InFocus · Begriff

Kontaktformular

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Art. 6, 25 DSGVO, § 25 TDDDG

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Ein Kontaktformular ist mehr als ein Eingabefeld: Datenschutz, Barrierefreiheit und oft ein Drittanbieter-Spamschutz greifen hier gleichzeitig ineinander.

In Kürze Rechtsgrundlage: Art. 6 DSGVO, § 25 TDDDG, WCAG-Formular-AnforderungenNur die für den Zweck nötigen Felder abfragen (Datenminimierung)Alle Eingabefelder brauchen korrekt verknüpfte LabelsSpam-Schutz-Dienste Dritter benötigen eigene EinwilligungDie Übertragung muss verschlüsselt erfolgen
Diese drei Lösungen prüft der AppCore Audit für dein Kontaktformular direkt.

Was ein datenschutzkonformes Kontaktformular ausmacht

Ein Kontaktformular verarbeitet personenbezogene Daten, sobald jemand Name, E-Mail-Adresse oder ein Anliegen einträgt. Nach Art. 6 DSGVO braucht diese Verarbeitung eine Rechtsgrundlage, üblicherweise das berechtigte Interesse, auf eine Anfrage zu antworten, und sollte sich auf die für diesen Zweck tatsächlich nötigen Felder beschränken.

Die Lösung PrivacyScanner prüft genau diesen Aspekt: ob ein Formular mehr Daten abfragt, als für die Kontaktaufnahme erforderlich ist, etwa Geburtsdatum oder Adresse ohne erkennbaren Grund, und ob die Übertragung verschlüsselt über HTTPS erfolgt.

Zusätzlich zur reinen Datensparsamkeit muss geklärt sein, wie die eingehenden Nachrichten verarbeitet werden: Landen sie unverschlüsselt im E-Mail-Postfach, wer hat Zugriff, und wie lange werden sie aufbewahrt.

Barrierefreiheit: Labels, Fehlermeldungen, Tastatur

Ein Kontaktformular ist oft die einzige interaktive Komponente einer sonst rein informativen Seite und damit ein besonders wichtiger Barrierefreiheits-Testpunkt. Jedes Eingabefeld braucht ein korrekt verknüpftes Label, das ein Screenreader vorlesen kann, klar erkennbare Pflichtfeld-Kennzeichnungen und Fehlermeldungen, die sich nicht allein auf Farbe stützen.

Die Lösung AccessGuard prüft genau diese Kriterien: ob Labels technisch korrekt mit ihren Feldern verknüpft sind, ob das Formular vollständig per Tastatur bedienbar ist und ob Fehlermeldungen auch ohne Farbwahrnehmung verständlich bleiben.

Spam-Schutz durch Dritte: die oft übersehene Einwilligungspflicht

Viele Kontaktformulare setzen einen externen Spam-Schutz ein, etwa ein CAPTCHA-System, das Formulareingaben auf automatisierte Bot-Anfragen prüft. Solche Dienste laden häufig externe Skripte und übertragen dabei Daten an den jeweiligen Anbieter, was denselben Regeln unterliegt wie andere nicht notwendige Drittdienste.

CookieGuard prüft die Einwilligung vor dem Laden

Die Lösung CookieGuard prüft, ob ein solcher Spam-Schutz-Dienst bereits vor einer erteilten Einwilligung lädt. Lädt das CAPTCHA-Skript unabhängig von der Cookie-Entscheidung, entsteht dasselbe Grundproblem wie bei anderen extern eingebundenen Diensten: eine Datenübertragung ohne vorherige Zustimmung.

Wie hoch ist dein Risiko beim Kontaktformular?

Schalte ein, was auf dein Formular zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich ein sauberes Kontaktformular misst

Was Datenschutz, Barrierefreiheit und Drittdienst-Einbindung gemeinsam von einem Kontaktformular verlangen, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Nur die nötigen Felder.

Privacy by Default nach Art. 25 DSGVO verlangt, ohne aktives Zutun nur die für den Zweck nötigen Daten zu erheben. Das prüft PrivacyScanner.

Hilft Name, E-Mail, Anliegen, sonst nichts.

Stolperfalle Zusätzliche Felder wie Geburtsdatum ohne erkennbaren Zweck.

Labels und Tastatur funktionieren.

Ein Platzhalter ersetzt kein Label: Sobald das Feld ausgefüllt wird, verschwindet die einzige Information darüber, was einzutragen war. Das prüft AccessGuard.

Hilft Jedes Feld hat ein sichtbares, korrekt verknüpftes Label.

Stolperfalle Platzhaltertext statt echtem Label, das beim Ausfüllen verschwindet.

Drittdienste erst nach Zustimmung.

Wie jeder andere nicht notwendige Drittdienst darf auch ein Spam-Schutz erst nach Einwilligung laden. Das prüft CookieGuard.

Hilft Spam-Schutz lädt erst nach erteilter Cookie-Einwilligung.

Stolperfalle CAPTCHA-Skript lädt unabhängig von der Cookie-Entscheidung.

HTTPS durchgehend, auch beim Versand.

Die verschlüsselte Übertragung ist eine grundlegende technische Maßnahme nach Art. 32 DSGVO. Das prüft PrivacyScanner.

Hilft Formular und Versand laufen vollständig über HTTPS.

Stolperfalle Formular wird über eine unverschlüsselte HTTP-Verbindung geladen.

