„Brauche ich jetzt so ein Häkchen unter meinem Kontaktformular – und was muss da eigentlich stehen?” Diese Frage bekomme ich oft, meist mit einem Unterton aus Unsicherheit und Abmahn-Angst. Die gute Nachricht vorweg: Ein datenschutzkonformes Kontaktformular ist kein Hexenwerk. Es geht im Kern um drei Dinge – nur das Nötige abfragen, ehrlich darüber informieren und sicher übertragen. Der Rest ist Mythos.
Hinweis: Dieser Beitrag erklärt die Grundlagen verständlich und mit Primärquellen, ist aber keine Rechtsberatung. Im Zweifel – besonders bei sensiblen Daten oder Spezialfällen – fragen Sie eine Datenschutzbeauftragte oder einen Fachanwalt.
Kurz gesagt: Ein DSGVO-konformes Kontaktformular braucht drei Dinge: Datensparsamkeit (nur Felder abfragen, die Sie zur Beantwortung wirklich brauchen – Art. 5 Abs. 1 lit. c DSGVO), einen Datenschutzhinweis direkt am Formular mit Link zur vollständigen Datenschutzerklärung (Informationspflicht aus Art. 13 DSGVO) und eine verschlüsselte Übertragung per HTTPS/TLS (Art. 32 DSGVO). Eine separate Einwilligung per Pflicht-Häkchen ist für die reine Bearbeitung der Anfrage meist nicht erforderlich – die Verarbeitung stützt sich auf die Vertragsanbahnung (Art. 6 Abs. 1 lit. b) oder Ihr berechtigtes Interesse (lit. f). Eine echte Einwilligung brauchen Sie erst, wenn Sie die Daten zusätzlich anders nutzen wollen, etwa für einen Newsletter. Wer diese Punkte einhält, ist auf der sicheren Seite – ohne Abmahn-Panik und ohne das Formular mit überflüssigen Häkchen zu überladen.
Auf einen Blick
- Weniger Felder = mehr Datenschutz UND mehr Anfragen: Pflichtfelder auf Name, Kontakt und Nachricht begrenzen (Datenminimierung).
- Hinweis statt Häkchen: Ein kurzer Datenschutzhinweis mit Link zur Datenschutzerklärung ist Pflicht – ein erzwungenes „Ich stimme zu”-Häkchen für die bloße Antwort meist nicht.
- HTTPS ist nicht verhandelbar: Ohne TLS-Verschlüsselung gehört kein Formular online (Art. 32 DSGVO).
- Newsletter ≠ Kontakt: Sobald Sie die Adresse weiterverwenden wollen, braucht es eine getrennte, freiwillige Einwilligung.
Was ein „DSGVO-konformes” Kontaktformular überhaupt bedeutet
Ein Kontaktformular ist ein Eingabefeld-Bereich auf einer Website, über den Besucher dem Betreiber eine Nachricht samt Kontaktdaten senden – ohne ihr E-Mail-Programm zu öffnen. Sobald dabei Name, E-Mail-Adresse oder Telefonnummer übertragen werden, verarbeiten Sie personenbezogene Daten – und damit gilt die Datenschutz-Grundverordnung (DSGVO).
Die Datenschutz-Grundverordnung (DSGVO) ist das seit 25. Mai 2018 in der gesamten EU unmittelbar geltende Datenschutzrecht, das die Verarbeitung personenbezogener Daten regelt – inklusive klarer Grundsätze, Informationspflichten und Betroffenenrechte. Für ein Kontaktformular sind vor allem vier Stellen relevant: die Grundsätze (Art. 5), die Rechtsgrundlage (Art. 6), die Informationspflicht (Art. 13) und die Datensicherheit (Art. 32). Genau diese vier gehen wir jetzt durch.
1. Rechtsgrundlage: Warum dürfen Sie die Daten überhaupt verarbeiten?
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage aus Art. 6 DSGVO. Für ein Kontaktformular kommen in der Praxis drei in Frage:
| Rechtsgrundlage | Wann sie passt | Einwilligung (Häkchen) nötig? |
|---|---|---|
| Art. 6 Abs. 1 lit. b – Vertrag / Vertragsanbahnung | Anfrage zielt auf ein Angebot, einen Auftrag, einen Termin | Nein |
| Art. 6 Abs. 1 lit. f – berechtigtes Interesse | allgemeine Anfrage, Kommunikation mit Interessenten | Nein |
| Art. 6 Abs. 1 lit. a – Einwilligung | Daten werden zusätzlich anders genutzt (z. B. Newsletter) | Ja, separat & freiwillig |
Der wichtigste Punkt, der viele überrascht: Für die bloße Beantwortung einer Anfrage brauchen Sie in aller Regel keine gesonderte Einwilligung. Wer Ihnen schreibt, will eine Antwort – die Verarbeitung ergibt sich aus dem Zweck selbst. Ein erzwungenes Pflicht-Häkchen „Ich habe die Datenschutzerklärung gelesen und stimme zu” ist rechtlich meist überflüssig; mehrere Aufsichtsbehörden halten solche Zwangs-Häkchen sogar für wenig sinnvoll, weil eine Einwilligung freiwillig sein muss und hier gar keine echte Wahl besteht.
