Agentur ignis
4 Min Lesezeit

Kontaktformulare DSGVO-konform aufsetzen

Ein Kontaktformular wirkt klein. Tatsächlich ist es eine der heikelsten Stellen einer Website. Hier verlassen personenbezogene Daten den Browser, hier entstehen rechtliche Pflichten, und hier entscheidet sich für viele Besucher der letzte Schritt vor einer Anfrage.

Wenn du Formulare DSGVO-konform aufsetzen willst, geht es nicht um Paragraphenakrobatik. Es geht um Datenminimierung, klare Hinweise, saubere Technik und um Formulare, die Vertrauen statt Reibung erzeugen.

Was die DSGVO bei Formularen wirklich verlangt

Drei Prinzipien stehen im Vordergrund.

Erstens: Zweckbindung. Du erhebst nur Daten, die du für die Bearbeitung der Anfrage tatsächlich brauchst. Eine Telefonnummer ist nur dann sinnvoll, wenn du wirklich anrufen willst. Ein Geburtsdatum gehört in fast keinem B2B-Kontaktformular.

Zweitens: Transparenz. Besucher müssen verstehen, was mit ihren Daten passiert. Dafür gibt es einen kurzen Hinweis am Formular und die Datenschutzerklärung als Vertiefung.

Drittens: Sicherheit. Übertragung verschlüsselt, Speicherung sauber, Löschfristen geregelt. Nichts davon muss kompliziert sein, aber alles davon muss bewusst entschieden sein.

Datenminimierung als UX-Vorteil

Der wichtigste Hebel ist gleichzeitig der einfachste: weniger Felder. Was du nicht abfragst, musst du nicht rechtfertigen, nicht absichern, nicht speichern.

Frag dich pro Feld, ob du die Information wirklich brauchst, um die Anfrage sinnvoll zu beantworten. Position, Branche, Mitarbeiterzahl, Budget: das alles kann nützlich sein, ist aber selten entscheidend für den ersten Kontakt.

Kürzere Formulare wirken zudem niedrigschwelliger. Wenn die Anfrage komplexer ist, lohnt sich oft eher ein Blick auf mehrstufige Formulare als ein langer Block mit zwölf Feldern.

Pflichtfelder, freiwillige Felder, klare Beschriftung

Pflichtfelder sind erkennbar markiert. Die Logik ist: Was zur Bearbeitung der Anfrage zwingend nötig ist, ist Pflicht. Alles andere ist freiwillig.

Diese Trennung ist nicht nur Form, sondern Inhalt. Wer zu viele Felder als Pflicht markiert, erzwingt Daten ohne Rechtsgrundlage und schreckt Besucher ab. Wer dagegen optionale Felder klar als optional kennzeichnet, signalisiert Respekt.

Beschrifte Felder eindeutig. "Nachricht" statt "Anliegen" ist meist klarer. Hilftexte direkt am Feld nehmen Druck aus dem Formular.

Datenschutzhinweis am Formular

Direkt vor oder unter dem Absende-Button gehört ein kurzer Hinweis. Er nennt knapp, was passiert: Speicherung der Anfrage, Bearbeitung, Verweis auf die Datenschutzerklärung.

Eine Checkbox zur "Zustimmung" zur Datenverarbeitung ist meist nicht nötig und oft sogar problematisch. Bei einer Anfrage liegt die Rechtsgrundlage in der Regel im vorvertraglichen Verhältnis, nicht in einer Einwilligung. Eine erzwungene Checkbox nimmt Besuchern Klarheit, ohne rechtlich zu helfen.

Sinnvoll dagegen ist eine eindeutige Verlinkung der Datenschutzerklärung. Sie sollte von dort aus genau zu dem Abschnitt führen, der Formulardaten beschreibt.

Technische Sauberkeit

Drei Punkte sind nicht verhandelbar:

  • Übertragung über HTTPS, sonst kein Formular
  • Spam- und Bot-Schutz ohne externes Tracking, idealerweise serverseitig
  • klare Speicher- und Löschlogik im Backend

Externe Captcha-Dienste sind heikel, weil sie Daten an Dritte schicken. Wenn du sie nutzt, braucht es einen sauberen Hinweis und eine bewusste Entscheidung. In vielen Fällen reichen einfache Honeypot-Felder und serverseitige Rate-Limits, um Spam in den Griff zu bekommen.

Mailweiterleitungen aus dem Formular sollten verschlüsselt laufen und nur an klar definierte Empfänger gehen. Sammel-Postfächer mit unklarer Zugriffsregelung sind ein häufiges, unterschätztes Risiko.

Bestätigung und Nachgang

Nach dem Absenden braucht es zwei Dinge: eine eindeutige Bestätigungsseite oder Bestätigungsmeldung und eine sauber formulierte Bestätigungs-E-Mail, falls du eine schickst.

Beide sollten nüchtern sein. Keine Marketing-Zusatztexte, keine Cross-Selling-Blöcke. Eine kurze Information, dass die Anfrage angekommen ist, und ein realistischer Hinweis zur Antwortzeit reichen.

Wer die Dankeseite zusätzlich nutzen will, ohne aufdringlich zu wirken, findet einen ehrlichen Blick darauf in Die Dankeseite: ungenutztes Potenzial nach der Anfrage.

Häufige Fehler

Typische Schwachstellen in der Praxis:

  • zu viele Pflichtfelder ohne klare Begründung
  • generische Datenschutzhinweise, die nicht zum Formular passen
  • externe Drittanbieter im Formular ohne sauberen Hinweis
  • keine geregelte Löschfrist für eingegangene Anfragen
  • Bestätigungsmails über unverschlüsselte Wege

Einzeln wirkt jeder Punkt klein. Zusammen sind sie der Grund, warum Kontaktformulare bei Audits regelmässig auffallen.

Pragmatische Empfehlung

Behandle das Formular wie das, was es ist: die letzte Strecke vor einer Anfrage und gleichzeitig die rechtlich sensibelste Stelle der Website. Weniger Felder, klare Sprache, ein ehrlicher Datenschutzhinweis und eine saubere technische Basis lösen die meisten DSGVO-Themen, ohne UX zu opfern.

Wenn Formular und Datenschutz erkennbar zusammen gedacht sind, fühlt sich der letzte Klick weniger nach Formular und mehr nach Gespräch an. Genau das zahlt am Ende auf die Qualität der Anfragen ein.