Wer über ein Kontaktformular Namen, E-Mail-Adresse oder weitere Angaben erhebt, verarbeitet personenbezogene Daten. Der Beitrag ordnet die Einwilligung als eine mögliche Rechtsgrundlage ein. Für die laufende Praxis zählt vor allem, dass die passende datenschutzrechtliche Grundlage sauber bestimmt, nur erforderliche Angaben abgefragt und die Informationspflichten am Formular klar umgesetzt werden.
- Ein Kontaktformular braucht eine klare Rechtsgrundlage; die Einwilligung ist nur eine von mehreren möglichen Lösungen.
- Pflichtfelder sollten auf das beschränkt bleiben, was für Anfrage, Rückmeldung und Dokumentation wirklich benötigt wird.
- Datenschutzhinweise müssen den Zweck, die verantwortliche Stelle, Empfänger, Speicherlogik und Rechte der betroffenen Person nachvollziehbar erfassen.
- Wer sensible Angaben wie Gesundheitsdaten über ein Formular verarbeiten will, muss die Voraussetzungen besonders sorgfältig prüfen.
Stand April 2026
Der folgende Beitrag stammt aus der frühen DSGVO-Einführungsphase und beleuchtet die Einwilligung als mögliche Rechtsgrundlage für Kontaktformulare. Für die heutige Einordnung ist zusätzlich wichtig: Bei allgemeinen Anfragen kommen in der Praxis häufig auch Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO in Betracht, je nachdem, ob eine konkrete Vertragsanbahnung vorliegt oder die Anfrage außerhalb eines Vertragsschlusses beantwortet wird. Unverändert wichtig bleiben eine klare Zweckbestimmung, sparsame Pflichtfelder, transparente Hinweise nach Art. 13 DSGVO und erhöhte Vorsicht bei besonderen Kategorien personenbezogener Daten.
Kontaktformulare auf Webseiten rechtssicher einsetzen
Die neue Datenschutzgrundverordnung (DSGVO) ist momentan eines der zentralen Themen, insbesondere für alle, die auch online unterwegs sind. Dabei stoßen wir immer wieder auf eine Frage: Was muss bei Kontaktformularen auf Webseite ab Mai beachtet werden? Dies ist keine unwichtige Frage, denn vermutlich nutzen 99% aller Webseite Formulare, über die Besucher der Webseite Kontakt aufnehmen können.
Warum ist die DSGVO bei Kontaktformularen relevant?
Die DSGVO hat das Ziel, natürliche Personen bei der Verarbeitung “personenbezogener Daten” zu schützen. “Personenbezogene Daten” sind gemäß § 4 Nr. 1 DSGVO:
“alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”.
Nutzt jemand ein Kontaktformular auf einer Webseite, gibt er seine persönlichen Daten, zumeist Namen, Telefonnummer und/oder Email-Adresse an. Diese Daten fallen unter den Begriff der “personenbezogenen Daten” und werden durch die Übermittlung an den Empfänger verarbeitet. Daher ist die neue DSGVO bei Kontaktformularen zu beachten.
Darf ich die Daten durch ein Kontaktformular erheben?
Kontaktformulare sind ein üblicher Kommunikationsweg auf vielen Webseiten. Doch beim Einsatz solcher Formulare sind einige Anforderungen zu beachten. Grundsätzlich gilt im Datenschutzrecht nämlich das sog. “Verbotsprinzip”. Danach ist die Datenverarbeitung grundsätzlich verboten. Zulässig ist diese nur, sofern sie ausnahmsweise erlaubt ist. Die Datenverarbeitung muss somit auf einer Rechtsgrundlage beruhen (vgl. § 6 Abs. 1 DSGVO).
Für Kontaktformulare kommen insbesondere drei Legitimationen in Betracht: Die “Einwilligung”, zur Durchführung erforderlicher vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen und die sog. “Berechtigten Interessen”. An dieser Stelle soll das Augenmerk auf die Einwilligung gemäß § 6 Abs. 1 S. 1 lit. a) DSGVO gelegt werden.
Welche Voraussetzungen hat eine Einwilligung (sog. Opt-in)?
