Skip to main content
HomeBlogLegal & Privacy
Legal & Privacy2025-12-08
7 min read

DSGVO und Kontaktformulare: Was Sie beachten müssen

By Amadeus Webdesign
Updated on 2025-12-25

Kontaktformulare DSGVO-konform gestalten – technische Anforderungen, rechtliche Pflichten und praktische Umsetzung für österreichische Websites.


DSGVO und Kontaktformulare: Was Sie beachten müssen


Ein Kontaktformular ist oft die wichtigste Schnittstelle zwischen Ihnen und Ihren potenziellen Kunden. Aber: Kontaktformulare verarbeiten personenbezogene Daten – und unterliegen damit der DSGVO. Wie Sie Ihr Kontaktformular rechtssicher gestalten, erfahren Sie hier.


Wichtiger Hinweis: Dieser Artikel bietet technische Informationen, keine Rechtsberatung. Für rechtliche Fragen konsultieren Sie bitte einen Fachanwalt für Datenschutzrecht.

Warum DSGVO für Kontaktformulare wichtig ist


Die Risiken bei Verstößen

  • Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes
  • Abmahnungen durch Konkurrenten oder Datenschutzvereine
  • Vertrauensverlust bei Kunden
  • Haftung bei Datenlecks

    • Die gute Nachricht

    Mit der richtigen technischen Umsetzung ist ein DSGVO-konformes Kontaktformular kein Hexenwerk.


    Die 7 DSGVO-Grundsätze für Kontaktformulare


    1. Rechtmäßigkeit der Verarbeitung


    Sie brauchen eine Rechtsgrundlage:
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – am häufigsten bei Kontaktformularen
  • Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) – wenn Kunde Angebot anfrägt
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – in manchen Fällen

    • Praxis-Tipp: Holen Sie explizite Einwilligung ein – das ist der sicherste Weg.

    2. Zweckbindung


    Sie dürfen Daten nur für den angegebenen Zweck nutzen:


    Erlaubt:
  • Beantwortung der Anfrage
  • Zusendung angeforderter Informationen
  • Kontaktaufnahme zur Klärung

    • Nicht erlaubt (ohne separate Einwilligung):
  • Newsletter versenden
  • An Dritte weitergeben
  • Für Werbung nutzen

    • 3. Datenminimierung


    Fragen Sie nur, was Sie wirklich brauchen:


    Meist ausreichend:
  • Name
  • E-Mail-Adresse
  • Nachricht/Anfrage

    • Vermeiden Sie:
  • Geburtsdatum (wenn nicht relevant)
  • Adresse (wenn nicht nötig)
  • Telefonnummer (außer explizit gewünscht)

    • 4. Speicherbegrenzung


    Löschen Sie Daten, wenn Sie sie nicht mehr brauchen:

  • Nach Abschluss der Anfrage
  • Nach gesetzlichen Aufbewahrungsfristen
  • Spätestens nach 3 Jahren (Verjährungsfrist)

    • 5. Integrität & Vertraulichkeit


    Technische Maßnahmen:
  • SSL-Verschlüsselung (HTTPS)
  • Sichere Datenübertragung
  • Zugriffsbeschränkungen
  • Regelmäßige Backups

    • 6. Transparenz


    Informieren Sie über:

  • Welche Daten Sie erheben
  • Warum Sie sie erheben
  • Wie lange Sie sie speichern
  • Wer Zugriff hat

    • 7. Rechenschaftspflicht


    Dokumentieren Sie:

  • Verarbeitungsverzeichnis
  • Technische Maßnahmen
  • Löschkonzept

    • Technische DSGVO-Anforderungen


    1. SSL-Verschlüsselung (Pflicht!)


    Was ist das?

    HTTPS statt HTTP – erkennbar am Schloss-Symbol in der Browserleiste.


    Warum wichtig?
  • Daten werden verschlüsselt übertragen
  • Schutz vor Abhören
  • Google-Ranking-Faktor

    • Kosten:

    Meist kostenlos (Let's Encrypt)


    2. CAPTCHA oder Spam-Schutz


    Zweck:
  • Schutz vor Spam
  • Verhindert automatisierte Anfragen

    • DSGVO-konforme Optionen:
  • ✓ Honeypot-Technik (unsichtbar für Nutzer)
  • ✓ reCAPTCHA von Google (mit Datenschutzerklärung)
  • ✓ hCaptcha (datenschutzfreundlicher)
  • ✗ Alte CAPTCHA-Versionen (oft nicht DSGVO-konform)

    • 3. Datenschutz-Checkbox (Pflicht!)


    Richtig:

    ```

    ☐ Ich habe die Datenschutzerklärung gelesen und akzeptiere die Verarbeitung meiner Daten zur Bearbeitung meiner Anfrage.

