DSGVO-konforme Kontaktformulare 2026: Der Praxis-Leitfaden für Unternehmen
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen auf Datenschutzrecht spezialisierten Anwalt oder Datenschutzbeauftragten.
1. Rechtsgrundlage klären: Art. 6 DSGVO und Datenminimierung
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Bei Kontaktformularen greift in der Regel Art. 6 Abs. 1 lit. b DSGVO — die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich — oder alternativ das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, sofern die anfragende Person selbst Kontakt aufnimmt.
Entscheidend ist dabei das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Erheben Sie nur Daten, die für die Bearbeitung der Anfrage tatsächlich notwendig sind. Ein Vorname, eine E-Mail-Adresse und die Nachricht selbst genügen in den meisten Fällen. Felder wie Telefonnummer, Firmenname oder Geburtsdatum sollten — wenn überhaupt — als freiwillige Angaben (kein Pflichtfeld) gekennzeichnet sein.
Praxis-Tipp: Überprüfen Sie jedes Pflichtfeld mit der Frage: „Können wir die Anfrage ohne diese Information sinnvoll beantworten?" Lautet die Antwort Nein, darf es Pflichtfeld sein — sonst nicht.
2. Einwilligungs-Checkbox und Datenschutzerklärung direkt am Formular
Wenn Sie das Kontaktformular nicht nur zur reinen Anfragebeantwortung nutzen — etwa um die Person später zu kontaktieren oder Daten für Marketing zu speichern — benötigen Sie eine aktive Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligungs-Checkbox muss standardmäßig nicht vorausgewählt sein. Ein vorgehaktes Kästchen ist nach DSGVO unwirksam.
Unabhängig von der Rechtsgrundlage gilt: Verlinken Sie Ihre Datenschutzerklärung direkt am Formular, unmittelbar beim Absende-Button oder bei der Checkbox. Der Hinweis muss klar und deutlich sein — versteckte Links im Seitenfooter genügen der Informationspflicht nach Art. 13 DSGVO nicht.
Praxis-Tipp: Formulieren Sie den Hinweistext so: „Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung. Wir verarbeiten Ihre Daten ausschließlich zur Beantwortung Ihrer Anfrage." Kurz, verständlich, rechtskonform.
3. TLS/SSL-Verschlüsselung — kein optionales Extra
Die Übertragung von Formular-Daten ohne Verschlüsselung ist ein klarer Verstoß gegen Art. 32 DSGVO, der technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vorschreibt. HTTPS mit einem gültigen TLS-Zertifikat ist Pflicht, kein optionales Feature.
Achten Sie darauf, dass Ihr Zertifikat stets aktuell ist (moderne Zertifizierungsstellen wie Let's Encrypt stellen kostenlose 90-Tage-Zertifikate aus) und dass Ihre Website keine gemischten Inhalte (Mixed Content) lädt, die die Verschlüsselung untergraben würden.
Praxis-Tipp: Testen Sie Ihre Website regelmäßig mit dem SSL Labs Server Test (ssllabs.com). Ein Rating unter „A" ist ein Warnsignal und sollte zeitnah behoben werden.
4. Spam-Schutz ohne Google reCAPTCHA — datenschutzfreundliche Alternativen
Google reCAPTCHA überträgt Nutzerdaten auf US-amerikanische Server und gilt seit dem EuGH-Urteil zu Schrems II als datenschutzrechtlich problematisch, wenn keine zusätzlichen Garantien bestehen. Es gibt jedoch gleichwertige Alternativen:
- Honeypot-Felder: Ein unsichtbares Formularfeld, das Menschen leer lassen, Bots aber ausfüllen. Kein externer Dienst, keine Datenweitergabe — und für den Nutzer völlig unsichtbar.
- Zeitfilter: Formulare, die in unter zwei Sekunden ausgefüllt werden, stammen mit hoher Wahrscheinlichkeit von Bots. Eine serverseitige Zeitprüfung filtert diese heraus.
