Kontaktformular DSGVO-konform einrichten: worauf du achten musst
Ein Kontaktformular gehört zu den häufigsten Datenerfassungen auf einer Webseite – und genau deshalb schauen Datenschützer hier besonders genau hin. Sobald ein Nutzer seinen Namen oder seine E-Mail-Adresse einträgt, verarbeitest du personenbezogene Daten, und die DSGVO greift. Die gute Nachricht: Ein rechtssicheres Formular ist keine Raketenwissenschaft. Du musst nur ein paar Grundprinzipien sauber umsetzen. Wir erklären dir, worauf es ankommt – ehrlich, ohne Panikmache und ohne dir Dinge zu verkaufen, die du nicht brauchst.
1. Datensparsamkeit: Frag nur ab, was du wirklich brauchst
Das wichtigste Prinzip der DSGVO heißt Datenminimierung. Du darfst nur Daten erheben, die für den Zweck – also die Kontaktaufnahme – tatsächlich notwendig sind. In der Praxis heißt das:
- Eine E-Mail-Adresse oder Telefonnummer reicht meist aus, um zu antworten.
- Pflichtfelder so knapp wie möglich halten. Markiere optionale Felder klar als freiwillig.
- Verzichte auf Felder wie Geburtsdatum, vollständige Anschrift oder Firmengröße, wenn sie für eine erste Antwort nicht gebraucht werden.
Jedes überflüssige Feld ist ein potenzielles Risiko – und schreckt nebenbei auch Interessenten ab. Weniger ist hier rechtlich und aus Conversion-Sicht besser.
2. Rechtsgrundlage und Einwilligung
Du brauchst eine Rechtsgrundlage für die Verarbeitung. Bei einem reinen Kontaktformular ist das in der Regel dein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Anbahnung eines Vertrags (lit. b), wenn jemand ein Angebot anfragt. Eine separate Einwilligungs-Checkbox ist dafür nicht zwingend erforderlich – ein verpflichtendes Häkchen kann sogar problematisch sein.
Anders sieht es aus, wenn du die Daten über die Beantwortung hinaus nutzen willst, etwa für einen Newsletter. Dann brauchst du eine getrennte, freiwillige und nicht vorausgewählte Einwilligung. Vermische beides niemals. Pflicht ist hingegen ein klar sichtbarer Hinweis auf die Datenschutzerklärung direkt am Formular, zum Beispiel mit dem Satz, dass die Angaben zur Bearbeitung der Anfrage verarbeitet werden und in der Datenschutzerklärung Details stehen.
3. Transparenz: Die Datenschutzerklärung muss passen
Deine Datenschutzerklärung muss konkret beschreiben, was mit den Formulardaten passiert. Dazu gehören:
- Zweck der Verarbeitung (Bearbeitung der Kontaktanfrage).
- Rechtsgrundlage, auf die du dich stützt.
- Speicherdauer oder die Kriterien dafür – Anfragen sollten gelöscht werden, sobald sie erledigt und keine gesetzlichen Aufbewahrungsfristen mehr relevant sind.
- Hinweis auf die Betroffenenrechte (Auskunft, Löschung, Widerspruch).
- Genannte Empfänger oder Auftragsverarbeiter, falls Dritte involviert sind.
Eine Textbaustein-Datenschutzerklärung, die das Formular gar nicht erwähnt, hilft dir nicht. Sie muss zur tatsächlichen Technik passen.
4. Technische Sicherheit: Verschlüsselung ist Pflicht
Die DSGVO verlangt geeignete technische Maßnahmen. Für ein Kontaktformular bedeutet das vor allem:
- HTTPS/SSL ist nicht verhandelbar. Formulardaten dürfen niemals unverschlüsselt über das Netz gehen. Ein gültiges SSL-Zertifikat ist heute kostenlos verfügbar – es gibt keine Ausrede dafür, ohne zu arbeiten.
- Die Daten sollten auf einem Server in der EU oder bei einem Anbieter mit DSGVO-konformem Vertrag verarbeitet werden.
- Ein einfacher Spam-Schutz schützt vor Missbrauch. Bevorzuge dabei datensparsame Varianten wie ein Honeypot-Feld; bei externen Diensten wie Captchas prüfst du, ob sie selbst Daten in Drittländer übertragen.
5. Auftragsverarbeitung im Blick behalten
Sobald ein externer Dienstleister Formulardaten verarbeitet – etwa ein E-Mail-Versanddienst, ein Formular-Plugin eines Drittanbieters oder dein Hoster – brauchst du in der Regel einen Auftragsverarbeitungsvertrag (AVV). Das ist ein oft übersehener Punkt. Wenn dein Formular die Eingaben einfach per E-Mail an dein eigenes Postfach schickt und auf deinem eigenen Server läuft, hältst du die Datenkette schlank. Genau deshalb bauen wir Formulare bevorzugt so, dass möglichst wenige Dritte mitlesen.
6. Häufige Fehler, die wir immer wieder sehen
- Pflicht-Checkbox „Ich stimme der Datenschutzerklärung zu" – rechtlich fragwürdig, weil eine Einwilligung freiwillig sein muss.
- Kein SSL oder abgelaufenes Zertifikat.
- Formulardaten landen ungefiltert in einem Cloud-Tool ohne AVV.
- Datenschutzerklärung, die das Formular nicht erwähnt.
- Anfragen, die nie gelöscht werden und sich jahrelang im Postfach stapeln.
Unsere Erfahrung aus der Praxis
Wir betreiben sieben eigene Marken in Produktion – von einem Barrierefreiheits-Scanner über ein Produktportal bis zu mehreren SaaS-Anwendungen. Jede dieser Seiten hat Kontakt- oder Anfrageformulare, und wir haben gelernt, dass die datensparsamste und technisch einfachste Lösung fast immer auch die rechtlich sicherste ist. Ein DSGVO-konformes Formular ist kein Kostenfaktor, sondern schlicht solide Webentwicklung. Wichtig bleibt: Diese Hinweise sind eine fundierte Orientierung, ersetzen aber im Zweifel keine individuelle Rechtsberatung – gerade bei sensiblen Daten oder komplexen Verarbeitungsketten lohnt der Blick eines Datenschutzbeauftragten.