Eine rechtssichere Einwilligung des Betroffenen - also der Person, die das Kontaktformular nutzt und deren Daten verarbeitet werden - ist an einige Voraussetzungen geknüpft. Grundsätzlich muss eine Einwilligung nicht ausdrücklich erfolgen, sondern kann auch konkludent, d.h. durch schlüssiges Handeln vorgenommen werden. Bei Kontaktformularen könnte daher bereits die Eingabe der Daten in das Kontaktformular als Einwilligung angesehen werden. Um sicherzugehen, kann jedoch auch ein Klick zum Setzen eines “Häkchens” als Einwilligung der Datenverarbeitung bedingt werden. Nicht zulässig ist es jedoch, dass ein Häkchen bereits gesetzt wurde und durch den Nutzer entfernt werden muss.
Zudem muss der Betroffene im Vorfeld ausreichend informiert werden (vgl. § 13 DSGVO), insbesondere darüber, wer seine Daten erhebt, was mit diesen geschieht und zu welchem Zweck die Daten erhoben werden. An dieser Stelle sollte auch auf die Datenschutzerklärung hingewiesen werden, die fester Bestandteil einer Webseite sein sollte.
Bei Einwilligungen durch Minderjährige sind zudem weitere besondere Anforderungen zu beachten (vgl. § 8 DSGVO). Aufgrund des “Gebots der Datenminimierung” (vgl. § 5 Abs. 1 lit. c) DSGVO) sollten jedoch nur Daten abgefragt werden, die für den Zweck des Kontaktformulars auch erforderlich sind. Unzulässig könnte es demnach sein, wenn in einem allgemeinen Kontaktformular, dessen Zweck die erste Kontaktaufnahme ist, Geburtsdaten oder ähnliches abgefragt werden. Dies ist jedoch immer am Einzelfall zu orientieren. Zudem steht dem Betroffenen ein Widerspruchsrecht zu (vgl. § 7 Abs. 3 DSGVO). Ein erfolgter Widerruf wirkt für die Zukunft.
Kann eine Einwilligung auch durch AGB erfolgen?
Eine Einwilligung kann auch in AGB enthalten sein. Der Betroffene willigt dann wirksam ein, wenn er den AGB ordnungsgemäß zustimmt (vgl. § 7 Abs. 2 S. 1 DSGVO). Dabei ist allerdings zu beachten, dass die Einwilligung von den restlichen AGB-Regelungen klar zu unterscheiden sein muss und nicht versteckt sein darf. Außerdem muss sie in leicht zugänglicher Form vorgehalten werden und in klarer, einfacher Sprache formuliert sein.
Dabei kann sich eine eingeholte Einwilligung auch auf mehrere Kanäle (zum Beispiel Telefonanrufe, Email-Newsletter etc.) beziehen, sofern der Betroffene darüber im Vorfeld ausreichend informiert wurde. Dies hat der BGH in einem Urteil vom 01. Februar 2018 entschieden. (III ZR 196/17)
In welchen Fällen ist besondere Vorsicht geboten?
In einigen Fällen sollte der Verwender eines Kontaktformulars besonders achtsam sein. Dies ist insbesondere der Fall, sofern “besondere Kategorien” personenbezogener Daten verarbeitet werden (vgl. § 9 DSGVO). Zu diesen zählen zum Beispiel Gesundheitsdaten. Ärzte, Physiotherapeuten und andere Berufsgruppen sollten demnach besonders achtsam sein, wenn sie Kontaktformulare auf ihren Webseiten einsetzen. Eine Einwilligung zur Verarbeitung solcher Daten muss beispielsweise ausdrücklich erfolgen, ein konkludentes Handeln genügt an dieser Stelle nicht mehr.
Welche Nachteile kann eine Einwilligung haben?
