Wer als KMU eine Website betreibt, hat fast immer mindestens ein Webformular im Einsatz: Kontaktformular, Newsletter-Anmeldung, Bewerberformular, Angebotsanfrage, Support-Ticket. Jedes dieser Formulare erfasst personenbezogene Daten – und damit greift die DSGVO. In diesem Artikel zeigen wir, was bei der Entwicklung von Webformularen zu beachten ist, damit sie rechtssicher sind. Aus Entwicklersicht, mit konkreten Empfehlungen für den praktischen Umsetzungsalltag.
⚠️ Wichtig: Vorab: Dieser Artikel ersetzt keine Rechtsberatung. Er fasst aktuelle Best Practices aus der Entwicklungspraxis zusammen. Bei konkreten Zweifelsfällen ist immer eine Datenschutz-Fachkraft oder Fachanwältin zu Rate zu ziehen.
Was die DSGVO für Webformulare grundsätzlich verlangt
Die DSGVO baut auf wenigen Grundsätzen auf, die für jedes Webformular gelten:
Rechtmäßigkeit
Es muss eine Rechtsgrundlage für die Verarbeitung geben (Art. 6 DSGVO). Bei Kontaktformularen meist die Einwilligung (Art. 6 Abs. 1 lit. a) oder das berechtigte Interesse (lit. f). Bei Bewerbungen die Vertragsanbahnung (lit. b).
Zweckbindung
Daten dürfen nur für den angegebenen Zweck verarbeitet werden. "Kontaktanfrage" heißt nicht "Newsletter-Versand".
Datensparsamkeit
Nur die wirklich notwendigen Daten dürfen erfasst werden. Eine Kontaktanfrage braucht nicht das Geburtsdatum.
Transparenz
Anwender müssen wissen, was mit ihren Daten passiert. Klare Datenschutzerklärung, klar formulierter Hinweis am Formular.
Speicherbegrenzung
Daten dürfen nicht länger gespeichert werden als nötig. Kontaktanfragen typischerweise 6-12 Monate, dann Löschung.
Integrität und Vertraulichkeit
Sichere Übertragung (TLS), sichere Speicherung, Zugriffsschutz im Backend.
Die Pflicht-Elemente eines DSGVO-konformen Webformulars
Was jedes Formular braucht
- Pflichtfelder klar gekennzeichnet (mit *)
- Klare Beschriftung jeder Eingabe – was wird wofür gebraucht?
- Link zur Datenschutzerklärung in unmittelbarer Nähe des Absende-Buttons
- Einwilligungs-Checkbox bei nicht-pflichtigen Zwecken (Newsletter, Marketing)
- Keine vorausgewählten Häkchen für Einwilligungen (Aktivität ist Pflicht)
- Übertragung ausschließlich über HTTPS / TLS
- Server-seitige Validierung aller Eingaben (nicht nur Browser-Check)
- Spamschutz, der die Eingabe nicht beeinträchtigt (kein Captcha mit Personenbezug ohne Einwilligung)
- Dokumentierte Speicherdauer und Löschroutine
- Benachrichtigung an den Anwender über erfolgreichen Eingang
Einwilligung: Wann ja, wann reicht das berechtigte Interesse?
Eine der häufigsten Fragen in der Praxis: Brauche ich für jedes Formular eine Einwilligungs-Checkbox? Die kurze Antwort: Nein. Es kommt auf den Zweck an.
| Formular-Typ | Rechtsgrundlage | Einwilligungs-Checkbox? |
|---|---|---|
| Kontaktformular | berechtigtes Interesse oder Vertragsanbahnung | Nein, aber Hinweis auf Datenschutzerklärung pflicht |
| Newsletter-Anmeldung | Einwilligung (Art. 6 lit. a) | Ja, aktive Zustimmung pflicht |
| Bewerbungsformular | Vertragsanbahnung (lit. b) | Nein, Hinweis genügt |
| Gewinnspiel | Einwilligung | Ja, mit klarem Zweck "Gewinnspiel" |
| Support-Anfrage (Bestandskunde) | Vertragserfüllung | Nein |
| Bestellformular | Vertragserfüllung | Nein |
| Marketing-Cookies-Setting | Einwilligung | Ja, separate Auswahl |
Vermeiden Sie überflüssige Einwilligungs-Checkboxen. Eine Pflicht-Checkbox "Ich willige in die Verarbeitung meiner Daten ein" beim Kontaktformular ist nicht nur unnötig, sondern in manchen Auslegungen sogar problematisch (weil eine Einwilligung freiwillig sein muss – bei einem Kontaktformular ist sie das de facto nicht, weil sonst keine Kontaktaufnahme möglich wäre).
