Braucht ein Kontaktformular eine Checkbox für den Datenschutz?

Nicht zwingend. Die Rechtsgrundlage für die Verarbeitung von Kontaktanfragen ist meist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder lit. f (berechtigtes Interesse). Eine Checkbox ist nicht nötig, aber ein Datenschutzhinweis mit Link zur Datenschutzerklärung muss beim Formular erscheinen.

Wie lange darf ich Kontaktformulardaten speichern?

Kontaktdaten dürfen nur so lange gespeichert werden, wie der Zweck besteht. Für allgemeine Anfragen: in der Regel bis zur Beantwortung. Wenn aus der Anfrage ein Vertrag entsteht, gelten die handelsrechtlichen Aufbewahrungsfristen (6-10 Jahre). Diese Fristen müssen in der Datenschutzerklärung angegeben sein.

Darf ich Kontaktformulardaten für Newsletter-Marketing nutzen?

Nein. Wer über ein Kontaktformular eine Anfrage stellt, stimmt nicht dem Erhalt von Newsletters oder Werbung zu. Für Newsletter brauchen Sie eine separate Einwilligung (Double-Opt-in).

DSGVO & Datenschutz

Kontaktformular und DSGVO: Was Sie beachten müssen

Steven | TrustYourWebsite · 3. Mai 2026

Ein simples Kontaktformular mit Name, E-Mail und Nachricht erscheint harmlos. Trotzdem verarbeitet es personenbezogene Daten — und das löst DSGVO-Pflichten aus, die viele Websites nicht erfüllen.

Die häufigsten Fehler: kein Datenschutzhinweis beim Formular, keine Angabe zur Speicherdauer in der Datenschutzerklärung, und der Einsatz von Formular-Drittanbietern ohne Auftragsverarbeitungsvertrag.

Rechtsgrundlage für Kontaktformulare

Die meisten Kontaktformulare verarbeiten Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO: "Erfüllung eines Vertrags oder vorvertragliche Maßnahmen." Wenn jemand Sie über ein Formular kontaktiert, um ein Angebot anzufragen oder Informationen zu erhalten, ist das eine vorvertragliche Maßnahme.

Für Kontaktformulare ohne direkten Vertragsbezug (z.B. allgemeines Feedback) kann auch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) als Grundlage dienen — das berechtigte Interesse an der Kommunikation mit Interessenten.

Was nicht passt: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) als Grundlage für ein Kontaktformular. Eine Einwilligung impliziert, dass die Person die Daten hätte auch nicht angeben müssen — beim Kontaktformular gibt es aber keine sinnvolle Alternative zur Angabe.

Der Datenschutzhinweis beim Formular

Beim Kontaktformular selbst muss ein kurzer Hinweis erscheinen — nicht nur in der Datenschutzerklärung. Dieser Hinweis informiert über die wesentlichen Verarbeitungsaspekte direkt an dem Ort, wo die Daten erhoben werden.

Mindestinhalt des Hinweises:

Wer verarbeitet die Daten (Ihr Unternehmen)
Zweck (Bearbeitung der Anfrage)
Rechtsgrundlage (Art. 6 Abs. 1 lit. b oder f DSGVO)
Link zur vollständigen Datenschutzerklärung

Beispielformulierung:

"Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. [Datenschutzerklärung]"

Dieser Hinweis muss für den Nutzer sichtbar sein, bevor er auf "Senden" klickt — nicht erst nach dem Absenden.

Was braucht kein separates Opt-in

Eine Checkbox "Ich stimme der Datenschutzerklärung zu" ist bei Kontaktformularen rechtlich nicht erforderlich und kann sogar irreführend sein. Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. b oder f DSGVO gestützt wird, braucht es keine Einwilligung.

Ein Pflicht-Häkchen vor dem Absenden, das auf "Ich habe die Datenschutzerklärung gelesen" lautet, vermittelt den falschen Eindruck, dass eine Einwilligung nötig wäre. Das kann die Rechtsgrundlage konfus machen.

Was Sie brauchen: den Hinweistext, sichtbar beim Formular. Das ist kein Opt-in, sondern eine Informationspflicht.

Speicherdauer korrekt angeben

In Ihrer Datenschutzerklärung muss für Kontaktformulardaten eine konkrete Speicherdauer oder ein konkretes Löschkriterium stehen. Vage Formulierungen wie "solange gesetzlich erforderlich" reichen nicht.