Eine Einwilligung muss nicht immer die naheliegendste Legitimation für die Datenverarbeitung durch ein Kontaktformular sein, sondern kann unter Umständen auch Nachteile haben. Sollen die erhobenen Daten zum Beispiel zu einem späteren Zeitpunkt auch für andere als die ursprünglich festgelegten Zwecke genutzt werden, handelt es sich um eine sog. “Zweckänderung” nach § 6 Abs. 4 DSGVO. Die Voraussetzungen dieser Norm gelten nicht für die Datenverarbeitung aufgrund einer Einwilligung. Was auf den ersten Blick wie ein “Freibrief” für die Zweckänderung scheint, kann jedoch einen Nachteil bedeuten:
Bei der Datenverarbeitung aufgrund einer Einwilligung gilt diese nur für den ursprünglichen Zweck. Sollen die Daten später für einen anderen Zweck verwendet werden, ist also eine neue Einwilligung erforderlich.
Wurden die Daten beispielsweise aufgrund von “Berechtigten Interessen” (vgl. § 6 Abs. 1 S. 1 lit. f) DSGVO) erhoben, können diese später auch für einen anderen als die ursprünglichen Zweck verarbeitet werden, sofern die Voraussetzungen des § 6 Abs. 4 DSGVO vorliegen. In solchen Fällen kann sich die Datenverarbeitung aufgrund einer Einwilligung unter Umständen als der umständlichere Weg erweisen.
Haben Sie Fragen?
Wie Sie sehen, sind viele einzelne Voraussetzungen im Datenschutzrecht zu beachten - und das allein beim rechtssicheren Einsatz eines Kontaktformulars auf einer Webseite. Dabei sollte allerdings niemand Angst vor der Umsetzung der DSGVO-Vorgaben haben! Zunächst gilt es, sich einen Überblick zu verschaffen und anschließend die einzelnen Punkte “Stück für Stück” umzusetzen.
Unsere Fachanwälte für Informationstechnologierecht (IT-Recht) Anne Sulmann und Jean Paul P. Bohne stehen Ihnen gerne zur Verfügung, falls Sie Fragen zur neuen Datenschutzgrundverordnung (DSGVO) haben, oder als (TÜV-zertifizierte) Datenschutzbeauftragte.
Kurz-Check vor Livegang
1. Zweck und Rechtsgrundlage trennen
Vor der Veröffentlichung sollte für jedes Formular gesondert feststehen, ob die Verarbeitung auf Einwilligung, auf vorvertragliche Maßnahmen oder auf berechtigte Interessen gestützt wird. Ein allgemeiner Standardtext für alle Formulare ist häufig zu grob.
2. Pflichtfelder klein halten
Name, Erreichbarkeit und Nachricht reichen für viele Erstkontakte aus. Zusätzliche Felder sollten nur verpflichtend sein, wenn sie für den konkreten Formularzweck wirklich benötigt werden.
3. Hinweise am Formular mitdenken
Die Datenschutzhinweise sollten nicht nur verlinkt, sondern inhaltlich zum Formular passen: Zweck, Empfänger, Speicherdauer, Dienstleister und Betroffenenrechte müssen zur tatsächlichen Verarbeitungslage passen.
4. Sensible Angaben gesondert prüfen
Wer Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten übermitteln lassen will, sollte Formularaufbau, Einwilligung, technische Absicherung und alternative Kontaktwege gesondert bewerten.
Offizielle Quellen und Vertiefung
- DSGVO im EUR-Lex – maßgeblich für Art. 5, 6, 7, 9, 13 und 32 DSGVO.
- EDSA / EDPB: Leitlinien 05/2020 zur Einwilligung – zur Freiwilligkeit, Informiertheit und zu unzulässigen Voreinstellungen.
- EDSA / EDPB: Leitlinien 2/2019 zu Art. 6 Abs. 1 lit. b DSGVO – zur Erforderlichkeit vertraglicher und vorvertraglicher Verarbeitung.
- Datenschutzkonferenz: Orientierungshilfen – einschließlich der Orientierungshilfe zu digitalen Diensten.
Wenn nicht nur die Formularklausel, sondern auch Datenschutzhinweise, Tracking, Drittanbieter und technische Website-Strecken zusammen bewertet werden sollen, ist die vertiefte Prüfung von Website, Tracking und Datenschutzerklärung der naheliegende nächste Schritt. Den weiteren Rahmen digitaler Unternehmensauftritte bündelt IT-Recht & Digitalisierung.
Die Einwilligung nach der DSGVO - Kontaktformulare auf Webseiten rechtssicher einsetzen