Gravity Forms gehört zu den am weitesten verbreiteten Formular-Plugins für WordPress. Aus Datenschutzsicht ist es erfreulich unkompliziert: Das Plugin setzt keine Cookies, baut keine externen Verbindungen auf und überträgt keine Formulardaten an den Anbieter. Die datenschutzrechtliche Verantwortung liegt vollständig bei dir – denn du bist derjenige, der über die Formulare Daten von Website-Besuchern erhebt und speichert.
Überblick
Was ist Gravity Forms?
Gravity Forms ist ein kostenpflichtiges WordPress-Plugin von Rocketgenius Inc. aus Virginia Beach, USA. Damit erstellst du Kontaktformulare, Umfragen, Anmeldeformulare, Bestellformulare und vieles mehr – alles per Drag-and-Drop, ohne Programmierkenntnisse. Alle Eingaben, die Besucher in ein Formular tippen, werden direkt in deiner WordPress-Datenbank gespeichert.
Gravity Forms – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Kein Cookie im sichtbaren Bereich der Website. |
| Externe Verbindungen | 🟢 | Keine externen Verbindungen durch das Plugin selbst. |
| Datenschutzerklärung | 🔴 | Eintrag erforderlich, weil du Besucherdaten über Formulare speicherst. |
| Drittlandtransfer | 🟢 | Kein Transfer an Rocketgenius oder externe Server. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag mit Rocketgenius nötig. |
| Benutzereingaben | 🔴 | Formulardaten werden in deiner Datenbank gespeichert. |
Datenverarbeitung
Was passiert mit den Daten, die jemand in ein Gravity-Forms-Formular eingibt?
Wenn jemand ein Formular auf deiner Website absendet, wandern die eingegebenen Daten – zum Beispiel Name, E-Mail-Adresse oder Nachricht – direkt in die Datenbank deines WordPress. Rocketgenius, das Unternehmen hinter Gravity Forms, sieht diese Daten nie. Das Plugin ist ein reines Werkzeug, das auf deinem eigenen Hosting läuft – ähnlich wie eine Tabelle, die du auf deinem Computer speicherst, ohne dass der Softwarehersteller Zugriff darauf hat.
Was du mit den Daten machst – ob du sie per E-Mail weiterleitest, in deinem Postfach speicherst, an einen Newsletter-Dienst übergibst oder nach einem bestimmten Zeitraum löschst – liegt vollständig in deiner Hand und Verantwortung. Genau deshalb bist du datenschutzrechtlich der Verantwortliche, nicht Rocketgenius.
Cookies
Setzt Gravity Forms Cookies auf meiner Website?
Gravity Forms setzt im sichtbaren Bereich deiner Website keine Cookies. Besucher, die ein Formular aufrufen oder absenden, bekommen keinen Cookie gesetzt. Das Plugin setzt ausschließlich einen technischen Cookie im WordPress-Adminbereich, wenn du als Administrator eine gespeicherte Formularantwort öffnest und dabei eine bestimmte Ansichtsoption aktivierst – das betrifft nur dich, nicht deine Website-Besucher. Ein Cookie-Banner muss für Gravity Forms nicht konfiguriert werden.
Externe Verbindungen
Baut Gravity Forms externe Verbindungen zu fremden Servern auf?
Gravity Forms baut im sichtbaren Bereich deiner Website keine Verbindungen zu externen Servern auf. Alle Skripte und Stile, die das Plugin lädt, kommen aus dem Plugin-Ordner auf deinem eigenen Hosting – keine CDN-Einbindung, kein Tracking, kein Kontakt zu Rocketgenius beim Seitenaufruf. Kein Cookie-Banner und kein zusätzlicher Datenschutzeintrag für externe Verbindungen durch das Plugin selbst sind erforderlich.
Wenn du optionale Add-ons aktivierst – zum Beispiel Stripe für Zahlungen, Mailchimp für Newsletter-Anmeldungen oder Google reCAPTCHA als Spam-Schutz – entstehen externe Verbindungen zu den jeweiligen Diensten. Diese Add-ons sind standardmäßig nicht aktiv und müssen von dir explizit installiert und eingerichtet werden. Für jeden dieser Dienste brauchst du dann einen eigenen Eintrag in deiner Datenschutzerklärung.
