WPForms selbst ist datenschutztechnisch überschaubar: Formulardaten bleiben auf deiner Website. Das ändert sich, sobald du Integrationen einschaltest – und davon bietet WPForms jede Menge. Wer reCAPTCHA, Mailchimp oder Stripe aktiviert, baut externe Verbindungen auf, die Datenschutzerklärung und Cookie-Banner betreffen.
Überblick
Was ist WPForms?
WPForms ist ein WordPress-Plugin, mit dem du Formulare per Drag-and-Drop erstellen kannst – ohne Code. Es deckt Kontaktformulare, Newsletter-Anmeldungen, Umfragen, Zahlungsformulare und Datei-Uploads ab. Die Lite-Version ist kostenlos; kostenpflichtige Versionen erweitern den Funktionsumfang um Add-ons und Integrationen.
WPForms und Datenschutz im Überblick
| Cookies | In der Lite-Version keine Nutzer-Cookies. In kostenpflichtigen Versionen kann ein Nutzer-Cookie gesetzt werden; abschaltbar über die DSGVO-Einstellungen. |
| Externe Verbindungen | Nur wenn Integrationen aktiv sind, z. B. Google reCAPTCHA, hCaptcha oder Cloudflare Turnstile. Ohne aktivierte Integration entstehen keine externen Frontend-Verbindungen. |
| Datenschutzerklärung | Pflicht, weil WPForms Besucherdaten über Formulare verarbeitet – mindestens Name, E-Mail und Nachrichteninhalt. |
| Drittlandtransfer | Nur wenn Integrationen wie Google reCAPTCHA, Mailchimp oder Stripe aktiviert sind. Ohne Integrationen kein Transfer. |
| Auftragsverarbeitung | Nicht erforderlich für WPForms selbst. WPForms speichert keine Formulardaten auf eigenen Servern. |
| Eingaben durch Besucher | Besucher geben aktiv Daten ein – je nach Formulartyp Name, E-Mail, Nachricht, Zahlungsdaten oder Datei-Uploads. |
Datenverarbeitung
Welche Daten verarbeitet WPForms – und wo landen sie?
WPForms verarbeitet alle Daten, die Besucher über deine Formulare eintippen, direkt auf deiner Website.
WPForms sammelt diese Einträge nicht auf eigenen Servern – sie landen in deiner WordPress-Datenbank, werden per E-Mail-Benachrichtigung verschickt oder beides. Das klingt simpel, hat aber einen Haken: Je nach Formulartyp kommen sehr unterschiedliche Daten zusammen.
- Ein Kontaktformular erfasst Name, E-Mail und Nachricht.
- Ein Zahlungsformular kommt obendrauf noch mit Bestell- und Zahlungsdaten.
- Ein Newsletter-Formular sammelt Anmeldedaten.
- Wenn du Datei-Uploads erlaubst, landen auch diese in deiner Datenbank.
In kostenpflichtigen WPForms-Versionen speichert das Plugin zusätzlich die IP-Adresse und den Browser-Typ des Besuchers mit – es sei denn, du deaktivierst das unter Formular-Editor → Einstellungen → Allgemein → Erweitert → Speichern von Nutzerdetails deaktivieren (IP-Adresse und User-Agent).
Wer die Eintrags-Speicherung komplett abschalten will, findet die Option unter Einstellungen → Allgemein → Erweitert → Eintragsinformationen in WordPress nicht speichern.
Relevant wird es außerdem, sobald du Integrationen wie Google reCAPTCHA, Mailchimp oder Stripe einbindest – dann gehen Daten auch an diese Dienste.
Cookies
Setzt WPForms Cookies auf meiner Website?
WPForms Lite setzt keine Nutzer-Cookies auf deiner Website.
In kostenpflichtigen WPForms-Versionen kann ein Nutzer-Cookie mit dem Namen _wpfuuid gesetzt werden. Dieser Cookie speichert eine eindeutige Kennung für den Browser-Nutzer. Wenn du eine kostenpflichtige WPForms-Version einsetzt, kannst du diesen Cookie unter WPForms → Einstellungen → DSGVO-Verbesserungen → Nutzer-Cookies deaktivieren abschalten. Solange dieser Cookie aktiv ist, braucht dein Cookie-Banner ihn – er darf nicht gesetzt werden, bevor der Besucher zugestimmt hat.
