Contact Form 7 ist aus Datenschutzsicht eines der unkompliziertesten Kontaktformular-Plugins: keine Cookies, keine externen Verbindungen im Standard, keine Datenweitergabe an den Anbieter. Was trotzdem in deine Datenschutzerklärung muss und wo es heikel wird, zeigt dieser Artikel.
Überblick
Was ist Contact Form 7?
Contact Form 7 ist ein kostenloses WordPress-Plugin, mit dem du Kontaktformulare auf deiner Website einbauen kannst. Es ist eines der meistgenutzten Plugins überhaupt und kommt ohne externe Dienste aus – Formulardaten werden direkt an deine E-Mail-Adresse geschickt und optional lokal in deiner WordPress-Datenbank gespeichert.
Contact Form 7 – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Contact Form 7 setzt keine Cookies. |
| Externe Verbindungen | 🟡 | Nur wenn du Integrationen wie reCAPTCHA oder Turnstile aktivierst. |
| Datenschutzerklärung | 🔴 | Erforderlich – das Formular verarbeitet personenbezogene Daten. |
| Drittlandtransfer | 🟢 | Kein Transfer durch das Plugin selbst. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag mit Rock Lobster nötig. |
| Benutzereingaben | 🔴 | Name, E-Mail und Nachricht werden verarbeitet. |
Datenverarbeitung
Wie verarbeitet Contact Form 7 Daten?
Wenn jemand dein Kontaktformular ausfüllt und absendet, schickt Contact Form 7 die eingegebenen Daten – Name, E-Mail-Adresse, Nachrichtentext – per E-Mail an dich. Das läuft komplett über deinen Hosting-Server. Rock Lobster, der Hersteller des Plugins, bekommt davon nichts mit. Die Daten landen nicht auf einem fremden Server, sondern in deinem E-Mail-Postfach und optional in deiner WordPress-Datenbank, wenn du das Flamingo-Plugin zusätzlich installierst.
Außerdem erfasst das Plugin bei der Formularübertragung automatisch die IP-Adresse des Absenders – das nutzt es intern zur Spam-Erkennung. Diese IP-Adresse ist ein personenbezogenes Datum und muss deshalb in deiner Datenschutzerklärung erwähnt werden.
Solange du keine zusätzlichen Dienste aktivierst (etwa Google reCAPTCHA oder Cloudflare Turnstile für den Spam-Schutz), fließen beim Laden der Formularseite keinerlei Daten an externe Anbieter.
Cookies
Setzt Contact Form 7 Cookies?
Contact Form 7 setzt keine Cookies. Weder beim Laden des Formulars noch nach dem Absenden wird ein Cookie gesetzt – weder im Browser des Besuchers noch im Hintergrund. Dein Cookie-Banner muss für das Plugin selbst nichts blockieren und keine Einwilligung einholen.
Externe Verbindungen
Baut Contact Form 7 Verbindungen zu externen Diensten auf?
Im Standard baut Contact Form 7 keine externen Verbindungen auf. Das ändert sich, sobald du eine der eingebauten Integrationen aktivierst:
- Google reCAPTCHA v3: Wenn du reCAPTCHA über die Kontakt-Integrationen-Seite einrichtest, lädt das Plugin beim Seitenaufruf automatisch ein Skript von Google. Dieses Skript baut eine Verbindung zu Google-Servern auf – auch bei Besuchern, die das Formular nie ausfüllen. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
- Cloudflare Turnstile: Gleiches Prinzip. Sobald du Turnstile aktivierst, wird beim Laden der Seite eine Verbindung zu Cloudflare aufgebaut. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
Wenn du keine dieser Integrationen aktiviert hast, entstehen keine externen Verbindungen. Die Aktivierung erfolgt immer manuell unter Formulare > Integration in deinem WordPress – ohne eingetragene API-Schlüssel passiert nichts.
Contact Form 7 auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Daten geben Besucher über das Formular ein?