Gravity Forms auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Besucherdaten verarbeitet Gravity Forms?
Gravity Forms verarbeitet alle Daten, die ein Besucher in ein Formular eingibt. Was das konkret ist, hängt davon ab, welche Felder du in deinen Formularen eingebaut hast. Typisch sind Name, E-Mail-Adresse, Telefonnummer, Nachrichtentext oder bei Bestellformularen auch Adresse und Zahlungsinformationen. Dazu speichert Gravity Forms automatisch die IP-Adresse des Absenders und den Zeitpunkt der Übermittlung – es sei denn, du deaktivierst das in den Einstellungen des jeweiligen Formulars unter „Persönliche Daten“ (Personal Data).
Alle diese Daten landen in deiner WordPress-Datenbank. Direkt beim Formular muss ein Hinweis stehen, dass du die eingegebenen Daten verarbeitest – und deine Datenschutzerklärung muss beschreiben, was damit passiert.
Drittlandtransfer
Werden Formulardaten in die USA oder andere Länder außerhalb der EU übertragen?
Gravity Forms überträgt keine Formulardaten an Rocketgenius oder andere externe Server. Die Daten, die Besucher in deine Formulare eingeben, bleiben auf dem Server, auf dem dein WordPress läuft.
Wenn dein Hosting in der EU liegt, findet kein Datentransfer außerhalb der EU statt. Kein Eintrag zum Drittlandtransfer für Gravity Forms selbst ist in deiner Datenschutzerklärung nötig.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Rocketgenius?
Rocketgenius hat keinen Zugriff auf die Formulardaten deiner Website-Besucher und verarbeitet sie nicht. Das Unternehmen stellt dir Software zur Verfügung, die auf deinem eigenen Server läuft – es empfängt dabei keine Daten und hat keine Kontrolle darüber, wie du sie verwendest.
Einen Auftragsverarbeitungsvertrag mit Rocketgenius musst du deshalb nicht abschließen. Rocketgenius bietet auch ausdrücklich keinen an.
Datenschutzerklärung
Muss Gravity Forms in meiner Datenschutzerklärung stehen?
Gravity Forms muss in der Datenschutzerklärung stehen, weil du über die Formulare personenbezogene Daten deiner Website-Besucher erhebst und speicherst – und das muss dokumentiert sein.
Folgende Punkte gehören in deinen DSE-Eintrag für die Formularverarbeitung:
- Zweck: Bearbeitung von Kontaktanfragen oder anderen Formularübermittlungen.
- Rechtsgrundlage: Vertragsanbahnung oder berechtigtes Interesse – je nachdem, wozu du das Formular verwendest.
- Empfänger: Sofern du Formulardaten weiterverarbeitest oder weiterleitest, zum Beispiel per E-Mail an einen Dienstleister.
- Drittlandtransfer: Entfällt, solange dein Hosting in der EU liegt und du keine Drittanbieter einbindest.
- Speicherdauer: Wie lange du die Einträge aufbewahrst, bevor du sie löschst.
Falls du Add-ons aktiviert hast – zum Beispiel Mailchimp, Stripe oder Google reCAPTCHA – benötigen diese Dienste eigene Einträge in deiner Datenschutzerklärung.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Gravity Forms – Verarbeitung von Anfragen
Auf unserer Website bieten wir Formulare an, über die du uns Nachrichten, Anfragen oder andere Informationen zukommen lassen kannst. Die Daten, die du in diese Formulare eingibst – beispielsweise Name, E-Mail-Adresse und dein Nachrichtentext – werden ausschließlich auf unserem Webserver gespeichert und zur Bearbeitung deiner Anfrage genutzt. Eine Weitergabe an Dritte findet nicht statt, es sei denn, dies ist zur Bearbeitung deiner Anfrage ausdrücklich erforderlich.
Die Daten werden gelöscht, sobald die Anfrage abschließend beantwortet wurde und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Drittanbieter
Mit welchen Diensten lässt sich Gravity Forms verbinden?
Gravity Forms bietet eine umfangreiche Bibliothek an Add-ons, die du im WordPress-Backend unter „Formulare – Add-ons“ installieren und aktivieren kannst. Ohne Aktivierung entstehen keine Verbindungen zu diesen Diensten.
