Forminator selbst ist datenschutztechnisch überschaubar, solange du keine externen Dienste aktivierst. Das Plugin speichert Formulardaten direkt in deiner WordPress-Datenbank – nichts davon geht an WPMU DEV. Die Datenschutzpflichten entstehen erst dann, wenn du Spam-Schutz, Zahlungen oder E-Mail-Dienste einschaltest. Dann wird es allerdings etwas umfangreicher.
Überblick
Was ist Forminator?
Forminator ist ein Formular-Builder von WPMU DEV, mit dem du Kontaktformulare, Umfragen, Quiz-Elemente, Berechnungen und Zahlungsformulare direkt in WordPress erstellen kannst. Du ziehst Felder per Drag-and-drop zusammen, veröffentlichst das Formular per Kurzbefehl auf einer Seite und erhältst die ausgefüllten Daten als Einträge im WordPress-Adminbereich. Zahlungen über Stripe oder PayPal lassen sich ebenfalls direkt im Plugin aktivieren.
Forminator – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Keine zustimmungspflichtigen Cookies – nur ein optionaler funktionaler Cookie zur Verhinderung von Doppelabstimmungen bei Umfragen. |
| Externe Verbindungen | 🟡 | Keine Verbindungen standardmäßig – entstehen nur, wenn du Spam-Schutz, Zahlungen, Diagramme oder Schriftarten aktivierst. |
| Datenschutzerklärung | 🔴 | Erforderlich, weil das Plugin Benutzereingaben wie Name und E-Mail-Adresse verarbeitet. |
| Drittlandtransfer | 🟡 | Kein Transfer durch das Plugin selbst – entsteht aber, wenn du Google reCAPTCHA, Stripe, PayPal oder E-Mail-Marketing-Dienste aktivierst. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag mit WPMU DEV erforderlich – alle Formulardaten bleiben in deiner WordPress-Datenbank. |
| Benutzereingaben | 🔴 | Forminator ist ein Formular-Builder – Benutzereingaben wie Name, E-Mail und Nachricht sind der Hauptzweck des Plugins. |
Datenverarbeitung
Was macht Forminator mit den Daten deiner Website-Besucher?
Wenn jemand ein Formular auf deiner Website ausfüllt und absendet, speichert Forminator diese Eingaben direkt in der Datenbank deines WordPress – dort, wo auch deine Artikel und Einstellungen liegen. Name, E-Mail-Adresse, Nachricht und alle anderen Felder, die du ins Formular eingebaut hast, landen als Einträge in deinem WordPress-Adminbereich. WPMU DEV bekommt davon nichts zu sehen.
Sobald du aber zusätzliche Funktionen aktivierst, ändert sich das Bild: Wer Spam-Schutz über Google reCAPTCHA einschaltet, schickt beim Laden des Formulars Daten an Google. Wer Stripe oder PayPal als Zahlungsmethode aktiviert, baut beim Ausfüllen des Zahlungsformulars eine Verbindung zu diesen Anbietern auf. Wer Umfragen mit Diagrammen nutzt und die Ergebnisanzeige aktiviert, lädt Diagramm-Software von Google.
Alle diese Verbindungen entstehen nicht automatisch – sie entstehen nur, wenn du die jeweilige Einstellung im Plugin aktivierst.
Cookies
Setzt Forminator Cookies auf meiner Website?
Forminator setzt standardmäßig keine Cookies für deine Website-Besucher.
Es gibt einen einzigen Cookie, der optional gesetzt werden kann: poll-cookie-{md5_hash}. Dieser Cookie entsteht nur, wenn du bei einer Umfrage die Einstellung „Abstimmungslimit: Browser-Cookie“ aktivierst. Er merkt sich, dass jemand bereits abgestimmt hat, damit dieselbe Person nicht zweimal abstimmen kann.