Contact Form 7 verarbeitet alle Daten, die Besucher in dein Formular eingeben. Im Standard-Formular sind das Name, E-Mail-Adresse und Nachrichtentext. Zusätzlich erfasst das Plugin automatisch die IP-Adresse und die Browser-Kennung des Absenders. Diese Daten werden per E-Mail an dich weitergeleitet – das heißt, sie landen auf dem Mailserver, den dein Hoster betreibt.
Du entscheidest, welche Felder dein Formular enthält. Wenn du im Formular Felder für Telefonnummer, Anschrift oder andere persönliche Angaben ergänzt, verarbeitest du entsprechend mehr Daten. In deiner Datenschutzerklärung musst du dann beschreiben, welche Daten du konkret abfragst.
Direkt beim Formular oder auf der Seite, auf der das Formular eingebettet ist, muss ein Hinweis auf deine Datenschutzerklärung stehen. Besucher müssen wissen, was mit ihren Daten passiert, bevor sie absenden.
Drittlandtransfer
Werden Formulardaten in Länder außerhalb der EU übertragen?
Contact Form 7 überträgt keine Formulardaten an Rock Lobster oder an Server außerhalb der EU. Die Daten laufen über deinen eigenen Hosting-Server – ob diese Server in der EU stehen, hängt von deinem Hoster ab, nicht von Contact Form 7. Das Plugin selbst verursacht keinen Transfer in Drittländer.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Rock Lobster?
Rock Lobster erhält keine Formulardaten aus deiner WordPress-Installation. Das Plugin läuft vollständig auf deinem Server, und der Hersteller hat keinen Zugriff darauf. Einen Vertrag zur Auftragsverarbeitung mit Rock Lobster brauchst du deshalb nicht.
Anders sieht es bei Brevo aus, wenn dieser die Eingaben verarbeitet, die Contact Form 7 sammelt – das ist aber eine Frage der Brevo-Integration, nicht des Plugins.
Datenschutzerklärung
Muss Contact Form 7 in die Datenschutzerklärung?
Contact Form 7 muss in deine Datenschutzerklärung, weil das Formular personenbezogene Daten verarbeitet. Besucher geben Name, E-Mail-Adresse und Nachricht ein – dafür brauchst du eine Erklärung, die beschreibt, was damit passiert.
Die Pflichtangaben für deinen DSE-Eintrag:
- Zweck: Bearbeitung von Kontakt- und Supportanfragen.
- Rechtsgrundlage: Einwilligung durch das aktive Absenden des Formulars oder berechtigtes Interesse an der Bearbeitung eingehender Anfragen.
- Erfasste Daten: Name, E-Mail-Adresse, Nachrichtentext, IP-Adresse, Browser-Kennung.
- Empfänger: Dein Postfach und ggf. dein Hosting-Anbieter (für den E-Mail-Versand).
- Drittlandtransfer: Entfällt, sofern dein Hoster in der EU sitzt.
- Speicherdauer: So lange, wie die Anfrage bearbeitet wird – danach löschen oder nach eigenem Aufbewahrungskonzept.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Kontaktformular – Contact Form 7
Auf unserer Website steht ein Kontaktformular zur Verfügung, das mit dem WordPress-Plugin Contact Form 7 (Rock Lobster, LLC., Japan) betrieben wird. Wenn du das Formular nutzt und absendest, werden die von dir eingegebenen Daten – insbesondere Name, E-Mail-Adresse und Nachrichtentext – sowie deine IP-Adresse und die Kennung deines Browsers an uns übermittelt.
Die Daten werden per E-Mail an uns zugestellt und auf dem Server unseres Hosting-Anbieters verarbeitet. Wir verwenden diese Daten ausschließlich zur Bearbeitung deiner Anfrage. Die Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Rock Lobster hat keinen Zugriff auf die übermittelten Daten.