Der häufigste Irrtum: „Unser Formular-Plugin macht das schon richtig“

Ein verbreiteter Irrtum ist, ein Standard-Formular-Plugin sei automatisch datenschutzkonform und barrierefrei, weil es weit verbreitet ist. Tatsächlich unterscheiden sich Plugins erheblich: Manche binden Spam-Schutz-Dienste standardmäßig extern und ungefragt ein, andere verwenden Platzhaltertext statt echter Labels. Die Standardeinstellung eines Plugins ersetzt keine eigene Prüfung.

Ein zweiter Irrtum ist, Barrierefreiheit und Datenschutz seien getrennte Themen ohne Berührungspunkt. Beim Kontaktformular greifen sie ineinander: Ein Formular, das niemand mit Screenreader ausfüllen kann, schließt Menschen faktisch von der Kontaktaufnahme aus, unabhängig davon, wie datensparsam es sonst gestaltet ist.

Wie steht es um dein Kontaktformular?

Wähle die Situation, die deinem aktuellen Formular am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Vom einfachen Eingabefeld zum mehrschichtigen Compliance-Thema

Wie das Kontaktformular von einer reinen Funktionsfrage zu einem Zusammenspiel dreier Rechtsgebiete wurde.

  1. vor 2018

    Kontaktformulare vor allem als Funktionsfrage

    Datenschutz und Barrierefreiheit spielten bei der Formular-Gestaltung meist eine untergeordnete Rolle.

  2. 2018

    Die DSGVO macht Datenminimierung zur Pflicht

    Privacy by Default nach Art. 25 DSGVO verlangt, Formularfelder auf das Nötige zu beschränken.

  3. 2021

    Die Einwilligungspflicht erfasst auch Spam-Schutz

    Mit § 25 TDDDG wird die Einwilligungspflicht für nicht notwendige Drittdienste auch für CAPTCHA-Systeme verbindlich.

  4. seit 2025

    Barrierefreiheit wird zur dritten Pflichtebene

    Mit dem BFSG kommt für viele Websites die Formular-Barrierefreiheit als eigenständige, durchsetzbare Anforderung hinzu.

Die Rechtslage: drei Ebenen in einem Formular

Rechtlich verbinden sich beim Kontaktformular drei eigenständige Ebenen: Art. 6 und 25 DSGVO für die Datenverarbeitung und Datenminimierung, § 25 TDDDG für eingebundene Drittdienste wie Spam-Schutz, und die Barrierefreiheitsanforderungen aus WCAG beziehungsweise BFSG für die Bedienbarkeit des Formulars selbst. Alle drei Ebenen bestehen unabhängig nebeneinander.

Für die Praxis bedeutet das: Eine vollständige Prüfung des Kontaktformulars deckt nicht nur eine dieser Ebenen ab, sondern alle drei gemeinsam, weil jede für sich eine eigenständige Fundstelle sein kann.

So prüft der AppCore Audit dein Kontaktformular

Der AppCore Audit deckt alle drei Ebenen mit eigenen Lösungen ab: PrivacyScanner prüft Datenminimierung und Verschlüsselung, AccessGuard prüft Labels und Tastaturbedienbarkeit, CookieGuard prüft die Einwilligungsabhängigkeit eingebundener Spam-Schutz-Dienste. Zusammen ergeben die drei Befunde ein vollständiges Bild des Kontaktformulars.

Bußgeld, Abmahnung und Ausgrenzung: die Folgen

Verstöße bei der Datenminimierung oder der Einwilligung für Drittdienste können sowohl behördlich mit Bußgeld als auch wettbewerbsrechtlich über § 3a UWG abgemahnt werden. Ein nicht barrierefreies Formular kann zusätzlich BFSG-relevant werden, sofern die Website in dessen Anwendungsbereich fällt, unabhängig vom datenschutzrechtlichen Befund.

Über die rechtlichen Folgen hinaus hat ein schlecht gestaltetes Kontaktformular eine unmittelbare geschäftliche Konsequenz: Wer es nicht ausfüllen kann, sei es aus Datenschutzbedenken oder wegen fehlender Barrierefreiheit, nimmt schlicht keinen Kontakt auf, und die Anfrage geht verloren, ohne dass dies je sichtbar wird.

Das eigene Kontaktformular prüfen

Die Prüfung lässt sich in drei kurzen Schritten angehen, je einer pro Ebene. Erstens: Fragt das Formular wirklich nur die für die Kontaktaufnahme nötigen Felder ab, verschlüsselt übertragen? Zweitens: Hat jedes Feld ein echtes, korrekt verknüpftes Label statt bloßem Platzhaltertext? Drittens: Lädt ein eingesetzter Spam-Schutz erst nach erteilter Cookie-Einwilligung?

Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Überflüssige Formularfelder, Platzhaltertext statt Labels und vorzeitig ladender Spam-Schutz gehören zu den klassischen Fundstellen, oft alle drei im selben Formular.

Für Seiten mit mehreren Formularen, etwa Kontakt, Newsletter und Bewerbung, wird die vollständige Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: PrivacyScanner, AccessGuard und CookieGuard prüfen gemeinsam alle drei Ebenen über die ganze Seite hinweg.

Ein Kontaktformular, das datensparsam, barrierefrei und einwilligungsabhängig gestaltet ist, verliert keine Anfragen an unnötige Hürden und senkt gleichzeitig das Compliance-Risiko auf allen drei Ebenen zugleich.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.