Das ist ein rein funktionaler Cookie – er enthält keine persönlichen Daten, kein Tracking und keine Verbindung zu anderen Diensten. Dieser Cookie braucht keine Zustimmung im Cookie-Banner und muss dort auch nicht blockiert werden. Er sollte allerdings in deiner Datenschutzerklärung kurz erwähnt werden, wenn du die Umfrage-Funktion mit diesem Abstimmungslimit verwendest.
Externe Verbindungen
Baut Forminator externe Verbindungen zu anderen Servern auf?
Forminator baut von sich aus keine externen Verbindungen auf. Alle Verbindungen entstehen erst, wenn du bestimmte Einstellungen aktivierst. Folgende externe Verbindungen sind möglich:
Spam-Schutz: Wenn du Google reCAPTCHA, hCaptcha oder Cloudflare Turnstile als Spam-Schutz für deine Formulare aktivierst (unter Einstellungen → Spam-Schutz & Sicherheit), baut das Formular beim Laden einer Seite mit diesem Formular eine Verbindung zu den Servern des jeweiligen Anbieters auf. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Website-Besucher zugestimmt hat.
Zahlungen: Wenn du Stripe oder PayPal als Zahlungsmethode in einem Formular aktivierst, wird beim Ausfüllen des Zahlungsformulars eine Verbindung zu den Servern von Stripe bzw. PayPal aufgebaut. Diese Verbindung entsteht erst, wenn jemand aktiv das Zahlungsformular bedient – ein Cookie-Banner kann sie nicht blockieren. Direkt beim Zahlungsformular muss ein Hinweis auf deine Datenschutzerklärung stehen.
Umfrage-Diagramme: Wenn du bei einer Umfrage die Ergebnisanzeige als Diagramm aktivierst (Kreisdiagramm oder Balkendiagramm), lädt Forminator die dafür nötige Software von Google. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Website-Besucher zugestimmt hat.
Schriftarten: Wenn du unter Forminator-Einstellungen eigene Schriftarten aktivierst und dort Bunny Fonts auswählst, wird eine Verbindung zu fonts.bunny.net aufgebaut. Bunny Fonts ist ein europäischer Anbieter aus Slowenien, der nach eigenen Angaben keine Nutzerdaten erfasst oder weitergibt. Diese Verbindung muss nicht im Cookie-Banner blockiert werden, sollte aber in deiner Datenschutzerklärung erwähnt werden.
Forminator auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Daten geben Besucher in Forminator-Formulare ein?
Forminator ist ein Formular-Builder – das Erfassen von Benutzereingaben ist der Kernzweck des Plugins. Was genau erfasst wird, hängt von den Feldern ab, die du in dein Formular einbaust. Typische Eingaben sind Name, E-Mail-Adresse, Telefonnummer, Nachrichtentext, Adresse, Datum oder hochgeladene Dateien. Bei Zahlungsformularen kommen Zahlungsdaten hinzu, die direkt an Stripe oder PayPal übergeben werden.
All diese Daten werden nach dem Absenden in deiner WordPress-Datenbank gespeichert und sind im Adminbereich unter den Formular-Einträgen einsehbar. Direkt beim Formular muss ein Hinweis auf deine Datenschutzerklärung stehen, der erklärt, welche Daten du erfasst und zu welchem Zweck.
Drittlandtransfer
Werden durch Forminator Daten in Länder außerhalb der EU übertragen?
Forminator selbst überträgt keine Daten in Länder außerhalb der EU. Die Daten bleiben in deiner WordPress-Datenbank. Wenn du jedoch bestimmte externe Dienste aktivierst, entsteht Datentransfer in die USA:
- Google reCAPTCHA: Aktivierung unter Einstellungen → Spam-Schutz & Sicherheit → reCAPTCHA
- Stripe-Zahlungen: Aktivierung durch das Zahlungsfeld im Formular-Builder
- PayPal-Zahlungen: Aktivierung durch das PayPal-Zahlungsfeld im Formular-Builder
- E-Mail-Marketing-Dienste wie Mailchimp, ActiveCampaign, HubSpot oder AWeber: Aktivierung unter „Integrationen“ im Formular-Builder
Für jeden dieser Dienste gilt: Du musst in deiner Datenschutzerklärung darauf hinweisen, dass Daten in die USA übertragen werden. Die jeweiligen Anbieter haben Vereinbarungen mit der EU abgeschlossen, die solche Transfers unter bestimmten Bedingungen erlauben – die genauen Bedingungen stehen in den Datenschutzhinweisen der jeweiligen Anbieter.
