WPForms ist eines der meistgenutzten Formular-Plugins für WordPress – und aus Datenschutzsicht kein hoffnungsloser Fall. Die Lite-Version ist vergleichsweise zahm: kein Tracking-Cookie, keine externen Verbindungen. In der Pro-Version setzt das Plugin aber standardmäßig einen Cookie, der Besucher über 11 Jahre hinweg identifiziert, und mit der optionalen Lite-Connect-Funktion landen Formulardaten auf US-amerikanischen Servern – ohne dass WPForms dafür einen Auftragsverarbeitungsvertrag anbietet.
Was genau auf deiner Website passiert und was du tun musst, hängt also davon ab, welche Version und welche Funktionen du nutzt.
Überblick
Was ist WPForms?
WPForms ist ein WordPress-Plugin, mit dem du per Drag-and-drop Formulare erstellen kannst: Kontaktformulare, Anmeldeformulare, Zahlungsformulare und vieles mehr – ohne eine Zeile Code zu schreiben. Das Plugin wird von WPForms LLC entwickelt, die zum US-amerikanischen Unternehmen Awesome Motive Inc. mit Sitz in Florida gehört.
WPForms – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟡 | Lite-Version: kein Cookie. Pro-Version: Tracking-Cookie wpfuuid (11 Jahre), per Einstellung deaktivierbar. |
| Externe Verbindungen | 🟢 | WPForms baut selbst keine externen Verbindungen auf. |
| Datenschutzerklärung | 🔴 | Erforderlich, weil WPForms Benutzereingaben verarbeitet. |
| Drittlandtransfer | 🟡 | Nur wenn du Lite Connect aktivierst: Formulardaten gehen dann auf US-Server von WPForms. |
| Auftragsverarbeitung | 🟡 | Nur wenn du Lite Connect aktivierst: WPForms speichert dann Daten auf eigenen Servern – ohne Vertrag. |
| Benutzereingaben | 🔴 | WPForms verarbeitet Formulareingaben – Name, E-Mail und weitere Felder, die du einbaust. |
Datenverarbeitung
Was macht WPForms mit den Daten deiner Besucher?
Wenn jemand ein Formular auf deiner Website ausfüllt und absendet, wandern die eingegebenen Daten direkt in deine WordPress-Datenbank auf deinem Hosting-Server – oder landen als E-Mail in deinem Postfach. WPForms selbst schickt diese Daten in der Standardkonfiguration nicht weiter. Du bist also der Einzige, der die Daten empfängt und speichert.
In der Pro-Version speichert WPForms zusätzlich automatisch die IP-Adresse und die Browser-Informationen jedes Einreichenden – das sind Daten, die direkt einer Person zugeordnet werden können. Diese Erfassung lässt sich in den Einstellungen deaktivieren.
Wer die optionale Lite-Connect-Funktion aktiviert, schickt Formulardaten außerdem als verschlüsselte Sicherungskopie auf Server von WPForms in den USA. Diese Funktion ist standardmäßig aus, muss also aktiv eingeschaltet werden.
Für Besucher deiner Website sieht WPForms in der Praxis so aus: Sie tippen ihre Daten ins Formular, klicken auf „Senden“ – und die Daten landen bei dir. Kein eingebettetes Widget eines Drittanbieters, keine externe Verbindung beim Laden der Seite, kein unsichtbarer Datentransfer im Hintergrund (außer bei aktiviertem Lite Connect).
Cookies
Setzt WPForms Cookies auf meiner Website?
Das kommt auf die Version an. Die Lite-Version von WPForms setzt keine Cookies. Du musst für WPForms in deinem Cookie-Banner nichts blockieren und keinen Eintrag machen – solange du die kostenlose Version nutzt.
Die Pro-Version setzt standardmäßig den Cookie wpfuuid mit einer Laufzeit von 11 Jahren. Dieser Cookie weist jedem Besucher eine zufällige Kennnummer zu und speichert sie im Browser. WPForms nutzt diese Kennnummer, um mehrere Formulareinreichungen derselben Person zuzuordnen, die Form-Abandonment-Funktion zu betreiben (also zu erkennen, wer ein Formular angefangen, aber nicht abgeschickt hat) und Geodaten zum Einreichenden zu erfassen. Der Cookie identifiziert Besucher sitzungsübergreifend – er ist zustimmungspflichtig. Dein Cookie-Banner muss diesen Cookie blockieren, bis der Besucher zustimmt.
Du kannst den Cookie in der Pro-Version deaktivieren: Gehe zu WPForms → Einstellungen → Allgemein → DSGVO-Erweiterungen aktivieren → „Benutzer-Cookies deaktivieren“ anhaken. Danach setzt WPForms keinen Cookie mehr. Die genannten Funktionen (zusammengeführte Einreichungen, Form Abandonment, Geolocation) stehen dann nicht mehr zur Verfügung, aber deine Formulare funktionieren weiterhin vollständig.
Externe Verbindungen
Baut WPForms Verbindungen zu fremden Servern auf?
WPForms baut beim Laden deiner Seite keine externen Verbindungen auf. Das Plugin lädt keine Skripte oder Ressourcen von fremden Servern – alles läuft lokal auf deinem WordPress. Es gibt hier nichts, was dein Cookie-Banner blockieren müsste, und keinen Drittanbieter, dem du durch das bloße Einbinden des Plugins Daten schickst.