Spamschutz: Was ist erlaubt, was problematisch?
Spam-Bots sind die Realität – aber Spamschutz kann selbst datenschutzrechtlich heikel sein. Die wichtigsten Varianten im Vergleich:
| Verfahren | Funktionsweise | DSGVO-Status | Empfehlung |
|---|---|---|---|
| Honeypot | Verstecktes Feld, das nur Bots ausfüllen | DSGVO-unkritisch | Erste Wahl, immer kombinieren |
| Zeitcheck | Formular nicht zu schnell abschicken erlaubt | DSGVO-unkritisch | Sehr gute Ergänzung |
| JS-Token | Per JavaScript ein dynamisches Token erzeugen | DSGVO-unkritisch | Sehr effektiv |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery | DSGVO-unkritisch, sowieso Pflicht | Immer einsetzen |
| Google reCAPTCHA v3 | Verhaltensanalyse durch Google | Problematisch (Drittlandtransfer, Personenbezug) | Nur mit Einwilligung oder vermeiden |
| Friendly Captcha | Lokales Captcha aus Deutschland | DSGVO-konform | Gute Alternative zu reCAPTCHA |
| hCaptcha (mit EU-Hosting) | Captcha-Anbieter mit DSGVO-Compliance | Bedingt DSGVO-konform | Mit Vorsicht, Vertrag prüfen |
Eine bewährte Kombination ist Honeypot + Zeitcheck + JS-Token + CSRF-Token. Damit bleibt das Formular ohne Drittanbieter, ohne sichtbares Captcha und blockiert über 99 % der typischen Bots.
Server-seitige Validierung: Pflicht, nicht Kür
Browser-seitige Validierung über JavaScript ist nutzerfreundlich, aber kein Sicherheitsmechanismus. Jeder kann sie umgehen. Aus Datenschutz- und Sicherheitssicht ist server-seitige Validierung Pflicht.
Was server-seitig geprüft werden muss
- Pflichtfelder vorhanden
- Maximale Länge je Feld (Schutz vor Database-Überlauf und DoS)
- E-Mail-Adresse im gültigen Format
- Kein HTML / JavaScript in Eingabe (XSS-Schutz)
- Keine SQL-Sonderzeichen unmaskiert (SQL-Injection-Schutz)
- Dateien (bei Upload): erlaubter Typ, max. Größe, Virenscan
- Rate-Limiting (max. X Anfragen pro IP pro Minute)
- Herkunfts-Prüfung (CSRF-Token korrekt)
⚠️ Wichtig: Eine einzige nicht-validierte Eingabe kann eine ganze Anwendung kompromittieren. SQL-Injection, XSS oder Stored-XSS sind keine theoretischen Risiken – sie sind alltägliche Bedrohungen. Server-seitige Validierung ist nicht optional.
Speicherung und Löschung: Wer regelt das wie?
Formular-Daten dürfen nicht ewig gespeichert werden. Die typischen Speicherfristen aus der Praxis:
| Daten-Typ | Übliche Speicherdauer | Begründung |
|---|---|---|
| Kontaktanfrage | 6 Monate nach Erledigung | Häufige Nachfragen zur Sache |
| Bewerbung (abgelehnt) | 4 Monate nach Absage | AGG-Klagefrist |
| Bewerbung (eingestellt) | bis Vertragsende + 3 Jahre | Steuerrecht / Arbeitsrecht |
| Newsletter-Anmeldung | bis Abmeldung + Beweis der Einwilligung max. 3 Jahre | Beweispflicht |
| Support-Ticket | 3-7 Jahre | Vertragsabwicklung, Reklamation |
| Gewinnspiel | bis 3 Monate nach Auslosung | Abwicklung |
| Logdaten Server | 7 Tage bis max. 4 Wochen | Sicherheit |
Implementieren Sie eine automatische Lösch-Routine. Manuelle Löschung wird vergessen. Ein nightly Cron-Job, der Daten älter als die Speicherfrist löscht oder anonymisiert, ist Pflicht.
Backend-Zugriff: Wer sieht die Formular-Daten?
Wer im CMS auf die eingegangenen Formular-Daten zugreifen kann, ist ebenso datenschutzrelevant wie das Formular selbst:
Sicherer Backend-Zugriff
- Nur befugte Mitarbeitende haben Login
- Zwei-Faktor-Authentifizierung für alle Backend-Logins
- Rollen-basierte Rechte (wer sieht was?)
