Contact Form 7 ist aus Datenschutzsicht kein klassischer Tracking-Fall, aber trotzdem relevant. Das Plugin nimmt Kontaktanfragen entgegen, verschickt sie per E-Mail und kann je nach Konfiguration externe Dienste wie Google reCAPTCHA, Akismet, Brevo, Stripe, Constant Contact oder Cloudflare Turnstile einbinden.
Überblick
Was ist Contact Form 7?
Contact Form 7 ist ein WordPress-Plugin, mit dem du Kontaktformulare auf deiner Website einfügst. Besucher können darüber Nachrichten, Kontaktdaten und bei entsprechender Konfiguration auch Dateien an dich senden. Die eingereichten Inhalte verschickt WordPress anschließend per E-Mail an die hinterlegte Empfängeradresse.
Contact Form 7 und Datenschutz im Überblick
| Cookie-Banner | Contact Form 7 setzt in der Standardkonfiguration selbst keine Cookies. Ein Cookie-Banner kann aber nötig werden, wenn du externe Dienste wie Google reCAPTCHA oder Cloudflare Turnstile einbindest. |
| Datenverarbeitung | Contact Form 7 verarbeitet personenbezogene Daten, sobald Besucher ein Formular absenden. |
| Datenschutzerklärung | Contact Form 7 gehört in die Datenschutzerklärung, weil über das Formular personenbezogene Angaben übermittelt werden. |
| Drittlandtransfer | Ein Drittlandtransfer entsteht nicht durch die lokale Standardkonfiguration, kann aber durch externe Integrationen ausgelöst werden. |
| Auftragsverarbeitung | Ein Auftragsverarbeitungsvertrag ist mit dem Anbieter von Contact Form 7 in der lokalen Standardkonfiguration nicht erforderlich. Bei externen Diensten kann er aber erforderlich werden. |
Datenverarbeitung
Welche Daten verarbeitet Contact Form 7?
Contact Form 7 verarbeitet personenbezogene Daten, wenn Besucher ein Formular ausfüllen und absenden. Welche Daten genau betroffen sind, hängt von deinen Formularfeldern ab. Häufig sind:
- Name
- E-Mail-Adresse
- Telefonnummer
- Betreff
- Nachrichtentext
- Dateianhänge
- weitere frei konfigurierbare Formularfelder
Contact Form 7 speichert eingereichte Nachrichten laut eigener Dokumentation nicht selbst dauerhaft in der WordPress-Datenbank. Das ändert aber nichts daran, dass die Daten beim Absenden verarbeitet und per E-Mail weitergeleitet werden. Wenn du zusätzlich ein Speicher-Plugin wie Flamingo nutzt, landen die Formularnachrichten außerdem in deinem WordPress.
Bei Dateiuploads erhöht sich der Datenschutzbedarf. Besucher können dann Dateien mitschicken, die ebenfalls personenbezogene oder vertrauliche Inhalte enthalten können. Du solltest solche Upload-Felder nur verwenden, wenn du sie wirklich brauchst.
Drittlandtransfer
Überträgt Contact Form 7 Daten in Drittländer?
Contact Form 7 überträgt in der lokalen Standardkonfiguration laut eigenen Angaben auf WordPress.org keine Formulardaten an externe Server. Ein Drittland ist ein Land außerhalb der EU. Ohne externe Integrationen entsteht durch Contact Form 7 selbst daher kein eigener Drittlandtransfer.
Das ändert sich, wenn du externe Dienste mit Contact Form 7 verbindest. Google reCAPTCHA, Akismet, Brevo, Stripe, Constant Contact und Cloudflare Turnstile können personenbezogene Daten an ihre eigenen Systeme übertragen. Je nach Anbieter, Standort und Einstellung können dabei auch Übermittlungen in Länder außerhalb der EU entstehen.
Besonders wichtig ist Akismet: Wenn du Akismet für Contact Form 7 nutzt, sendet das Formular bei einer Übermittlung Formulareingaben und technische Umgebungsdaten zur Spamprüfung an Akismet. Bei Google reCAPTCHA oder Cloudflare Turnstile können außerdem Browser- und Gerätedaten des Besuchers an den jeweiligen Dienst gehen.
Cookie-Banner
Braucht Contact Form 7 einen Cookie-Banner?
Contact Form 7 braucht in der Standardkonfiguration keinen Cookie-Banner, weil das Plugin selbst keine Cookies setzt und Besucher nicht verdeckt trackt. Das reine Kontaktformular ist deshalb kein Cookie-Banner-Auslöser.