Externe Verbindungen
Baut WPForms Verbindungen zu fremden Servern auf?
WPForms selbst baut keine externen Verbindungen auf, solange du keine Integrationen aktiviert hast.
Externe Verbindungen entstehen, sobald du einen CAPTCHA-Dienst einschaltest. WPForms unterstützt drei davon: Google reCAPTCHA, hCaptcha und Cloudflare Turnstile. Du aktivierst sie unter WPForms → Einstellungen → CAPTCHA. Sobald du dort einen Dienst auswählst und API-Schlüssel einträgst, lädt dein Formular bei jedem Seitenaufruf Ressourcen von den Servern des jeweiligen Anbieters – ohne dass der Besucher etwas abgeschickt hat.
Das gilt als externe Verbindung, die eine Einwilligung erfordert, bevor sie gestartet werden darf. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zugestimmt hat.
Dasselbe gilt für weitere Add-on-Integrationen: Stripe, PayPal, Mailchimp, HubSpot, Salesforce, Google Sheets und andere bauen ebenfalls Verbindungen zu externen Servern auf, sobald du sie einbindest.
Nutzt du WPForms auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um WPForms gibt.
Benutzereingaben
Was passiert mit den Daten, die Besucher in Formulare eingeben?
WPForms verarbeitet alle Daten, die Besucher aktiv in deine Formulare eintragen, bei der Formularübermittlung.
Je nach Formulartyp sind das unterschiedliche Daten:
- Bei einem Kontaktformular kommen Name, E-Mail-Adresse und Nachrichteninhalt zusammen.
- Bei einem Newsletter-Formular werden Anmeldedaten erfasst.
- Bei einem Zahlungsformular kommen Bestell- und Zahlungsdaten hinzu.
- Wenn du Datei-Uploads erlaubst, werden auch diese verarbeitet.
- Umfrage-Formulare speichern die Antworten der Teilnehmer.
Die Einträge landen standardmäßig in deiner WordPress-Datenbank und werden per E-Mail-Benachrichtigung weitergeleitet. Besucher sollten vor dem Absenden wissen, was mit ihren Daten passiert – das erledigt ein Datenschutzhinweis im oder unter dem Formular.
Drittlandtransfer
Werden durch WPForms Daten in Länder außerhalb der EU übertragen?
WPForms selbst überträgt keine Formulardaten in andere Länder.
Drittlandtransfers entstehen, wenn du Integrationen aktivierst, deren Anbieter Server außerhalb der EU betreiben. Google reCAPTCHA überträgt Daten an Google in die USA. Mailchimp, HubSpot, Salesforce, Stripe und PayPal sind ebenfalls US-amerikanische Dienste. Cloudflare Turnstile nutzt ein globales Netzwerk.
Sobald du eine dieser Integrationen über WPForms einbindest, fließen Besucherdaten in die USA oder andere Drittländer. Das muss in deiner Datenschutzerklärung stehen. Wenn du keine dieser Integrationen aktivierst, findet kein Transfer statt.
Auftragsverarbeitung
Muss ich mit WPForms einen Auftragsverarbeitungsvertrag abschließen?
Mit WPForms selbst brauchst du keinen Auftragsverarbeitungsvertrag.
WPForms speichert Formulardaten ausschließlich auf der Website, auf der das Plugin installiert ist – WPForms, LLC. erhält keinen Zugriff auf diese Daten und verarbeitet sie nicht im Auftrag.
Anders sieht es bei Integrationen aus: Wenn du Stripe, Mailchimp, HubSpot, Salesforce oder andere Drittanbieter über WPForms einbindest, verarbeitest du Besucherdaten im Auftrag über diese Dienste. In diesen Fällen brauchst du einen Auftragsverarbeitungsvertrag mit dem jeweiligen Anbieter – nicht mit WPForms.
Datenschutzerklärung
Was muss in die Datenschutzerklärung, wenn ich WPForms nutze?