Auftragsverarbeitung
Brauche ich einen Vertrag mit WPMU DEV für die Nutzung von Forminator?
Einen Vertrag mit WPMU DEV brauchst du für Forminator nicht. WPMU DEV bestätigt ausdrücklich, dass Formulardaten lokal in deiner WordPress-Datenbank gespeichert werden und nicht an WPMU DEV übertragen werden. Da WPMU DEV keine Besucherdaten verarbeitet, entfällt die Vertragspflicht mit ihnen.
Wenn du hingegen externe Dienste wie Stripe, PayPal, Mailchimp oder Google reCAPTCHA aktivierst, müssen Verträge mit diesen Anbietern separat abgeschlossen werden – das geschieht direkt über die jeweiligen Anbieter.
Datenschutzerklärung
Muss Forminator in meiner Datenschutzerklärung stehen?
Forminator muss in deiner Datenschutzerklärung stehen, weil das Plugin Benutzereingaben wie Name und E-Mail-Adresse verarbeitet und speichert. Für den Eintrag brauchst du folgende Angaben:
- Zweck: Der Zweck des jeweiligen Formulars (z. B. Kontaktaufnahme, Angebotsanfrage)
- Rechtsgrundlage: Einwilligung oder berechtigtes Interesse, je nachdem welchen Zweck das Formular erfüllt
- Empfänger: Keine externen Empfänger, wenn du nur Forminator selbst nutzt ohne externe Dienste
- Speicherdauer: Wie lange du die Einträge in deinem WordPress aufbewahrst, bevor du sie löschst
Alle externen Dienste, die du in Forminator aktivierst – etwa Google reCAPTCHA, Stripe, PayPal oder E-Mail-Marketing-Dienste – benötigen eigene Einträge in deiner Datenschutzerklärung.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Forminator – Kontaktformular und Formulareingaben
Auf unserer Website setzen wir das Plugin Forminator (WPMU DEV, Incsub LLC, 120 19th St N Ste 201 PMB 88100, Birmingham, AL, 35203, USA) ein, um Formulare bereitzustellen. Wenn du ein Formular auf unserer Website ausfüllst und absendest, werden deine Eingaben – je nach Formular zum Beispiel Name, E-Mail-Adresse, Telefonnummer und Nachricht – direkt in der Datenbank unserer WordPress-Installation gespeichert. Diese Daten werden nicht an WPMU DEV übertragen.
Wir nutzen deine Angaben ausschließlich zur Bearbeitung deiner Anfrage oder zum vereinbarten Zweck des jeweiligen Formulars. Rechtsgrundlage der Verarbeitung ist deine Einwilligung. Wir speichern deine Einträge, bis dein Anliegen abschließend bearbeitet wurde, oder bis du uns zur Löschung aufforderst.
Drittanbieter
Mit welchen Diensten lässt sich Forminator verbinden?
Forminator bietet eine Reihe von Verbindungen zu anderen Diensten an, die du je nach Bedarf aktivieren kannst. Für Spam-Schutz stehen Google reCAPTCHA, hCaptcha und Cloudflare Turnstile zur Auswahl – diese aktivierst du unter den Plugin-Einstellungen im Bereich „Spam-Schutz & Sicherheit“.
Für Zahlungen in Formularen kannst du Stripe und PayPal direkt im Formular-Builder aktivieren, indem du ein Zahlungsfeld einfügst und dort deine Zugangsdaten einträgst. Beide Anbieter sind in der kostenlosen Version enthalten.
