Wenn Sie über ein Kontaktformular personenbezogene Daten erfassen – und das tut fast jedes Kontaktformular –, gilt die Datenschutz-Grundverordnung (DSGVO) für Sie, sofern sich einige Ihrer Besucher in der Europäischen Union befinden. Das gilt unabhängig davon, wo Ihr Unternehmen ansässig ist.
Die DSGVO-Konformität für Kontaktformulare ist nicht so kompliziert, wie es vielleicht erscheinen mag, erfordert aber spezifische Elemente, die viele Unternehmen entweder übersehen oder falsch umsetzen. Dieser Leitfaden erläutert, was Sie benötigen, warum es das gibt und wie Sie es korrekt umsetzen.
Warum Kontaktformulare in den Anwendungsbereich fallen
Ein Kontaktformular erfasst personenbezogene Daten – mindestens eine E-Mail-Adresse und typischerweise einen Namen, Nachrichteninhalt und manchmal eine Telefonnummer oder ein Unternehmen. Nach der DSGVO erfordert jede Erfassung personenbezogener Daten von EU-Bürgern:
- Eine Rechtsgrundlage für die Verarbeitung
- Transparenz – den Personen mitteilen, wofür ihre Daten verwendet werden
- Datenminimierung – nur das Notwendige erfassen
- Angemessene Sicherheit – die Daten vor unbefugtem Zugriff schützen
- Wahrung der Betroffenenrechte – einen Mechanismus bereitstellen, damit Personen auf ihre Daten zugreifen, sie korrigieren oder löschen lassen können
Die meisten Kontaktformulare in der Praxis haben eine Rechtsgrundlage und die Absicht, minimale Daten zu erfassen – scheitern aber an der Transparenz und den Mechanismen der Einwilligung.
Der häufigste Compliance-Fehler
Viele Unternehmen fügen ihrem Kontaktformular eine DSGVO-Einwilligungs-Checkbox hinzu, die in etwa besagt:
☐ Ich stimme den Nutzungsbedingungen und der Datenschutzerklärung zu
Das ist aus zwei Gründen keine gültige DSGVO-Einwilligung:
- Gebündelte Einwilligung: Die Nutzungsbedingungen und die Datenschutzeinwilligung in einer einzigen Checkbox zusammenzufassen ist nicht zulässig. Das sind zwei verschiedene Dinge, die separate Zustimmung erfordern.
- Vorab angekreuzte Checkboxen: Die DSGVO erfordert eine aktive Einwilligung. Eine vorab angekreuzte Checkbox stellt keine Einwilligung dar.
Eine gültige Einwilligung muss:
- Freiwillig sein: Der Besucher muss in der Lage sein, das Formular abzusenden und Sie zu kontaktieren, ohne gezwungen zu werden, Marketing-Einwilligungen zu geben
- Spezifisch sein: Jeder Zweck erfordert eine eigene Einwilligungserklärung
- Informiert sein: Der Besucher muss verstehen, wozu er einwilligt
- Eindeutig sein: Erfordert eine positive Handlung (Checkbox ankreuzen, nicht eine Standardauswahl akzeptieren)
Rechtsgrundlage für Kontaktformular-Einsendungen
Nicht alles in einem Kontaktformular erfordert eine Einwilligung. Die DSGVO sieht mehrere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor:
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)
Wenn jemand ein Kontaktformular ausfüllt und Ihnen eine Frage stellt, fällt die Verarbeitung seines Namens und seiner E-Mail zur Beantwortung dieser Frage unter das berechtigte Interesse. Sie haben ein berechtigtes Interesse daran, auf an Sie gerichtete Anfragen zu antworten. Der Besucher hat ein berechtigtes Interesse daran, eine Antwort zu erhalten. Das erfordert keine Einwilligungs-Checkbox für die Kernverarbeitung – sie ist der Handlung des Sendens einer Nachricht an Sie inhärent.