Die Ausnahme – und der häufigste Fehler: Sobald Sie die übermittelte Adresse für etwas anderes als die Antwort nutzen wollen (Newsletter, Werbung, Weitergabe), brauchen Sie dafür eine echte, getrennte und freiwillige Einwilligung – die darf nicht in die Kontaktaufnahme „hineingebündelt” werden. Wie das beim Newsletter konkret aussieht (Einwilligung, Double-Opt-in, Pflichtangaben), erklärt der Beitrag Newsletter rechtssicher aufsetzen: Double-Opt-in & Einwilligung.
2. Datensparsamkeit: nur abfragen, was Sie wirklich brauchen
Datenminimierung ist der DSGVO-Grundsatz (Art. 5 Abs. 1 lit. c), nach dem nur solche personenbezogenen Daten erhoben werden dürfen, die für den jeweiligen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sind. Übersetzt: Fragen Sie nur ab, was Sie zur Beantwortung der Anfrage tatsächlich benötigen.
Für ein normales Kontaktformular heißt das:
- Pflichtfelder: Name, eine Kontaktmöglichkeit (E-Mail oder Telefon), Nachricht. Mehr braucht es selten.
- Optionale Felder: alles Weitere (Telefon zusätzlich, Firma, Betreff) klar als freiwillig kennzeichnen – nicht als Pflicht.
- Kein „Datensammeln auf Vorrat”: Geburtsdatum, Adresse oder Anrede sind für eine Rückfrage fast nie nötig.
Das ist nicht nur Pflicht, sondern auch klug: Jedes zusätzliche Pflichtfeld senkt die Zahl der Menschen, die das Formular ausfüllen. Datenschutz und Conversion ziehen hier ausnahmsweise am selben Strang – mehr dazu im Beitrag Die 9 Seiten, die jede KMU-Website braucht, in dem die Kontaktseite eine zentrale Rolle spielt.
3. Informationspflicht: der Datenschutzhinweis am Formular
Art. 13 DSGVO verlangt, dass Sie die betroffene Person zum Zeitpunkt der Datenerhebung transparent informieren. In der Praxis besteht das aus zwei Teilen:
- Ein kurzer Hinweis direkt am Formular – ein bis zwei Sätze, etwa: „Mit dem Absenden willigen Sie in die Verarbeitung Ihrer Angaben zur Bearbeitung Ihrer Anfrage ein. Mehr dazu in der [Datenschutzerklärung].”
- Der ausführliche Abschnitt in der Datenschutzerklärung unter einer Überschrift wie „Kontaktaufnahme”.
Diese Pflichtangaben gehören in den ausführlichen Teil:
| Pflichtangabe (Art. 13 DSGVO) | Beispielhafter Inhalt |
|---|---|
| Verantwortlicher | Name, Anschrift, Kontakt des Betreibers |
| Zweck der Verarbeitung | „Bearbeitung Ihrer Kontaktanfrage” |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO |
| Speicherdauer | „bis zur Erledigung, dann Löschung nach Aufbewahrungsfristen” |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde |
Wie diese Angaben vollständig aussehen, zeige ich im Beitrag Datenschutzerklärung für die eigene Website: Was 2026 reinmuss.
4. Sicherheit: HTTPS und sichere Übertragung
Art. 32 DSGVO verpflichtet zu geeigneten technischen und organisatorischen Maßnahmen nach dem „Stand der Technik” – für ein Webformular bedeutet das an erster Stelle die Transportverschlüsselung per TLS (HTTPS). Erkennbar ist sie am https:// und dem Schloss-Symbol in der Adresszeile.
Ein Kontaktformular auf einer unverschlüsselten http://-Seite überträgt Name und Nachricht im Klartext – das ist 2026 nicht akzeptabel und bei vielen Browsern ohnehin als „nicht sicher” markiert. Ein gültiges TLS-Zertifikat (z. B. über Let’s Encrypt) ist bei seriösen Hostern kostenlos enthalten und meist mit einem Klick aktiviert. Wer die Formular-Daten zusätzlich per E-Mail an sich selbst weiterleitet, sollte auch dort auf eine verschlüsselte Verbindung achten.
Spam-Schutz ohne Datenschutz-Problem
Sobald ein Formular online ist, finden es Spam-Bots. Der naheliegende Reflex – Google reCAPTCHA – ist datenschutzrechtlich heikel, weil dabei Daten an Google (und potenziell in die USA) fließen. Datensparsamere Alternativen:
- Honeypot-Feld: ein für Menschen unsichtbares Zusatzfeld. Bots füllen es aus, echte Besucher nicht – wird es ausgefüllt, wird die Nachricht verworfen. Unsichtbar, datensparsam, kein Drittanbieter.
