Ein Kontaktformular gehört zu den am häufigsten abgemahnten Elementen einer Website. Die gute Nachricht: rechtssicher und nutzer­freundlich schließen sich nicht aus. Wir zeigen, was 2026 wirklich Pflicht ist — und welche „Best Practices" eher zu Konversions­killern als zu Rechts­sicherheit führen.

Datenminimierung als Grundsatz

Fragen Sie nur ab, was Sie für die Beantwortung der Anfrage tatsächlich brauchen. Pflicht­felder „Anrede", „Geburtsdatum" oder „Adresse" sind in einem normalen Kontaktformular weder nötig noch erlaubt. Faustregel: Name + Kontaktweg + Nachricht. Alles andere ist optional.

Die Einwilligungs-Checkbox

Eine separate, nicht vorausgefüllte Checkbox mit Verweis auf die Datenschutz­erklärung. Der Text muss klar machen, wofür eingewilligt wird. Eine bewährte Formulierung:

„Ich habe die Datenschutz­erklärung gelesen und willige in die Verarbeitung meiner Angaben zur Beantwortung meiner Anfrage ein."

Wichtig: Die Checkbox darf nicht auf Werbe-Newsletter oder andere Zwecke abzielen. Ein Zweck pro Einwilligung — sonst ist die Einwilligung als ganze unwirksam.

Pflicht-Hinweise direkt am Formular

  • Welche Daten werden verarbeitet? (Name, E-Mail, Nachricht)
  • Zu welchem Zweck? (Beantwortung der Anfrage)
  • Rechtsgrundlage? (Art. 6 Abs. 1 lit. b oder f DSGVO)
  • Wie lange werden die Daten gespeichert?
  • Link zur vollen Datenschutz­erklärung

SSL ist nicht verhandelbar

Jedes Formular muss über HTTPS übertragen werden — ohne Ausnahme. Eine unverschlüsselte Übertragung von Kontaktdaten ist ein DSGVO-Verstoß und ein Abmahn­grund. Let's Encrypt liefert kostenlose Zertifikate; jeder seriöse Hoster richtet das in fünf Minuten ein.

Spam-Schutz ohne Tracking

Google reCAPTCHA ist datenschutz­rechtlich heikel — Daten fließen in die USA, eine Einwilligung wäre nötig, was den Schutz aushebelt. Bessere Alternativen: Honeypot-Felder, mathematische Fragen, oder selbst gehostete Lösungen wie Friendly Captcha (auf europäischen Servern).

Tastatur und Stift auf einem Schreibtisch
Spam-Schutz, der nicht auf Tracking setzt: machbar und unauffällig.

Speicherfristen klar definieren

Anfragen, die zu keinem Vertrags­schluss führen, löschen Sie spätestens nach 6 Monaten. Anfragen, die in einen Vertrag münden, unterliegen den steuer­rechtlichen Aufbewahrungs­fristen (typischer­weise 6 oder 10 Jahre). Diese Logik gehört in Ihre interne Datenschutz­dokumentation.

Was nicht (mehr) erlaubt ist

  • Vorausgefüllte Checkboxen — eindeutig untersagt
  • Newsletter-Anmeldung als Pflicht­bedingung
  • Kontakt­formulare ohne SSL
  • Google Fonts oder reCAPTCHA ohne Einwilligungs-Banner
  • Weiterleitung der Daten an Dritte ohne expliziten Hinweis

Die Tester-Checkliste

Bevor ein Formular live geht, fragen Sie diese fünf Dinge ab:

  • Sind alle Pflichtfelder wirklich nötig?
  • Gibt es eine separate, leere Einwilligungs-Checkbox?
  • Steht ein Link zur Datenschutz­erklärung direkt am Formular?
  • Wird per HTTPS übertragen?
  • Gibt es eine schriftliche Lösch-Routine?

Fazit

DSGVO-Konformität ist kein Hexenwerk. Wer Datenminimierung ernst nimmt, eine ordentliche Einwilligung einholt, SSL und einen privatsphäre­freundlichen Spam-Schutz einsetzt, hat den Großteil der Anforderungen abgedeckt. Wichtig ist die Konsistenz mit der Datenschutz­erklärung — denn dort wird im Streitfall geprüft, was Sie versprochen haben.

Sie wollen Ihr bestehendes Formular prüfen lassen? Wir bieten einen kompakten DSGVO-Audit für Kontakt­formulare an. Sprechen Sie uns an.

Hinweis: Dieser Artikel ist eine technische Hilfestellung und ersetzt keine Rechts­beratung. Im Zweifel wenden Sie sich an einen Fach­anwalt für IT-Recht.