Falls du zusätzliche Integrationen wie Google reCAPTCHA, Cloudflare Turnstile, Akismet, Brevo oder Stripe aktiviert hast, benötigen diese Dienste eigene Einträge in deiner Datenschutzerklärung.
Drittanbieter
Mit welchen Diensten lässt sich Contact Form 7 verbinden?
Contact Form 7 bietet unter Kontakt > Integration mehrere einbaubare Dienste an. Alle Verbindungen sind standardmäßig deaktiviert und müssen manuell eingerichtet werden.
Für den Spam-Schutz kannst du zwischen Google reCAPTCHA v3 und Cloudflare Turnstile wählen. Beide Dienste bauen beim Laden des Formulars eine Verbindung zu externen Servern auf und übertragen dabei Daten in die USA. Alternativ steht Akismet zur Verfügung, das Formulardaten serverseitig prüft.
Für E-Mail-Marketing lässt sich Brevo direkt einbinden: Wenn jemand das Formular absendet, kannst du die Kontaktdaten automatisch an deine Brevo-Kontaktliste übertragen. Für Zahlungen bietet das Plugin eine Stripe-Integration, mit der du direkt im Formular Kreditkartenzahlungen entgegennehmen kannst.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Contact Form 7?
Contact Form 7 setzt selbst keine Cookies, baut im Standard keine externen Verbindungen auf und überträgt keine Daten in Drittländer. Es gibt kein Kontaktformular-Plugin, das in diesen drei Punkten besser abschneidet – der Standard-Betrieb ist bereits datenschutzfreundlich.
Eine Alternative wäre nur dann sinnvoll, wenn du an eine bestimmte Funktion gebunden bist, die Contact Form 7 nicht bietet.
Fehler
Typische Datenschutz-Fehler mit Contact Form 7
Der häufigste Fehler: reCAPTCHA oder Turnstile einmal zum Testen eingerichtet und danach vergessen. Sobald du API-Schlüssel unter Formulare > Integration eingetragen hast, bauen alle deine Formulare beim Seitenaufruf eine Verbindung zu Google oder Cloudflare auf – auch wenn du das gar nicht mehr im Blick hast. Prüfe deshalb, ob dort API-Schlüssel eingetragen sind, die du nicht aktiv nutzt, und entferne sie.
Ein weiterer Fehler: kein Hinweis auf die Datenschutzerklärung beim Formular selbst. Besucher müssen vor dem Absenden wissen, was mit ihren Daten passiert. Entweder du verlinkst direkt unter dem Formular auf den entsprechenden Abschnitt in deiner Datenschutzerklärung, oder du fügst eine Einwilligungs-Checkbox ein.
Dritter Fehler: Formulardaten, die im Postfach unbegrenzt aufbewahrt werden. Kontaktanfragen sind personenbezogene Daten – lösche sie, sobald du sie nicht mehr brauchst.
DSGVO-Check
Wie erkenne ich, ob Contact Form 7 auf meiner Website aktiv ist?
Contact Form 7 verrät sich weder durch Cookie-Namen noch durch externe Verbindungen im Standard-Betrieb. Du findest das Plugin auf deiner Website nicht per Cookie-Prüfung oder Netzwerkanalyse, weil es im Standard nichts nach außen sendet.
Ein Datenschutz-Scan, der die konkrete Zusammensetzung deiner Website direkt prüft, ist der zuverlässigste Weg. datenrein.de erkennt Contact Form 7 anhand von Signalwerten im Seitencode und zeigt dir, ob und welche Integrationen aktiv sind.
Quellen und weiterführende Links
- Contact Form 7 – WordPress.org Plugin-Seite
- Contact Form 7 – offizielle Dokumentation
- Contact Form 7 – Ratgeber des Entwicklers zu datenschutzfreundlichen Formularen
- Contact Form 7 – reCAPTCHA-Integration
- Contact Form 7 – Cloudflare Turnstile-Integration
- Contact Form 7 – Brevo-Integration
- Contact Form 7 – Stripe-Integration
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.