Kontaktformular
AppCore InFocus
Art. 25 DSGVO
Kontaktformular
Pflicht seit — Tagen
Ein Kontaktformular ist mehr als ein Eingabefeld: Datenschutz, Barrierefreiheit und oft ein Drittanbieter-Spamschutz greifen hier gleichzeitig ineinander.
Was ein datenschutzkonformes Kontaktformular ausmacht
Ein Kontaktformular verarbeitet personenbezogene Daten, sobald jemand Name, E-Mail-Adresse oder ein Anliegen einträgt. Nach Art. 6 DSGVO braucht diese Verarbeitung eine Rechtsgrundlage, üblicherweise das berechtigte Interesse, auf eine Anfrage zu antworten, und sollte sich auf die für diesen Zweck tatsächlich nötigen Felder beschränken.
Die Lösung PrivacyScanner prüft genau diesen Aspekt: ob ein Formular mehr Daten abfragt, als für die Kontaktaufnahme erforderlich ist, etwa Geburtsdatum oder Adresse ohne erkennbaren Grund, und ob die Übertragung verschlüsselt über HTTPS erfolgt.
Zusätzlich zur reinen Datensparsamkeit muss geklärt sein, wie die eingehenden Nachrichten verarbeitet werden: Landen sie unverschlüsselt im E-Mail-Postfach, wer hat Zugriff, und wie lange werden sie aufbewahrt.
Barrierefreiheit: Labels, Fehlermeldungen, Tastatur
Ein Kontaktformular ist oft die einzige interaktive Komponente einer sonst rein informativen Seite und damit ein besonders wichtiger Barrierefreiheits-Testpunkt. Jedes Eingabefeld braucht ein korrekt verknüpftes Label, das ein Screenreader vorlesen kann, klar erkennbare Pflichtfeld-Kennzeichnungen und Fehlermeldungen, die sich nicht allein auf Farbe stützen.
Die Lösung AccessGuard prüft genau diese Kriterien: ob Labels technisch korrekt mit ihren Feldern verknüpft sind, ob das Formular vollständig per Tastatur bedienbar ist und ob Fehlermeldungen auch ohne Farbwahrnehmung verständlich bleiben.
Spam-Schutz durch Dritte: die oft übersehene Einwilligungspflicht
Viele Kontaktformulare setzen einen externen Spam-Schutz ein, etwa ein CAPTCHA-System, das Formulareingaben auf automatisierte Bot-Anfragen prüft. Solche Dienste laden häufig externe Skripte und übertragen dabei Daten an den jeweiligen Anbieter, was denselben Regeln unterliegt wie andere nicht notwendige Drittdienste.
CookieGuard prüft die Einwilligung vor dem Laden
Die Lösung CookieGuard prüft, ob ein solcher Spam-Schutz-Dienst bereits vor einer erteilten Einwilligung lädt. Lädt das CAPTCHA-Skript unabhängig von der Cookie-Entscheidung, entsteht dasselbe Grundproblem wie bei anderen extern eingebundenen Diensten: eine Datenübertragung ohne vorherige Zustimmung.
Wie hoch ist dein Risiko beim Kontaktformular?
Schalte ein, was auf dein Formular zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich ein sauberes Kontaktformular misst
Was Datenschutz, Barrierefreiheit und Drittdienst-Einbindung gemeinsam von einem Kontaktformular verlangen, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Nur die nötigen Felder.
Privacy by Default nach Art. 25 DSGVO verlangt, ohne aktives Zutun nur die für den Zweck nötigen Daten zu erheben. Das prüft PrivacyScanner.
Hilft Name, E-Mail, Anliegen, sonst nichts.
Stolperfalle Zusätzliche Felder wie Geburtsdatum ohne erkennbaren Zweck.
Labels und Tastatur funktionieren.
Ein Platzhalter ersetzt kein Label: Sobald das Feld ausgefüllt wird, verschwindet die einzige Information darüber, was einzutragen war. Das prüft AccessGuard.
Hilft Jedes Feld hat ein sichtbares, korrekt verknüpftes Label.
Stolperfalle Platzhaltertext statt echtem Label, das beim Ausfüllen verschwindet.
Drittdienste erst nach Zustimmung.
Wie jeder andere nicht notwendige Drittdienst darf auch ein Spam-Schutz erst nach Einwilligung laden. Das prüft CookieGuard.
Hilft Spam-Schutz lädt erst nach erteilter Cookie-Einwilligung.
Stolperfalle CAPTCHA-Skript lädt unabhängig von der Cookie-Entscheidung.
HTTPS durchgehend, auch beim Versand.
Die verschlüsselte Übertragung ist eine grundlegende technische Maßnahme nach Art. 32 DSGVO. Das prüft PrivacyScanner.
Hilft Formular und Versand laufen vollständig über HTTPS.
Stolperfalle Formular wird über eine unverschlüsselte HTTP-Verbindung geladen.
Der häufigste Irrtum: „Unser Formular-Plugin macht das schon richtig“
Ein verbreiteter Irrtum ist, ein Standard-Formular-Plugin sei automatisch datenschutzkonform und barrierefrei, weil es weit verbreitet ist. Tatsächlich unterscheiden sich Plugins erheblich: Manche binden Spam-Schutz-Dienste standardmäßig extern und ungefragt ein, andere verwenden Platzhaltertext statt echter Labels. Die Standardeinstellung eines Plugins ersetzt keine eigene Prüfung.
