Forminator und DSGVO: Warum das Formular-Plugin datenschutzrechtlich aufwendiger ist als gedacht

Forminator ist nicht einfach nur ein kleines Kontaktformular-Plugin. Das Tool kann Formulare, Quizze, Umfragen, Registrierungen und sogar Zahlungsformulare verwalten. Genau deshalb entstehen schnell mehrere Datenschutz-Themen gleichzeitig: gespeicherte Formulareingaben, externe Dienste, Cookies und Datenübertragungen in die USA.

Die gute Nachricht: Forminator speichert die eigentlichen Formulardaten direkt in deinem WordPress. Problematisch wird es erst dann, wenn du zusätzliche Funktionen wie Captchas, Zahlungsanbieter oder Newsletter-Anbindungen aktivierst.

Überblick

Was ist Forminator?

Forminator ist ein Formular-Plugin von WPMU DEV für WordPress. Du kannst damit Kontaktformulare, Umfragen, Quizze, Registrierungen, Datei-Uploads und Zahlungsformulare erstellen. Besucher geben ihre Daten direkt über deine Website ein und Forminator speichert diese Daten im WordPress-System.

Forminator und Datenschutz im Überblick

Cookies	Forminator setzt bei Umfragen ein Cookie zur Begrenzung mehrfacher Abstimmungen, wenn du diese Funktion aktivierst.
Externe Verbindungen	Forminator verbindet sich bei bestimmten Funktionen mit externen Diensten wie Google, Stripe, PayPal oder Cloudflare.
Datenschutzerklärung	Forminator verarbeitet personenbezogene Daten wie Namen, E-Mail-Adressen, Nachrichten, Uploads und technische Nutzungsdaten.
Drittlandtransfer	Bei aktivierten Zusatzdiensten können Daten in die USA übertragen werden.
Auftragsverarbeitung	Die eigentlichen Formulareinträge speichert Forminator direkt in deinem WordPress und nicht bei WPMU DEV.
Eingaben durch Besucher	Besucher können über Forminator umfangreiche personenbezogene Daten eingeben und absenden.

Datenverarbeitung

Welche Daten verarbeitet Forminator eigentlich?

Forminator verarbeitet genau die Daten, die Besucher in deine Formulare eingeben. Das können einfache Kontaktanfragen sein, aber auch deutlich umfangreichere Daten wie Telefonnummern, Adressen, Datei-Uploads, Registrierungsdaten oder Zahlungsinformationen.

Zusätzlich speichert Forminator technische Informationen rund um die Einreichung. Dazu gehören unter anderem:

• IP-Adresse
• Zeitpunkt der Übermittlung
• Browser- und Gerätedaten
• Referer-Informationen
• Antworten aus Umfragen und Quizzen

Forminator funktioniert dabei wie ein digitaler Briefkasten direkt in deinem WordPress. Besucher schicken ihre Daten über das Formular ab und das Plugin legt diese Informationen in deiner WordPress-Datenbank ab. Dadurch bleiben die eigentlichen Formulareinträge zunächst auf deinem eigenen Webspace.

Datenschutzrechtlich deutlich sensibler werden Zusatzfunktionen wie Zahlungsanbieter, Captchas, Newsletter-Anbindungen oder externe Automatisierungen. Dann verlassen Daten deine Website und landen zusätzlich bei anderen Anbietern.

Cookies

Setzt Forminator Cookies?

Forminator setzt bei Umfragen ein eigenes Cookie, wenn du die Abstimmungsbegrenzung per Browser-Cookie aktivierst. Das Cookie verhindert doppelte Stimmen bei Polls und Umfragen. Sobald du diese Funktion nutzt, muss dein Cookie-Banner den Cookie berücksichtigen. Besucher müssen der Nutzung zustimmen, bevor das Cookie gesetzt wird.

Normale Kontaktformulare benötigen dieses Cookie nicht. Das Cookie gehört ausschließlich zur Umfrage-Funktion mit aktivierter Browser-Begrenzung.

Externe Verbindungen

Verbindet sich Forminator mit externen Diensten?

Forminator baut externe Verbindungen auf, sobald du bestimmte Zusatzfunktionen aktivierst. Besonders häufig betrifft das Spam-Schutz, Zahlungsfunktionen oder eingebundene Dienste für Marketing und Automatisierung.

Zu den eingebundenen Diensten gehören unter anderem:

• Google reCAPTCHA
• hCaptcha
• Cloudflare Turnstile
• Stripe
• PayPal
• Google Charts
• Bunny Fonts

Diese Dienste laden Inhalte direkt von externen Servern nach. Dabei werden bereits beim Laden der Seite Daten wie IP-Adresse, Browserdaten und technische Verbindungsinformationen übertragen.

Wenn du solche Funktionen nutzt, muss dein Cookie-Banner diese Verbindungen blockieren, bis Besucher zugestimmt haben. Besonders kritisch sind Captchas und Zahlungsdienste, weil sie direkt mit externen Anbietern kommunizieren.

Benutzereingaben

Welche Daten können Besucher über Forminator eingeben?