Für die Weiterleitung von Formulardaten an andere Systeme stehen E-Mail-Marketing-Dienste wie Mailchimp, AWeber, ActiveCampaign und Campaign Monitor zur Verfügung, außerdem CRM-Systeme wie HubSpot, Projektmanagement-Tools wie Trello und Slack und der Direktexport in Google Tabellen.
Zusätzlich können Formulardaten über Webhooks an Automatisierungsplattformen wie Zapier, Make oder n8n weitergeleitet werden. Alle diese Verbindungen findest du im Reiter „Integrationen“ innerhalb des jeweiligen Formulars.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Forminator?
Eine direkte Alternative, die Formulare, Umfragen, Quizze und Zahlungen in einem einzigen Plugin abdeckt und dabei datenschutzfreundlicher ist, gibt es nicht. Forminator ist in dieser Kombination von Funktionen ohne externe Abhängigkeiten – zumindest wenn du auf externe Dienste verzichtest – bereits datenschutztechnisch unkompliziert.
Wer ausschließlich Kontaktformulare braucht, kann auch mit Contact Form 7 oder Fluent Forms arbeiten, die ebenfalls Daten lokal speichern. Diese ersetzen aber nur den Formular-Teil, nicht Umfragen, Quizze oder Zahlungsfunktionen.
Fehler
Häufige Datenschutz-Fehler bei Forminator
Der häufigste Fehler ist das Aktivieren von Google reCAPTCHA als Spam-Schutz, ohne den Cookie-Banner entsprechend einzustellen. Sobald reCAPTCHA aktiv ist, baut jede Seite mit einem Forminator-Formular beim Laden eine Verbindung zu Google auf – auch wenn niemand das Formular ausfüllt. Wenn dein Cookie-Banner das nicht blockiert, bis der Besucher zugestimmt hat, ist das ein Datenschutzproblem.
Ein weiterer typischer Fehler: Die Datenschutzerklärung enthält keinen Eintrag für Forminator. Sobald du ein Formular veröffentlichst, das Benutzereingaben entgegennimmt, ist ein Eintrag Pflicht – unabhängig davon, ob du externe Dienste nutzt oder nicht.
Wer Zahlungen über Stripe oder PayPal aktiviert, vergisst häufig, einen direkten Datenschutzhinweis beim Zahlungsformular einzubauen. Da die Zahlungsdaten erst beim Absenden übertragen werden, kann der Cookie-Banner das nicht abfangen – der Hinweis muss direkt sichtbar neben dem Formular stehen.
DSGVO-Check
So prüfst du Forminator auf deiner Website
Forminator hinterlässt keine eigenen Cookies, die sich direkt prüfen lassen. Ob externe Verbindungen aufgebaut werden, hängt davon ab, welche Funktionen du aktiviert hast. Rufe eine Seite auf, auf der eines deiner Forminator-Formulare eingebettet ist, und prüfe im Browser (Entwicklerwerkzeuge → Netzwerk), ob Verbindungen zu folgenden Domains aufgebaut werden:
www.google.comoderwww.gstatic.com– wenn Google reCAPTCHA aktiv isthcaptcha.com– wenn hCaptcha aktiv istchallenges.cloudflare.com– wenn Cloudflare Turnstile aktiv istjs.stripe.com– wenn Stripe-Zahlungen aktiv sindwww.paypal.com– wenn PayPal-Zahlungen aktiv sindfonts.bunny.net– wenn benutzerdefinierte Schriftarten über Bunny Fonts aktiviert sind
Wenn du Verbindungen zu Google, hCaptcha oder Cloudflare siehst, muss dein Cookie-Banner diese blockieren, bis der Besucher zugestimmt hat. Einen vollständigen Datenschutz-Check deiner Website – einschließlich aller aktiven Plugins und Dienste – gibt dir schnell den Überblick.
Quellen und weiterführende Links
- Forminator – WordPress.org Plugin-Seite
- Forminator – Offizielle Dokumentation (WPMU DEV)
- WPMU DEV – Datenschutz-Dokumentation zu den eigenen Plugins
- WPMU DEV – Cookie-Deklaration
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.