    ```


    Falsch:
  • Vorab angekreuzte Checkbox
  • Versteckte Zustimmung
  • Zustimmung in AGB versteckt

    • Wichtig: Die Checkbox darf NICHT vorab angeklickt sein!

    4. Link zur Datenschutzerklärung


    Direkt beim Formular verlinken:

  • Vor oder bei der Checkbox
  • Deutlich sichtbar
  • Öffnet in neuem Tab

    • 5. Keine Weitergabe an Dritte


    Vorsicht bei:
  • Newsletter-Tools (Mailchimp, Sendinblue)
  • CRM-Systemen
  • Cloud-Speichern außerhalb der EU

    • Lösung:
  • EU-Server nutzen
  • Auftragsverarbeitungsvertrag (AVV) abschließen
  • In Datenschutzerklärung erwähnen

    • Das perfekte DSGVO-konforme Kontaktformular


    Pflichtfelder

    1. Name (Vorname + Nachname)

    2. E-Mail-Adresse

    3. Nachricht/Anfrage

    4. Datenschutz-Checkbox (nicht vorangeklickt!)


    Optionale Felder

  • Telefonnummer (als Option, nicht Pflicht)
  • Betreff (zur Kategorisierung)
  • Unternehmen (für B2B-Kontakte)

    • Formular-Texte


    Beschriftung der Checkbox:

    ```

    ☐ Ich bin damit einverstanden, dass meine Daten zur Bearbeitung

    meiner Anfrage gespeichert werden. Die Daten werden nach

    abgeschlossener Bearbeitung gelöscht. Hinweis: Sie können Ihre

    Einwilligung jederzeit für die Zukunft per E-Mail widerrufen.

    Detaillierte Informationen finden Sie in unserer

    [Datenschutzerklärung](#).

    ```


    Hinweis unter dem Formular:

    ```

    Ihre Daten werden verschlüsselt über SSL übertragen und

    ausschließlich zur Bearbeitung Ihrer Anfrage verwendet.

    ```


    Datenschutzerklärung: Was rein muss


    Abschnitt "Kontaktformular"


    Ihre Datenschutzerklärung muss enthalten:


    1. Welche Daten werden erhoben

    - Name, E-Mail, Nachricht, IP-Adresse, Zeitstempel


    2. Rechtsgrundlage

    - Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO


    3. Zweck der Verarbeitung

    - Bearbeitung und Beantwortung der Anfrage


    4. Speicherdauer

    - Bis zur Bearbeitung der Anfrage, max. 3 Jahre


    5. Empfänger

    - Nur intern, evtl. Hosting-Provider (mit AVV)


    6. Betroffenenrechte

    - Auskunft, Berichtigung, Löschung, Widerspruch


    7. Widerrufsrecht

    - Jederzeit möglich, per E-Mail


    Technische Umsetzung


    Backend-Anforderungen


    Sichere Datenverarbeitung:

    ```

    ✓ Formular-Validierung (Server-seitig!)

    ✓ SQL-Injection-Schutz

    ✓ XSS-Schutz (Cross-Site Scripting)

    ✓ CSRF-Schutz (Cross-Site Request Forgery)

    ✓ Rate Limiting (gegen Spam)

    ```


    Datenspeicherung:

    ```

    ✓ Verschlüsselte Datenbank

    ✓ Zugriffsbeschränkungen

    ✓ Logging von Zugriffen

    ✓ Regelmäßige Backups (verschlüsselt)

    ```


    E-Mail-Versand:

    ```

    ✓ TLS-Verschlüsselung

    ✓ SPF/DKIM-Records

    ✓ Kein Klartext-Passwort

    ```


    Frontend-Best Practices


    Benutzerfreundlichkeit:
  • Klare Beschriftungen
  • Fehler-Validierung in Echtzeit
  • Datenschutz-Checkbox prominent platziert
  • Erfolgsmeldung nach Absenden
  • Fehler-Meldungen verständlich

    • Barrierefreiheit:
  • Labels für Screen-Reader
  • Tastatur-Navigation möglich
  • Kontrastreiche Darstellung
  • Mobile-optimiert

    • Häufige Fehler vermeiden


    ❌ Fehler 1: Keine SSL-Verschlüsselung

    Daten werden unverschlüsselt übertragen – gravierender Verstoß!


    ❌ Fehler 2: Vorab angekreuzte Checkbox

    Einwilligung muss aktiv erfolgen, nicht passiv.


    ❌ Fehler 3: Keine Datenschutzerklärung verlinkt

    Nutzer müssen wissen, was mit ihren Daten passiert.


    ❌ Fehler 4: Zu viele Pflichtfelder

    Fragen Sie nur, was Sie wirklich brauchen (Datenminimierung).


    ❌ Fehler 5: Daten werden zu lange gespeichert

    Löschen Sie Daten nach Zweckerfüllung.


    ❌ Fehler 6: Weitergabe an Newsletter-Tool ohne Einwilligung

    Separate Checkbox für Newsletter erforderlich!