- Einfache Rechenaufgabe („Was ist 3 + 4?”) direkt im Formular.
- In Europa gehostete Captcha-Dienste, falls ein sichtbarer Schutz nötig ist.
Für die allermeisten kleinen Websites reicht ein Honeypot völlig aus – ganz ohne externen Dienst und ohne Erwähnungspflicht in der Datenschutzerklärung.
Checkliste: DSGVO-konformes Kontaktformular
| Punkt | Erledigt? |
|---|---|
| Nur nötige Pflichtfelder (Name, Kontakt, Nachricht) | ☐ |
| Optionale Felder als freiwillig gekennzeichnet | ☐ |
| Kurzer Datenschutzhinweis direkt am Formular | ☐ |
| Link zur vollständigen Datenschutzerklärung | ☐ |
| Abschnitt „Kontaktaufnahme” in der Datenschutzerklärung | ☐ |
| HTTPS/TLS aktiv (Schloss-Symbol) | ☐ |
| Datensparsamer Spam-Schutz (z. B. Honeypot) | ☐ |
| Newsletter-Einwilligung – falls genutzt – getrennt & freiwillig | ☐ |
Wie diese Website es handhabt
Aus meiner eigenen Praxis als Beispiel: Das Kontaktformular auf fabian-reiter.com fragt bewusst nur das Nötige ab, die Seite läuft vollständig über HTTPS, und es sind keine externen Tracking- oder Captcha-Dienste eingebunden, die Daten an Dritte abgeben. Diese datensparsame Linie ist dieselbe, die ich beim Cookie-Banner und in der Datenschutzerklärung verfolge: so wenig Datenverarbeitung wie möglich, dann braucht es auch so wenig Einwilligungs-Theater wie möglich. Der einfachste Weg, Datenschutz-Aufwand zu sparen, ist, gar nicht erst unnötig Daten zu sammeln.
Ehrliche Grenze: Standardfall, kein Spezialfall
Dieser Beitrag beschreibt das typische Kontaktformular eines kleinen Dienstleisters – nicht jeden Sonderfall. Wer über das Formular besondere Datenkategorien erhebt (z. B. Gesundheits-, Glaubens- oder Bewerberdaten), Daten an Dritte weitergibt, ein eingebettetes Drittanbieter-Formular nutzt oder zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, hat zusätzliche Pflichten, die hier nicht abgedeckt sind. Datenschutz ist immer Einzelfall – im Zweifel lohnt die kurze Rücksprache mit einer Fachperson mehr als jede pauschale Online-Anleitung. Dieser Text ersetzt keine Rechtsberatung.
Fazit
Ein DSGVO-konformes Kontaktformular ist unspektakulär: nur die nötigen Felder abfragen (Datenminimierung), klar und ehrlich darüber informieren (Datenschutzhinweis + Datenschutzerklärung nach Art. 13) und sicher übertragen (HTTPS nach Art. 32). Eine separate Einwilligung per Häkchen ist für die reine Beantwortung der Anfrage meist überflüssig – sie wird erst dann zur Pflicht, wenn Sie die Daten zusätzlich anders nutzen. Wer datensparsam baut, hat am wenigsten zu regeln. Das schützt nicht nur die Daten Ihrer Interessenten, sondern senkt auch die Hürde, Sie überhaupt zu kontaktieren.
Nächster Schritt: Ihr Kontaktformular sammelt mehr Felder als nötig, hat keinen sauberen Datenschutzhinweis oder läuft noch ohne HTTPS? Bei einem Mini-Website-Refresh ab 490 € bringe ich Formular, Rechtshinweise und Verschlüsselung auf einen sauberen, datensparsamen Stand – ehrlich und ohne Abmahn-Angst-Verkauf. Schreiben Sie mir kurz Ihre Domain, dann schaue ich mir Ihr Formular an.
Quellen
- DSGVO – Art. 5 (Grundsätze, u. a. Datenminimierung) (EUR-Lex) – Datenminimierung, Art. 5 Abs. 1 lit. c
- DSGVO – Art. 6 (Rechtmäßigkeit der Verarbeitung) (EUR-Lex) – Rechtsgrundlagen lit. a, b, f
- DSGVO – Art. 13 (Informationspflicht) (EUR-Lex) – Pflichtangaben bei der Datenerhebung
- DSGVO – Art. 32 (Sicherheit der Verarbeitung) (EUR-Lex) – Stand der Technik, TLS-Verschlüsselung
- Der Bundesbeauftragte für den Datenschutz (BfDI) (BfDI) – Grundlagen zu Rechtsgrundlagen und Betroffenenrechten
- First-Party-Angabe: datensparsame Umsetzung des Kontaktformulars von fabian-reiter.com (HTTPS, keine Drittanbieter-Captchas), Stand Juni 2026