WPForms verarbeitet Besucherdaten über Formulare – das muss in deiner Datenschutzerklärung stehen. Die notwendigen Angaben hängen davon ab, welche Formulartypen du einsetzt und welche Integrationen aktiv sind. Für eine normale Kontaktformular-Nutzung brauchst du mindestens diese Angaben:
- Zweck: Bearbeitung von Kontaktanfragen und Kommunikation mit Website-Besuchern.
- Rechtsgrundlage: Einwilligung des Besuchers oder berechtigtes Interesse, je nach Formularinhalt und Nutzungszweck.
- Empfänger: Keine Weitergabe an Dritte, sofern keine Integrationen aktiv sind. Bei aktiven Integrationen: jeweiligen Anbieter nennen.
- Drittlandtransfer: Nur wenn Integrationen wie Google reCAPTCHA, Mailchimp oder Stripe aktiv sind – dann den Anbieter und das Zielland nennen.
- Speicherdauer: So lange, wie die Einträge für den Zweck benötigt werden; Einträge können in WordPress manuell gelöscht oder die Speicherung deaktiviert werden.
Wenn du kostenpflichtige WPForms-Versionen nutzt und IP-Adresse sowie Browser-Typ gespeichert werden, müssen auch diese Daten in der Datenschutzerklärung erwähnt werden.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu WPForms?
WPForms ist als Plugin an sich nicht datenschutzproblematisch; der Unterschied liegt darin, wie viele Integrationen du aktivierst.
Für einfache Kontaktformulare ist Contact Form 7 eine schlanke Alternative. Das Plugin kommt ohne eigene Nutzer-Cookies aus und baut keine externen Verbindungen auf, solange du keine Drittanbieter-Integrationen einbindest.
Wenn du Spam-Schutz brauchst, ohne einen externen CAPTCHA-Dienst einzuschalten, kannst du das Plugin Image CAPTCHA for Contact Form 7 and WPForms nutzen – das arbeitet lokal ohne externe Server.
Fehler
Typische Datenschutz-Fehler mit WPForms
Der häufigste Fehler: Google reCAPTCHA oder einen anderen CAPTCHA-Dienst in WPForms aktiviert und vergessen, den Cookie-Banner entsprechend einzurichten. Die externe Verbindung zum CAPTCHA-Anbieter startet dann bei jedem Seitenaufruf mit dem Formular – ohne dass der Besucher zugestimmt hat.
Ein weiterer verbreiteter Fehler: WPForms wird in einer kostenpflichtigen Version genutzt, der Nutzer-Cookie _wpfuuid ist aktiv, steht aber weder im Cookie-Banner noch in der Datenschutzerklärung.
Dazu kommt häufig, dass Integrationen wie Mailchimp oder HubSpot eingerichtet werden, ohne die Datenschutzerklärung um diese Dienste zu ergänzen.
Und bei kostenpflichtigen Versionen: IP-Adresse und Browser-Typ werden mitgespeichert, ohne dass das in der Datenschutzerklärung steht. Das lässt sich in den Formulareinstellungen unter Erweitert → Speichern von Nutzerdetails deaktivieren abschalten.
DSGVO-Check
Wie erkenne ich, ob WPForms auf meiner Website aktiv ist?
WPForms verrät sich über zwei Wege, die du selbst prüfen kannst.
Erstens über einen Cookie: In kostenpflichtigen WPForms-Versionen setzt das Plugin den Cookie _wpfuuid. Du kannst im Browser-Entwicklermodus (F12 → Anwendung → Cookies) nachsehen, ob dieser Cookie auf deiner Website gesetzt wird. Alternativ zeigt dir ein Datenschutz-Scan die gesetzten Cookies an.
Zweitens über externe Verbindungen: Wenn du einen CAPTCHA-Dienst aktiviert hast, baut dein Formular beim Laden Verbindungen zu externen Servern auf – z. B. zu www.google.com bei Google reCAPTCHA oder zu hcaptcha.com bei hCaptcha. Ob solche Verbindungen entstehen, kannst du im Browser-Entwicklermodus unter Netzwerk prüfen oder über einen Datenschutz-Scan deiner Website feststellen lassen.
Hast du WPForms auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um WPForms gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.