- Friendly Captcha: DSGVO-konformer, europäischer Anbieter mit Server-Standorten in der EU. Proof-of-Work statt Verhaltensanalyse — keine Cookies, keine Tracking-Daten.
- hCaptcha (EU-Hosting): Als Alternative zu reCAPTCHA mit EU-Datenspeicheroption nutzbar, erfordert jedoch AVV und sorgfältige Konfiguration.
Praxis-Tipp: Die Kombination aus Honeypot und Zeitfilter reicht für die meisten kleinen und mittelständischen Websites vollständig aus — ohne jeden externen Dienst und damit maximal datenschutzfreundlich.
5. Kein externes Laden von Schriften und Ressourcen
Google Fonts, die per Link-Tag oder CSS-Import direkt von Googles Servern geladen werden, übermitteln die IP-Adresse des Besuchers an Google — ohne Einwilligung ein Datenschutzverstoß, der seit dem Münchener Urteil vom Januar 2022 (Az. 3 O 17493/20) zu Abmahnungen führt. Das Gleiche gilt für Schriften und Bibliotheken von anderen externen CDNs.
Die Lösung ist denkbar einfach: Schriften und Skriptbibliotheken lokal hosten. Laden Sie Google Fonts einmalig herunter (z. B. über google-webfonts-helper.herokuapp.com) und binden Sie sie von Ihrem eigenen Server ein. Gleiches gilt für Font Awesome, jQuery und ähnliche Ressourcen.
Praxis-Tipp: Prüfen Sie mit dem Browser-Entwicklertool (Netzwerk-Tab), welche Domains beim Laden Ihrer Seite kontaktiert werden. Jede externe Domain, die Daten empfängt, ist ein potenzielles Datenschutzrisiko.
6. Server-Standort EU und Auftragsverarbeitungsvertrag
Sobald Sie einen externen Dienstleister einsetzen — sei es ein Webhosting-Anbieter, ein E-Mail-Versanddienst oder ein Formular-Plugin-Hersteller, der Daten verarbeitet — liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Sie benötigen zwingend einen Auftragsverarbeitungsvertrag (AVV) mit diesem Dienstleister.
Achten Sie beim Hosting auf Server-Standorte innerhalb der EU oder des EWR. Viele günstige Hosting-Angebote nutzen Rechenzentren in den USA — das ist ohne angemessene Schutzmaßnahmen (z. B. EU-Standardvertragsklauseln) nicht zulässig. Seriöse deutsche oder europäische Hosting-Anbieter stellen AVV-Dokumente in der Regel auf Abruf zur Verfügung oder schließen sie automatisch ab.
Praxis-Tipp: Nutzen Sie auch für den E-Mail-Versand (z. B. beim Weiterleiten der Kontaktanfrage an Ihr Postfach) einen Dienst mit EU-Rechenzentrum und abgeschlossenem AVV. Beliebte Optionen sind Mailbox.org, mailersend.com (EU-Region) oder ein eigener Mailserver.
7. Speicherdauer und Löschkonzept
Anfragen, die über Kontaktformulare eingehen, dürfen nicht unbegrenzt gespeichert werden. Das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Daten gelöscht oder anonymisiert werden, sobald der Zweck ihrer Verarbeitung entfallen ist. Ist die Kundenanfrage beantwortet und kein Vertragsverhältnis entstanden, ist der Zweck in der Regel erfüllt.
Definieren Sie konkrete Fristen: In der Praxis bewähren sich 30 bis 90 Tage für reine Kontaktanfragen ohne Folgevertrag, bei geschäftlichen Anfragen mit Angeboten bis zu 6 Jahre entsprechend der handelsrechtlichen Aufbewahrungspflicht (§ 257 HGB). Halten Sie diese Fristen schriftlich in Ihrem Verarbeitungsverzeichnis fest.