Einwilligung (Art. 6 Abs. 1 lit. a)
Erforderlich für jede Verarbeitung, die über den Rahmen der Beantwortung der Anfrage hinausgeht:
- Den Besucher zu einer Marketing-E-Mail-Liste hinzufügen
- Ihre Daten für Profiling oder Analysen verwenden
- Ihre Daten zu Marketingzwecken an Dritte weitergeben
- Sie über zukünftige, für ihre Anfrage nicht relevante Angebote kontaktieren
Dafür ist eine separate, explizite Einwilligungs-Checkbox erforderlich – nicht gebündelt mit dem Absenden selbst.
Vertrag (Art. 6 Abs. 1 lit. b)
Wenn das Formular-Absenden Teil der Einleitung einer Vertragsbeziehung ist (z. B. Anforderung eines Angebots), hat die zur Erfüllung dieses Vertrags erforderliche Datenverarbeitung eine Rechtsgrundlage, ohne dass eine Einwilligung erforderlich ist.
Was Ihr Kontaktformular benötigt
1. Ein Link zur Datenschutzerklärung
Jedes Kontaktformular muss einen Verweis auf Ihre Datenschutzerklärung enthalten. Der minimal konforme Ansatz ist ein Satz in der Nähe der Senden-Schaltfläche:
Mit dem Absenden dieses Formulars werden Ihre Informationen gemäß unserer [Datenschutzerklärung] verarbeitet.
Der Link muss zu einer tatsächlichen, aktuellen Datenschutzerklärung führen, die beschreibt: welche Daten erfasst werden, wie sie verwendet werden, wie lange sie aufbewahrt werden, mit wem sie geteilt werden können und wie Besucher ihre Rechte ausüben können.
2. Eine separate Marketing-Einwilligungs-Checkbox (falls zutreffend)
Wenn Sie beabsichtigen, Formular-Einsender zu einem Newsletter oder einer Marketing-Liste hinzuzufügen, erfordert dies eine separate, nicht angekreuzte Checkbox mit klarem Wortlaut:
☐ Ich möchte gelegentlich Updates und Produktneuigkeiten per E-Mail erhalten. Ich kann mich jederzeit abmelden.
Diese muss separat vom Formularabsenden und standardmäßig nicht angekreuzt sein.
3. Datenminimierung
Erfassen Sie nur Felder, die zur Bearbeitung der Anfrage notwendig sind. Ein Kontaktformular sollte kein Geburtsdatum, keine Staatsangehörigkeit oder Gesundheitsinformationen erfassen, es sei denn, Ihr spezifischer Geschäftskontext erfordert dies. Jedes erfasste Feld muss begründbar sein.
4. Sicherheit bei der Übertragung und Speicherung
Formular-Einsendungen müssen über HTTPS übertragen werden. Auf Ihren Servern gespeicherte Daten müssen angemessen geschützt werden. Wenn Sie ein Drittanbieter-Kontaktformular-Tool oder eine Help-Desk-Plattform verwenden, überprüfen Sie deren Auftragsverarbeitungsvertrag (AVV) und den Datenspeicherort.
5. Ein Auftragsverarbeitungsvertrag mit Ihrem Auftragsverarbeiter
Wenn Sie eine Drittanbieter-Plattform zur Empfang oder Speicherung von Formular-Einsendungen nutzen (ein CRM, ein Help-Desk, ein E-Mail-Anbieter), ist diese Plattform nach der DSGVO ein Auftragsverarbeiter. Sie sind verpflichtet, einen unterzeichneten AVV mit ihm zu haben. Die meisten seriösen Plattformen stellen auf Anfrage oder als Selbstbedienungsdokument in ihren Einstellungen einen Standard-AVV zur Verfügung.
Datenspeicherung: Wie lange können Sie Formular-Einsendungen aufbewahren?