Ein Cookie-Banner kann aber erforderlich werden, wenn du externe Schutz-, Zahlungs- oder Marketingdienste in das Formular einbindest. Das betrifft vor allem Google reCAPTCHA, Cloudflare Turnstile, Akismet, Brevo, Stripe und Constant Contact. Diese Dienste können eigene Verbindungen aufbauen, technische Daten auslesen oder Besucher wiedererkennen.
Wenn du solche Dienste nutzt, reicht es nicht, nur Contact Form 7 im Blick zu behalten. Dann musst du den jeweiligen externen Dienst im Cookie-Banner und in deinem Datenschutz-Setup separat berücksichtigen.
Datenschutzerklärung
Muss Contact Form 7 in die Datenschutzerklärung?
Contact Form 7 muss in die Datenschutzerklärung, weil Besucher über das Formular personenbezogene Daten an dich senden. Die Datenschutzerklärung sollte verständlich erklären, welche Daten übermittelt werden, wofür du sie nutzt und was danach mit der Anfrage passiert.
Für Contact Form 7 solltest du insbesondere diese Punkte aufnehmen:
- welche Formularfelder du abfragst
- dass du die Angaben zur Bearbeitung der Anfrage verwendest
- dass WordPress die Anfrage per E-Mail an dich weiterleitet
- ob Besucher Dateianhänge hochladen können
- ob du eingereichte Nachrichten zusätzlich in WordPress speicherst
- welche externen Dienste du mit dem Formular verbindest
Wenn du Flamingo oder ein anderes Speicher-Plugin nutzt, solltest du auch die Speicherung der eingereichten Nachrichten in deinem WordPress erwähnen. Wenn du externe Dienste wie Google reCAPTCHA, Akismet, Brevo, Stripe, Constant Contact oder Cloudflare Turnstile nutzt, gehören diese Dienste ebenfalls in die Datenschutzerklärung.
Auftragsverarbeitung
Brauchst du für Contact Form 7 einen Auftragsverarbeitungsvertrag?
Für den Anbieter von Contact Form 7 brauchst du in der lokalen Standardkonfiguration keinen Auftragsverarbeitungsvertrag. Der Plugin-Anbieter erhält die Formulardaten nicht automatisch, und Contact Form 7 speichert die Nachrichten nicht auf Servern des Plugin-Anbieters.
Ein Auftragsverarbeitungsvertrag kann aber bei externen Diensten relevant werden, die du mit Contact Form 7 verbindest. Das betrifft insbesondere Akismet, Brevo, Stripe, Constant Contact, Google reCAPTCHA und Cloudflare Turnstile. Diese Anbieter können Daten deiner Formularbesucher erhalten und müssen deshalb separat bewertet werden.
Auch dein Hosting-Anbieter bleibt wichtig, weil WordPress das Formular auf deinem Hosting verarbeitet und die E-Mail über deine Website-Umgebung verschickt. Der Hosting-Anbieter ist unabhängig von Contact Form 7 ein eigener Datenschutzpunkt.
Stolperfallen
Typische Fehler bei Contact Form 7
Bei Contact Form 7 entstehen die meisten Datenschutzfehler nicht durch das Grundplugin, sondern durch zusätzliche Funktionen. Viele Websitebetreiber installieren erst ein einfaches Kontaktformular und ergänzen später Spamfilter, Captcha, Zahlungsfunktionen oder Newsletter-Anbindungen, ohne die Datenschutzerklärung und das Cookie-Banner anzupassen.
Besonders häufig übersehen wird Google reCAPTCHA. Wenn du reCAPTCHA in Contact Form 7 aktivierst, bleibt das Formular nicht mehr rein lokal. Auch Akismet wird oft unterschätzt, weil die Spamprüfung beim Absenden Daten an Akismet übermittelt.
Ein weiterer Stolperstein sind Dateiuploads. Wenn Besucher Dateien hochladen können, können deutlich sensiblere Inhalte bei dir eingehen als bei einem einfachen Textformular. Begrenze Uploads deshalb auf Fälle, in denen du sie wirklich brauchst, und erkläre sie sauber in deiner Datenschutzerklärung.
Auch Flamingo verändert die Bewertung. Contact Form 7 speichert eingereichte Nachrichten nicht selbst in der Datenbank. Wenn du Flamingo nutzt, speicherst du die Nachrichten aber zusätzlich in deinem WordPress und musst diese Speicherung berücksichtigen.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