8. Protokollierung der Einwilligung — Nachweisbarkeit sicherstellen
Wer eine Einwilligung einholt, muss nach Art. 7 Abs. 1 DSGVO im Streitfall nachweisen können, dass diese tatsächlich erteilt wurde. Speichern Sie daher zu jeder Einwilligung: Zeitstempel, verwendete Formularversion, IP-Adresse sowie den genauen Wortlaut der Einwilligungserklärung zum Zeitpunkt der Abgabe. Diese Protokolldaten müssen ihrerseits sicher und getrennt von den Formulardaten gespeichert werden.
Praxis-Tipp: Versionieren Sie Ihre Datenschutzerklärung und Einwilligungstexte. So können Sie bei einer späteren Überprüfung belegen, welchen Text der Nutzer zum Zeitpunkt seiner Einwilligung gesehen hat.
9. Double-Opt-in bei Newsletter-Anmeldungen
Ein Kontaktformular ist kein Newsletter-Opt-in. Wenn Sie neben der Anfragebeantwortung auch Marketing-E-Mails versenden möchten, muss dies über einen separaten, klar gekennzeichneten Kanal erfolgen. Das Double-Opt-in-Verfahren — also eine Bestätigungs-E-Mail nach der Anmeldung — ist zwar in der DSGVO nicht explizit vorgeschrieben, gilt aber als Best Practice und schafft die stärkste Beweislage für eine wirksame Einwilligung.
Vermischen Sie nie Kontaktanfrage und Newsletter-Anmeldung in einem einzigen Formular ohne klare Trennung der Zwecke. Jeder Verarbeitungszweck braucht eine eigene, informierte und freiwillige Einwilligung.
10. Häufige Abmahnfallen — und wie Sie sie vermeiden
Die Praxis zeigt immer wieder dieselben Stolpersteine:
- Vorausgefüllte Checkboxen — unwirksame Einwilligung, häufiges Abmahnziel
- Fehlender oder versteckter Datenschutzlink am Formular
- Google Fonts extern eingebunden — Abmahnwellen laufen seit 2022
- Kein AVV mit Hosting- oder E-Mail-Dienstleister
- HTTP statt HTTPS — auch 2026 noch anzutreffen, direkte Pflichtverletzung
- Keine Löschfristen definiert oder umgesetzt
- Pflichtfelder ohne Erforderlichkeit — z. B. Telefon als Pflichtfeld für eine simple Anfrage
Kurzcheckliste DSGVO-konformes Kontaktformular:
✔ Rechtsgrundlage dokumentiert ✔ Nur notwendige Pflichtfelder
✔ Checkbox nicht vorausgewählt ✔ Datenschutzlink direkt am Formular
✔ HTTPS mit gültigem Zertifikat ✔ Spam-Schutz ohne Google reCAPTCHA
✔ Keine externen Ressourcen ohne Einwilligung ✔ AVV mit Dienstleister
✔ EU-Serverstandort ✔ Löschfristen definiert und umgesetzt
✔ Einwilligungen protokolliert ✔ Newsletter separat und mit Double-Opt-in
Möchten Sie wissen, ob Ihr bestehendes Kontaktformular all diese Anforderungen erfüllt? Mit unserem DSGVO-Generator können Sie erste Punkte selbst prüfen. Für eine professionelle Umsetzung — vom technisch sauberen Webdesign bis zur datenschutzrechtlich wasserdichten Formular-Konfiguration — stehen wir Ihnen gerne zur Seite.
Sprechen Sie uns an: TwoPixels GmbH aus Schortens (Friesland) begleitet kleine und mittelständische Unternehmen bei der datenschutzkonformen Gestaltung ihrer Web-Auftritte. Vereinbaren Sie jetzt ein kostenloses Erstgespräch — telefonisch unter +49 1556 7039821 oder per E-Mail an info@webagentur-twopixels.de.