Ein zweiter Irrtum ist, Barrierefreiheit und Datenschutz seien getrennte Themen ohne Berührungspunkt. Beim Kontaktformular greifen sie ineinander: Ein Formular, das niemand mit Screenreader ausfüllen kann, schließt Menschen faktisch von der Kontaktaufnahme aus, unabhängig davon, wie datensparsam es sonst gestaltet ist.
Wie steht es um dein Kontaktformular?
Wähle die Situation, die deinem aktuellen Formular am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Vom einfachen Eingabefeld zum mehrschichtigen Compliance-Thema
Wie das Kontaktformular von einer reinen Funktionsfrage zu einem Zusammenspiel dreier Rechtsgebiete wurde.
- vor 2018
Kontaktformulare vor allem als Funktionsfrage
Datenschutz und Barrierefreiheit spielten bei der Formular-Gestaltung meist eine untergeordnete Rolle.
- 2018
Die DSGVO macht Datenminimierung zur Pflicht
Privacy by Default nach Art. 25 DSGVO verlangt, Formularfelder auf das Nötige zu beschränken.
- 2021
Die Einwilligungspflicht erfasst auch Spam-Schutz
Mit § 25 TDDDG wird die Einwilligungspflicht für nicht notwendige Drittdienste auch für CAPTCHA-Systeme verbindlich.
- seit 2025
Barrierefreiheit wird zur dritten Pflichtebene
Mit dem BFSG kommt für viele Websites die Formular-Barrierefreiheit als eigenständige, durchsetzbare Anforderung hinzu.
Die Rechtslage: drei Ebenen in einem Formular
Rechtlich verbinden sich beim Kontaktformular drei eigenständige Ebenen: Art. 6 und 25 DSGVO für die Datenverarbeitung und Datenminimierung, § 25 TDDDG für eingebundene Drittdienste wie Spam-Schutz, und die Barrierefreiheitsanforderungen aus WCAG beziehungsweise BFSG für die Bedienbarkeit des Formulars selbst. Alle drei Ebenen bestehen unabhängig nebeneinander.
Für die Praxis bedeutet das: Eine vollständige Prüfung des Kontaktformulars deckt nicht nur eine dieser Ebenen ab, sondern alle drei gemeinsam, weil jede für sich eine eigenständige Fundstelle sein kann.
So prüft der AppCore Audit dein Kontaktformular
Der AppCore Audit deckt alle drei Ebenen mit eigenen Lösungen ab: PrivacyScanner prüft Datenminimierung und Verschlüsselung, AccessGuard prüft Labels und Tastaturbedienbarkeit, CookieGuard prüft die Einwilligungsabhängigkeit eingebundener Spam-Schutz-Dienste. Zusammen ergeben die drei Befunde ein vollständiges Bild des Kontaktformulars.
Bußgeld, Abmahnung und Ausgrenzung: die Folgen
Verstöße bei der Datenminimierung oder der Einwilligung für Drittdienste können sowohl behördlich mit Bußgeld als auch wettbewerbsrechtlich über § 3a UWG abgemahnt werden. Ein nicht barrierefreies Formular kann zusätzlich BFSG-relevant werden, sofern die Website in dessen Anwendungsbereich fällt, unabhängig vom datenschutzrechtlichen Befund.
Über die rechtlichen Folgen hinaus hat ein schlecht gestaltetes Kontaktformular eine unmittelbare geschäftliche Konsequenz: Wer es nicht ausfüllen kann, sei es aus Datenschutzbedenken oder wegen fehlender Barrierefreiheit, nimmt schlicht keinen Kontakt auf, und die Anfrage geht verloren, ohne dass dies je sichtbar wird.
Das eigene Kontaktformular prüfen
Die Prüfung lässt sich in drei kurzen Schritten angehen, je einer pro Ebene. Erstens: Fragt das Formular wirklich nur die für die Kontaktaufnahme nötigen Felder ab, verschlüsselt übertragen? Zweitens: Hat jedes Feld ein echtes, korrekt verknüpftes Label statt bloßem Platzhaltertext? Drittens: Lädt ein eingesetzter Spam-Schutz erst nach erteilter Cookie-Einwilligung?
Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Überflüssige Formularfelder, Platzhaltertext statt Labels und vorzeitig ladender Spam-Schutz gehören zu den klassischen Fundstellen, oft alle drei im selben Formular.
Für Seiten mit mehreren Formularen, etwa Kontakt, Newsletter und Bewerbung, wird die vollständige Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: PrivacyScanner, AccessGuard und CookieGuard prüfen gemeinsam alle drei Ebenen über die ganze Seite hinweg.
Ein Kontaktformular, das datensparsam, barrierefrei und einwilligungsabhängig gestaltet ist, verliert keine Anfragen an unnötige Hürden und senkt gleichzeitig das Compliance-Risiko auf allen drei Ebenen zugleich.
Wo stehst du gerade?
Drei Ebenen greifen gleichzeitig: Datenschutz, Barrierefreiheit und der Spam-Schutz durch Dritte. Denk alle drei von Anfang an mit, dann wird das Formular nicht zur Sammelstelle für Befunde.
Formular-Plugins laden ihren Spam-Schutz oft von externen Servern nach, ohne zu fragen. Der AppCore Audit prüft Datenfluss, Beschriftung und Tastaturbedienung deines Formulars.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.