Forminator verarbeitet aktiv eingegebene Besucherdaten. Das Plugin dient genau dafür, Informationen über Formulare einzusammeln.

Besucher können unter anderem folgende Daten eingeben:

• Name
• E-Mail-Adresse
• Telefonnummer
• Adresse
• Nachrichten
• Datei-Uploads
• Quiz- und Umfrageantworten
• Zahlungs- und Bestelldaten

Je umfangreicher dein Formular wird, desto wichtiger wird eine saubere Datenschutzerklärung. Besonders Datei-Uploads und Zahlungsformulare sammeln schnell sensible Informationen.

Drittlandtransfer

Überträgt Forminator Daten in die USA?

Forminator selbst speichert Formulareinträge zunächst lokal in deinem WordPress. Datenübertragungen in die USA entstehen erst dann, wenn du externe Dienste aktivierst.

Besonders häufig betrifft das:

• Google reCAPTCHA
• Google Charts
• Stripe
• PayPal
• Mailchimp
• HubSpot
• Slack

Diese Dienste verarbeiten Daten außerhalb der EU. Dadurch entsteht ein Drittlandtransfer. Sobald du solche Funktionen nutzt, musst du diese Übertragung in deiner Datenschutzerklärung nennen.

Auftragsverarbeitung

Brauchst du für Forminator einen Vertrag mit WPMU DEV?

WPMU DEV verarbeitet die Formulareinträge deiner Website-Besucher nicht auf eigenen Servern. Forminator speichert die Daten direkt in deinem WordPress und in deiner Datenbank.

Für die reine lokale Nutzung von Forminator steht deshalb nicht WPMU DEV im Mittelpunkt der Datenverarbeitung, sondern dein Hosting-Anbieter.

Sobald du externe Dienste wie Stripe, Mailchimp oder HubSpot verbindest, entstehen allerdings zusätzliche Verträge und Datenschutzpflichten mit diesen jeweiligen Anbietern.

Datenschutzerklärung

Welche Angaben gehören bei Forminator in die Datenschutzerklärung?

Forminator muss in die Datenschutzerklärung aufgenommen werden, weil Besucher aktiv personenbezogene Daten über deine Website eingeben können.

• Zweck: Verarbeitung von Kontaktanfragen, Formularübermittlungen, Registrierungen, Umfragen oder Bestellungen.
• Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer, Nachrichten, Uploads, Antworten aus Umfragen und technische Verbindungsdaten.
• Empfänger: Dein Hosting-Anbieter und zusätzlich aktivierte Drittanbieter wie Stripe, Google oder PayPal.
• Drittlandtransfer: Bei externen Diensten können Daten in die USA übertragen werden.
• Speicherdauer: Die Daten bleiben gespeichert, bis du Formulareinträge manuell löschst oder automatische Löschregeln eingerichtet hast.
• Pflichtangaben: Besucher müssen erkennen können, welche Daten du über die Formulare erhebst.

Wenn du Zahlungsfunktionen, Newsletter-Dienste oder Captchas nutzt, musst du diese Dienste zusätzlich einzeln aufführen.

Alternative

Gibt es eine datenschutzärmere Alternative zu Forminator?

Für einfache Kontaktformulare reicht häufig Contact Form 7. Das Plugin hat deutlich weniger Zusatzfunktionen und bringt dadurch weniger Datenschutz-Themen gleichzeitig mit.

Contact Form 7 ersetzt allerdings keine komplexen Quizze, Zahlungsformulare oder Automatisierungen. Sobald du solche Funktionen brauchst, steigt der Datenschutzaufwand automatisch wieder an.

Fehler

Diese Datenschutzfehler passieren bei Forminator besonders schnell

Viele Website-Betreiber aktivieren Captchas oder Zahlungsdienste direkt in Forminator und vergessen anschließend, den Cookie-Banner oder die Datenschutzerklärung anzupassen.

Ebenfalls typisch: Formulare sammeln deutlich mehr Daten als eigentlich nötig. Telefonnummern, Adressen oder Datei-Uploads bleiben aktiv, obwohl sie gar nicht gebraucht werden.

Ein weiterer häufiger Fehler betrifft gespeicherte Formulareinträge. Forminator legt Anfragen dauerhaft in WordPress ab. Viele Betreiber löschen diese Daten nie und behalten alte Kontaktanfragen jahrelang im System.

DSGVO-Check

So erkennst du Forminator auf deiner eigenen Website

Forminator verrät sich nicht eindeutig über feste externe Verbindungen oder typische Anfrage-Domains. Das Plugin arbeitet stark abhängig von den aktivierten Funktionen.

Du kannst aber prüfen, ob deine Website das Cookie poll-cookie-{md5_hash} setzt. Öffne dazu deine Website im Browser, teste eine Umfrage und prüfe anschließend die gesetzten Cookies oder einen Datenschutz-Scan.

Wenn du Captchas, Zahlungsdienste oder Newsletter-Anbindungen aktiviert hast, solltest du zusätzlich einen Datenschutz-Scan durchführen. Damit erkennst du externe Verbindungen zu Diensten wie Google, Stripe oder PayPal direkt auf deiner Website.