Zum Inhalt springen
FFormhook
Zurück zum Blog

Blog

DSGVO-konforme Kontaktformulare: eine praktische Checkliste

· 4 Min. Lesezeit

Ein Kontaktformular ist Verarbeitung personenbezogener Daten in Reinform: Jemand gibt Ihnen Name, E-Mail-Adresse und eine Freitextnachricht. Die DSGVO greift in dem Moment, in dem ein EU-Besucher auf Senden klickt. Die gute Nachricht: Ein konformes Kontaktformular ist meist eine Handvoll Entscheidungen, die man einmal trifft.

Praktische Hinweise von Entwicklern, die das täglich umsetzen - keine Rechtsberatung. Fragen Sie für konkrete Situationen eine Fachperson.

1. Erheben Sie nur, was der Zweck erfordert

Datenminimierung ist der Grundsatz, der am leichtesten einzuhalten und am häufigsten verletzt wird. Ein Kontaktformular braucht eine E-Mail-Adresse und eine Nachricht. Telefonnummer, Unternehmensgröße, Budget-Dropdown - jedes zusätzliche Feld braucht einen Grund. Weniger Felder konvertieren zudem besser, sodass Compliance und Conversion für einmal in dieselbe Richtung zeigen.

2. Kennen Sie Ihre Rechtsgrundlage (wahrscheinlich ist es nicht die Einwilligung)

Bei einem Kontaktformular ist die Rechtsgrundlage meist das berechtigte Interesse oder vorvertragliche Maßnahmen - jemand hat Ihnen geschrieben, und genau darum geht es beim Antworten. Eine Einwilligungs-Checkbox brauchen Sie in der Regel nicht nur, um eine Nachricht zu empfangen und zu beantworten. Eine separate, standardmäßig nicht angehakte Einwilligung brauchen Sie für alles, was über das Antworten hinausgeht: Newsletter, Marketing-Follow-ups. Vermengen Sie das niemals mit dem Senden-Button.

3. Wissen Sie, wo die Daten physisch liegen

Ihr Formular-Dienstleister speichert die Einsendung irgendwo, und wo genau bestimmt einen Großteil Ihres Papierkrams. Speichert der Dienstleister Daten in den USA, braucht der Transfer einen Mechanismus nach Kapitel V - derzeit das EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCCs) - und Ihre Datenschutzerklärung muss das beschreiben. Das ist machbar, aber es ist Hausaufgabe, die sich bei jeder Verschiebung der Rechtslage erneuert (Safe Harbor und Privacy Shield wurden beide gekippt; das DPF wird angefochten).

Die strukturell einfachere Option ist ein Dienstleister, der Einsendungen in der EU speichert und nie überträgt - dann gibt es keinen Transfer zu dokumentieren. Formhook speichert Einsendungen in Deutschland, Punkt. So oder so bleibt der Punkt auf der Checkliste derselbe: Finden Sie den Speicherort in der Dokumentation Ihres Dienstleisters und stellen Sie sicher, dass Ihre Datenschutzerklärung der Realität entspricht.

4. Schließen Sie einen AVV mit Ihrem Dienstleister

Artikel 28 DSGVO: Verarbeitet ein Dienst personenbezogene Daten in Ihrem Auftrag, muss ein Auftragsverarbeitungsvertrag (AVV) bestehen. Jeder seriöse Formular-Backend-Anbieter bietet einen an - hier ist der von Formhook. Kann ein Anbieter Ihnen keinen AVV vorlegen, disqualifiziert das ihn allein schon.

5. Legen Sie die Aufbewahrung fest - und seien Sie handlungsfähig

Speicherbegrenzung heißt: wissen, wie lange Sie Einsendungen aufbewahren und warum. „Für die Dauer der Kundenbeziehung" ist eine völlig gültige Antwort - aber Ihr Tooling muss zwei Fähigkeiten bieten: einzelne Einsendungen löschen (Löschanfragen) und alles exportieren (Auskunfts-/Übertragbarkeitsanfragen). Prüfen Sie beides, bevor Sie es brauchen; bei Formhook erfolgt die Löschung pro Einsendung, und der Export ist auf jeder Stufe ein vollständiges JSON-ZIP.

6. Formulieren Sie den Datenschutz-Absatz ehrlich

Der Absatz zum Formular braucht: was erhoben wird, warum, die Rechtsgrundlage, wer es verarbeitet (nennen Sie den Anbieter), wo es gespeichert wird, wie lange es aufbewahrt wird und wie eine Löschung beantragt werden kann. Bleiben die Daten in der EU, sind das zwei Sätze. Überqueren sie den Atlantik, wird er länger - aber die Todsünde ist eine Erklärung, die nicht zum tatsächlichen Datenfluss passt.

Die Checkliste

  • Formular erhebt nur notwendige Felder
  • Keine vorangehakte Einwilligung; Marketing-Einwilligung (falls vorhanden) getrennt vom Senden
  • Speicherort des Dienstleisters bekannt und dokumentiert
  • Transfermechanismus identifiziert (oder durch EU-Residenz unnötig gemacht)
  • AVV mit dem Dienstleister vorhanden
  • Aufbewahrung festgelegt; Löschung pro Einsendung und vollständiger Export beide möglich
  • Datenschutz-Absatz entspricht dem tatsächlichen Datenfluss

Machen Sie das einmal pro Website, und aus dem Compliance-Fragezeichen beim Kontaktformular wird ein gelöstes Problem. Mehr dazu, wie Formhook mit Daten umgeht, in der FAQ und der Datenschutzerklärung.

Ein funktionierendes Formular in einer Zeile

In der EU gehostet, Einsendungen für immer aufbewahrt, Push-Benachrichtigungen in jeder Stufe.

Kostenlos starten

Keine Kreditkarte · Dokumentation lesen

Weiterlesen