Die DSGVO schreibt vor, dass personenbezogene Daten nicht länger aufbewahrt werden dürfen, als für ihren Zweck erforderlich. Für Kontaktformular-Einsendungen ist ein vernünftiger Ansatz:
- Aktive Anfragen: für die Dauer der Kundenbeziehung aufbewahren
- Abgeschlossene Anfragen ohne Kundenbeziehung: nach 12–24 Monaten löschen (je nach Ihrem Geschäftskontext anpassen)
- Marketing-Einwilligungsnachweise: so lange aufbewahren, wie die Person auf Ihrer Liste ist, plus ausreichend Zeit, um die Einwilligung nachzuweisen
Definieren Sie eine Aufbewahrungsrichtlinie schriftlich und setzen Sie sie um – entweder manuell oder durch automatische Löschung in Ihrem Help-Desk oder CRM.
Betroffenenrechte
Ihre Datenschutzerklärung und Ihre Prozesse müssen diese Rechte unterstützen, die jeder EU-Bürger in Bezug auf seine Daten geltend machen kann:
- Auskunftsrecht: die Möglichkeit, eine Kopie der von Ihnen gespeicherten Daten zu erhalten
- Recht auf Löschung („Recht auf Vergessenwerden"): Löschung seiner personenbezogenen Daten
- Recht auf Berichtigung: Korrektur unrichtiger Daten
- Recht auf Einschränkung der Verarbeitung: Begrenzung dessen, was Sie mit seinen Daten machen
- Widerspruchsrecht: Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
Für Kontaktformular-Einsendungen im Besonderen müssen Sie in der Lage sein, alle mit einer bestimmten E-Mail-Adresse verbundenen Daten in Ihren Systemen (Help-Desk-Tickets, CRM, E-Mail-Listen) zu lokalisieren und sie auf Anfrage innerhalb von 30 Tagen entweder bereitzustellen oder zu löschen.
Häufige Fragen
Brauche ich für jedes Kontaktformular eine Einwilligungs-Checkbox? Nein. Wenn die Verarbeitung auf berechtigtem Interesse basiert (die Anfrage beantworten), ist für diese Verarbeitung keine Einwilligungs-Checkbox erforderlich. Eine Einwilligungs-Checkbox ist nur für zusätzliche Verarbeitung erforderlich – wie das Hinzufügen der Person zu einer Marketing-Liste.
Gilt das, wenn mein Unternehmen nicht in der EU ansässig ist? Ja. Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig vom Standort der Organisation.
Was ist, wenn ein Besucher außerhalb der EU das Formular absendet? Die DSGVO gilt nur für EU-Bürger. Allerdings ist es einfacher, DSGVO-konforme Praktiken für alle Formular-Einsendungen zu übernehmen, als zu versuchen, den Besucher nach Standort zu erkennen und zu differenzieren. Zudem bereitet Sie das auf ähnliche Vorschriften in anderen Rechtsgebieten vor (UK GDPR, PIPEDA in Kanada, LGPD in Brasilien).
Wie Nura24 die DSGVO-Konformität bei Kontaktformularen unterstützt
Das Kontaktseiten-Modul von Nura24 enthält eine native DSGVO-Einwilligungs-Checkbox-Komponente mit konfigurierbarem Beschriftungstext und einem erforderlichen Link zur Datenschutzerklärung. Die Checkbox ist standardmäßig nicht angekreuzt und kann als Pflichtfeld markiert werden, was das Absenden des Formulars ohne ausdrückliche Einwilligung verhindert. Das Marketing-Opt-in verwendet eine separate zusätzliche Checkbox. Formular-Einsendungen werden im Nura24-Ticket-System mit einem sichtbaren Prüfpfad gespeichert. Auftragsverarbeitungsverträge sind für Business-Plan-Kunden verfügbar. Für Unternehmen, die in der EU tätig sind oder EU-Kunden bedienen, bietet Nura24 die strukturellen Compliance-Funktionen, die direkt in die Kontaktformular-Konfiguration integriert sind – ohne benutzerdefinierten Entwicklungsaufwand.