    ❌ Fehler 7: Kein Nachweis der Einwilligung

    Dokumentieren Sie, wann wer zugestimmt hat (Double Opt-In).


    Newsletter-Anmeldung vs. Kontaktformular


    Wichtig: Newsletter-Anmeldungen haben strengere Anforderungen!

    Kontaktformular

  • Einfache Einwilligung ausreichend
  • Zweck: Anfrage beantworten
  • Keine Double-Opt-In nötig (aber empfohlen)

    • Newsletter-Anmeldung

  • Double-Opt-In Pflicht! (Bestätigung per E-Mail)
  • Separate Checkbox
  • Jederzeit Abmeldung möglich
  • Protokollierung der Anmeldung

    • Lösung: Getrennte Checkboxen verwenden!

    ```

    ☐ Ich möchte den Newsletter erhalten und kann diese Einwilligung

    jederzeit widerrufen.

    ```


    Verantwortlichkeiten & Dokumentation


    Verarbeitungsverzeichnis


    Sie müssen dokumentieren:

  • Art der verarbeiteten Daten
  • Zweck der Verarbeitung
  • Betroffene Kategorien
  • Empfänger
  • Löschfristen
  • Technische Schutzmaßnahmen

    • Auftragsverarbeitungsverträge (AVV)


    Erforderlich bei:

  • Hosting-Provider
  • E-Mail-Dienste (z.B. SMTP-Server)
  • CRM-Systeme
  • Cloud-Speicher

    • Tipp: Viele professionelle Provider bieten Standard-AVVs an.

    Checkliste: DSGVO-konformes Kontaktformular


    Technisch

  • [ ] SSL-Verschlüsselung (HTTPS) aktiv
  • [ ] Spam-Schutz implementiert (Honeypot/CAPTCHA)
  • [ ] Server-seitige Validierung
  • [ ] Sichere Datenspeicherung
  • [ ] Verschlüsselte E-Mail-Versand

    • Rechtlich

  • [ ] Datenschutz-Checkbox (NICHT vorangeklickt)
  • [ ] Link zur Datenschutzerklärung
  • [ ] Datenschutzerklärung vollständig
  • [ ] Impressum vorhanden
  • [ ] Cookie-Banner (falls Cookies gesetzt werden)

    • Inhaltlich

  • [ ] Nur notwendige Daten abfragen
  • [ ] Klare Formulierung der Checkbox
  • [ ] Hinweis auf Verschlüsselung
  • [ ] Hinweis auf Widerrufsrecht
  • [ ] Erfolgs-/Fehlermeldungen

    • Organisatorisch

  • [ ] Verarbeitungsverzeichnis angelegt
  • [ ] Löschkonzept definiert
  • [ ] AVV mit Providern geschlossen
  • [ ] Team geschult

    • Hosting & Server-Standort


    EU-Hosting empfohlen

  • Daten bleiben in der EU
  • Einfachere DSGVO-Konformität
  • Keine zusätzliche Rechtsgrundlage nötig

    • US-Hosting möglich, aber...

  • Standard

    • vertragsklauseln (SCC) erforderlich

  • Zusätzliche Dokumentation
  • Höheres Risiko bei Rechtsänderungen

    • Empfehlung: Nutzen Sie Hosting-Provider in Österreich, Deutschland oder der EU.

    [Mehr zu Managed Hosting](/de/managed-hosting)


    Fazit


    Ein DSGVO-konformes Kontaktformular ist machbar und nicht übermäßig kompliziert, wenn Sie die wichtigsten Punkte beachten:


    1. SSL-Verschlüsselung ist Pflicht

    2. Datenschutz-Checkbox darf nicht vorab angeklickt sein

    3. Datenschutzerklärung muss verlinkt und vollständig sein

    4. Nur notwendige Daten abfragen

    5. Sichere technische Umsetzung


    Wir helfen Ihnen


    Unsicher bei der technischen Umsetzung? Wir implementieren DSGVO-konforme Kontaktformulare:


  • Technisch sauber umgesetzt
  • Rechtlich auf dem neuesten Stand
  • Benutzerfreundlich gestaltet
  • Spam-geschützt
  • SSL-verschlüsselt

    • [Jetzt beraten lassen](/de#contact)


    ---


    Weitere hilfreiche Artikel:
  • [DSGVO-konforme Websites](/de/dsgvo-konforme-webseiten)
  • [Website-Sicherheit](/de/website-sicherheit)
  • [Webdesign für KMU](/de/webdesign-fuer-kmu)

    • ---


    Rechtlicher Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche rechtliche Auskünfte wenden Sie sich bitte an einen Fachanwalt für Datenschutzrecht.

    ---


    *Benötigen Sie ein DSGVO-konformes Kontaktformular für Ihre Website? [Kontaktieren Sie uns](/de#contact) für eine kostenlose Beratung.*


    Back to Blog