Typische Regelung:

Anfragen ohne Vertragsbezug: Daten werden nach Abschluss der Kommunikation gelöscht, spätestens nach 6 Monaten
Anfragen mit Vertragsbezug: Aufbewahrung gemäß handelsrechtlicher Fristen (§ 257 HGB: 6 Jahre, § 147 AO: 10 Jahre für buchführungsrelevante Unterlagen)

Setzen Sie in Ihrem CRM oder E-Mail-Client entsprechende Löschfristen oder Erinnerungen.

Drittanbieter-Formulare: Auftragsverarbeitung

Wenn Sie ein externes Formular-Tool verwenden — WordPress Contact Form 7 mit externem Addon, Typeform, JotForm, Formspree, Netlify Forms — übermitteln Sie Formulardaten an einen Drittanbieter. Das ist eine Auftragsverarbeitung nach Art. 28 DSGVO.

Das bedeutet:

Auftragsverarbeitungsvertrag (AVV) mit dem Formular-Anbieter abschließen
Datenschutzerklärung muss den Anbieter und den möglichen Datentransfer erwähnen
Bei US-Anbietern: Rechtsgrundlage für Drittlandtransfer prüfen

Für WordPress Contact Form 7: Das Plugin selbst speichert Formulardaten in der WordPress-Datenbank (also auf Ihrem eigenen Server) — kein externer Anbieter, kein AVV nötig. Aber wenn Contact Form 7 mit Flamingo (Formular-Datenbankplugin) oder Mailchimp-Integrationen genutzt wird, ändert sich das.

Für Google Forms: Google verarbeitet die Daten. AVV muss über Google Workspace abgeschlossen werden. Für kommerzielle Nutzung auf einer Business-Website ist Google Forms ohne AVV nicht DSGVO-konform.

reCAPTCHA: das oft vergessene Datenproblem

Viele Kontaktformulare nutzen Google reCAPTCHA, um Spam zu reduzieren. reCAPTCHA überträgt Verhaltensdaten und ggf. Cookies an Google-Server in den USA — ohne die Anfrage des Nutzers.

Das erfordert:

Erwähnung in der Datenschutzerklärung (Google reCAPTCHA, Datenübermittlung an Google, Zweck: Spam-Schutz)
Bei reCAPTCHA v3: Das Tool beobachtet Nutzerverhalten passiv und dauerhaft — das kann Einwilligungspflichten auslösen, die Behörden noch diskutieren
Alternative: Honeypot-Felder oder Datenschutz-freundlichere CAPTCHA-Alternativen wie hCaptcha (europäischer Anbieter)

E-Mail als Alternative

Manche Website-Betreiber überlegen, ein Kontaktformular ganz durch eine E-Mail-Adresse zu ersetzen. Datenschutzrechtlich ist eine sichtbare E-Mail-Adresse einfacher: Kein Drittanbieter, keine Cookie-Problematik. Der Nachteil ist mehr Spam.

Eine praktische Lösung: E-Mail-Adresse als Text sichtbar lassen (nicht als mailto-Link, der von Spam-Bots leichter gefunden wird) und ein einfaches HTML-Formular ohne externe Skripte nutzen.

Prüfen Sie jetzt Ihre Website auf DSGVO-Compliance — kostenloser DSGVO-Scanner.

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

Brauche ich einen Cookie-Banner? Die DSGVO-Pflicht für deutsche Websites

Nicht jede Website braucht einen Cookie-Banner. Diese Entscheidungshilfe zeigt, wann die DSGVO einen Banner vorschreibt und wann Sie ohne auskommen.

Cookie-Einwilligung in Österreich: § 165 TKG 2021 und die DSB-Cookie-Leitlinien

Österreichs Cookie-Recht steht im § 165 TKG 2021 — nicht im deutschen TTDSG. Was die DSB-Leitlinien fordern, welche Banner-Designs sicher sind und wo der häufigste Fehler liegt.

Datenschutzerklärung für Websites: Was Pflicht ist und was fehlt

Art. 13 DSGVO schreibt eine Datenschutzerklärung für jede Website vor. Was genau hinein muss, welche Angaben oft fehlen und was eine fehlende Erklärung kostet.