnehmen und hinter den Cookie-Consent setzen. Das Formular funktioniert dann erst nach Cookie-Zustimmung. Keine ideale User Experience, aber rechtlich sauber.
Contact Form 7 ist der Klassiker — kostenlos, flexibel, aber ohne eingebaute DSGVO-Features. Sie brauchen Flamingo für die Datenbankspeicherung und müssen Datenschutzhinweise manuell einfügen.
WPForms und Gravity Forms bieten GDPR-Felder out of the box. Bequemer, aber die Einwilligungs-Checkbox ist wie gesagt für normale Formulare unnötig.
Bei allen Plugins: Prüfen Sie, ob das Plugin selbst Daten an externe Server sendet. Manche Premium-Plugins validieren die Lizenz und übermitteln dabei Ihre Server-URL. Kein Super-GAU, gehört aber in die Datenschutzerklärung.