Für Zahlungen stehen Add-ons für Stripe, PayPal Checkout, Square und Mollie zur Verfügung. Wenn du eines davon aktivierst, werden beim Absenden des Formulars Zahlungsdaten an den jeweiligen Anbieter übertragen.
Für E-Mail-Marketing gibt es Verbindungen zu Mailchimp, HubSpot, ActiveCampaign und weiteren Diensten. Formulareinträge können so direkt als Kontakte in deinen Newsletter-Verteiler übernommen werden.
Im Bereich Spam-Schutz stehen Google reCAPTCHA v3 und Cloudflare Turnstile als Optionen bereit – beide stellen beim Laden des Formulars eine Verbindung zu externen Servern her. Außerdem lässt sich Gravity Forms über Zapier, Slack und Trello in viele weitere Dienste einbinden.
Für jeden Dienst, den du aktivierst, brauchst du einen eigenen Eintrag in deiner Datenschutzerklärung.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Gravity Forms?
Eine Alternative, die Gravity Forms in Sachen Datenschutz klar überlegen wäre, gibt es nicht.
WPForms ist ähnlich aufgebaut: Es setzt keine zustimmungspflichtigen Cookies und überträgt keine Daten an den Anbieter – das datenschutzrechtliche Profil ist vergleichbar.
Contact Form 7 ist ein kostenloser Ansatz mit einem kleinen Unterschied: Das Plugin speichert Einträge nicht automatisch in der Datenbank, sondern leitet sie direkt per E-Mail weiter. Das reduziert die gespeicherten Daten, ändert aber nichts an den datenschutzrechtlichen Pflichten – ein Eintrag in die Datenschutzerklärung für die Formularverarbeitung bleibt in beiden Fällen erforderlich.
Wenn du Gravity Forms bereits im Einsatz hast und zufrieden bist, gibt es aus Datenschutzsicht keinen Grund zu wechseln.
Fehler
Typische Datenschutz-Fehler mit Gravity Forms
Der häufigste Fehler ist eine fehlende oder unvollständige Datenschutzerklärung. Gravity Forms läuft still im Hintergrund – kein Cookie-Banner, keine externe Verbindung – und genau deshalb vergessen viele Website-Betreiber, dass trotzdem ein Eintrag für die Formularverarbeitung nötig ist. Wer ein Kontaktformular betreibt und dort keinen Hinweis auf die Datenverarbeitung hat, macht sich angreifbar.
Ein weiterer Fehler: IP-Adressen werden gespeichert, ohne dass das in der Datenschutzerklärung erwähnt wird. Gravity Forms speichert standardmäßig die IP-Adresse bei jedem Formularabsenden. Das lässt sich in den Formulareinstellungen unter „Persönliche Daten“ (Personal Data) deaktivieren – oder du dokumentierst es in deiner Datenschutzerklärung.
Außerdem unterschätzen viele, was bei aktivierten Add-ons passiert. Wer Stripe, Mailchimp oder reCAPTCHA einrichtet und es dabei belässt, ohne DSE-Einträge für diese Dienste zu ergänzen, hat eine Lücke in seiner Datenschutzerklärung – auch wenn Gravity Forms selbst tadellos ist.
DSGVO-Check
Wie erkenne ich, ob Gravity Forms auf meiner Website aktiv ist?
Gravity Forms verrät sich nicht durch externe Verbindungen oder einen auffälligen Cookie-Namen – das Plugin läuft ausschließlich lokal auf deinem Server. Du erkennst es am sichersten daran, dass Skripte aus dem Pfad /wp-content/plugins/gravityforms/ geladen werden, wenn auf einer Seite ein Formular eingebunden ist.
Ein Datenschutz-Scan, der deine Website direkt prüft, kann dir zeigen, ob Gravity Forms aktiv erkannt wird – und ob über aktive Add-ons externe Verbindungen entstehen, die du vielleicht nicht auf dem Schirm hattest.
Quellen und weiterführende Links
- Gravity Forms – offizielle Website
- Gravity Forms – Dokumentation
- Gravity Forms und DSGVO – offizielle Dokumentation
- Warum Rocketgenius keinen AVV anbietet – offizielle Erklärung
- Gravity Forms Datenzugriff – offizielle Erklärung
- Einstellungen für persönliche Daten in Gravity Forms
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.