- Protokoll, wer wann auf welche Daten zugegriffen hat
- Kein direkter Datenbank-Zugriff durch Drittanbieter ohne Vertrag (AVV)
- Backup der Datenbank verschlüsselt und Zugriff geregelt
- Lösch- und Rechte-Anträge des Betroffenen müssen umsetzbar sein
Übergabe an Drittsysteme: Was passieren darf, was nicht
Viele Webformulare reichen die Daten an andere Systeme weiter – CRM, Mail-Versand-Dienst, Helpdesk. Hier gelten strenge Regeln:
- Auftragsverarbeitungsvertrag (AVV) mit jedem Dienstleister, der Daten verarbeitet
- Server-Standort vorzugsweise EU – andere Länder nur mit zusätzlichem Vertrag (Standardvertragsklauseln)
- Verschlüsselte Übertragung zwischen Systemen (TLS, API-Keys nicht im Klartext)
- Keine Übertragung an Drittsysteme, die nicht in der Datenschutzerklärung genannt sind
- Minimal-Prinzip: nur die wirklich benötigten Felder weitergeben
- Revisionssicheres Protokoll der Übergaben
⚠️ Wichtig: Mail-Versand über externe Dienste wie SendGrid, Mailgun oder Amazon SES kann ein Drittlandtransfer sein. Prüfen Sie den Server-Standort, den AVV und die Standardvertragsklauseln. Für KMU ist oft ein deutscher Mail-Anbieter (z.B. eigener IMAP-Server, deutsche Hoster) die einfachere Lösung.
5 typische Fehler bei Webformularen
Google reCAPTCHA ohne Einwilligung
Verbreitet, datenschutzrechtlich problematisch. Lösung: Alternativen wie Friendly Captcha oder eigene Spamschutz-Logik (Honeypot + Zeitcheck).
Newsletter ohne Double-Opt-In
Nur Single-Opt-In = riskant, weil die Einwilligung nicht belegbar ist. Lösung: immer Double-Opt-In mit Bestätigungs-Mail.
Keine Lösch-Routine im Hintergrund
Daten liegen jahrelang in der Datenbank. Bei Auskunftsanfragen oder im Audit kommt das raus. Lösung: automatische Lösch-Routine mit Cron.
Transport ohne TLS
HTTP-Formulare existieren immer noch. Daten gehen unverschlüsselt durchs Netz. Lösung: HTTPS Pflicht, HSTS aktivieren.
Überflüssige Pflichtfelder
Bei Kontaktanfrage werden Geburtsdatum, Anrede, Branche erfasst. Mehr Daten als nötig = DSGVO-Verstoß (Datensparsamkeit). Lösung: ehrlich prüfen, was wirklich gebraucht wird.
Praxis-Checkliste: Vor dem Live-Gang
Bevor das Formular online geht
- Datenschutzerklärung aktualisiert, Formular und Zweck genannt
- Link zur Datenschutzerklärung im Formular vorhanden
- Einwilligungs-Checkbox nur wo nötig, ohne Vorhaken
- Server-seitige Validierung aller Felder
- Spamschutz aktiv und getestet (Honeypot + Zeitcheck + CSRF)
- TLS / HTTPS für alle Formular-URLs
- Lösch-Routine implementiert und in der Datenschutzerklärung dokumentiert
- E-Mail-Versand aus dem Formular sicher (kein Open Relay)
- Fehlerseiten leiten Anwender klar weiter
- Auftragsverarbeitungsvertrag mit Hosting / Mailprovider liegt vor
- Backend-Zugriff auf Formular-Daten ist eingeschränkt und protokolliert
- Rolle eines Datenschutzbeauftragten geklärt (falls Pflicht)
Fazit: DSGVO-konform muss nicht kompliziert sein
Webformulare DSGVO-konform zu entwickeln ist kein Hexenwerk. Es braucht Disziplin bei der Datensparsamkeit, sauberen technischen Aufbau und eine durchdachte Verarbeitungskette. Wer Wartung und Lösch-Routinen automatisiert, hat dauerhaft Ruhe. Wer schludert, riskiert Bußgelder, Reputationsverlust und im Worst Case Schadenersatzforderungen.
Wenn Sie ein Webformular entwickeln oder ein bestehendes auf DSGVO-Konformität prüfen lassen wollen – melden Sie sich. Wir entwickeln, prüfen und dokumentieren Webformulare für KMU in Freiburg und Region, inklusive Spamschutz, sicherer Validierung und automatischer Lösch-Routinen.