Dienste wie Stripe, PayPal, Google reCAPTCHA oder Mailchimp können über WPForms eingebunden werden, bauen dann aber eigene Verbindungen auf. Diese Dienste kommen erst ins Spiel, wenn du sie aktiv in den Einstellungen verbindest – und jeder davon erfordert dann eigene Datenschutzmaßnahmen.
WPForms auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Daten geben Besucher in WPForms-Formulare ein?
WPForms verarbeitet genau die Daten, die deine Besucher ins Formular eingeben. Bei einem einfachen Kontaktformular sind das mindestens Name und E-Mail-Adresse, dazu ein Freitextfeld für die Nachricht. Je nachdem, welche Felder du einbaust, können auch Telefonnummer, Adresse, hochgeladene Dateien, Zahlungsdaten oder Registrierungsdaten hinzukommen.
In der Pro-Version erfasst WPForms beim Absenden außerdem automatisch die IP-Adresse und die Browser-Informationen des Einreichenden. Wenn du das nicht möchtest, deaktiviere es unter WPForms → Einstellungen → Allgemein → DSGVO-Erweiterungen → „Benutzer-Details deaktivieren“ . Deine Formulare funktionieren danach genauso, du verlierst nur diese technischen Zusatzdaten.
Alle eingegebenen Daten landen direkt auf deinem Server – entweder als Eintrag in deiner WordPress-Datenbank (Pro) oder als E-Mail-Benachrichtigung (Lite). WPForms selbst hat auf diese Daten keinen Zugriff, solange du Lite Connect nicht aktivierst.
Drittlandtransfer
Werden durch WPForms Daten in die USA übertragen?
Im normalen Betrieb ohne Lite Connect: nein. Alle Formulardaten bleiben auf deinem Hosting-Server. WPForms LLC in den USA bekommt nichts davon zu sehen.
Wenn du die Lite-Connect-Funktion aktivierst, werden Formulardaten als verschlüsselte Sicherungskopie auf Server von WPForms in den USA übertragen. WPForms speichert dabei die Formulardaten selbst, deine Administrator-E-Mail-Adresse, deinen Namen, deine Domain, die IP-Adresse deines Webservers, Browser-Informationen der Einreichenden und deine WordPress-Version. Diese Funktion ist standardmäßig deaktiviert. Du aktivierst sie unter WPForms → Einstellungen → Allgemein → „Entry Backups aktivieren“ . Wenn du Lite Connect nicht aktivierst, findet keine Datenübertragung in die USA statt.
Auftragsverarbeitung
Brauche ich mit WPForms einen Auftragsverarbeitungsvertrag?
WPForms LLC hat keinen Zugriff auf deine Formulardaten – alles bleibt auf deinem Server. Einen Vertrag mit WPForms brauchst du in dieser Konstellation nicht.
Wenn du Lite Connect aktivierst, überträgt WPForms Formulardaten auf eigene Server und verarbeitet sie dort. In diesem Fall wäre ein Auftragsverarbeitungsvertrag mit WPForms LLC eigentlich erforderlich. Das Problem: Auf der Website von WPForms ist kein solcher Vertrag auffindbar – weder als Download noch als Self-Service-Formular.
Wenn du Lite Connect nutzen möchtest, wende dich direkt an WPForms LLC und frage, ob und wie ein Vertrag abgeschlossen werden kann. Solange dieser Vertrag fehlt, ist das Aktivieren von Lite Connect datenschutzrechtlich nicht sauber umsetzbar.
Datenschutzerklärung
Muss WPForms in meiner Datenschutzerklärung stehen?
WPForms muss in deiner Datenschutzerklärung genannt werden, weil das Plugin personenbezogene Daten deiner Besucher verarbeitet – nämlich alles, was in deine Formulare eingegeben wird. Das gilt unabhängig davon, ob du die Lite- oder die Pro-Version verwendest.
Folgende Angaben gehören in deinen Datenschutzerklärung-Eintrag für WPForms:
- Zweck: Entgegennahme und Verarbeitung von Formularanfragen (z. B. Kontaktanfragen, Anmeldungen)
- Rechtsgrundlage: Einwilligung oder Vertragsanbahnung – je nach dem, wofür das Formular genutzt wird
- Empfänger: Keine Weitergabe an Dritte im Standard-Betrieb; Formulardaten bleiben auf deinem Hosting-Server
- Drittlandtransfer: Keiner im Standard-Betrieb; nur bei aktiviertem Lite Connect Übertragung in die USA
- Speicherdauer: Bis zur Löschung durch dich oder auf Anfrage der betroffenen Person
Dienste, die du über WPForms einbindest – zum Beispiel Stripe, PayPal, Mailchimp oder Google reCAPTCHA – brauchen eigene Einträge in deiner Datenschutzerklärung. Diese sind nicht Bestandteil des WPForms-Eintrags.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
WPForms – Kontaktformular
Auf dieser Website verwenden wir das Plugin WPForms (WPForms LLC, Teil der Awesome Motive Inc., 2701 Okeechobee Blvd, West Palm Beach, Florida 33409, USA), um Formulare bereitzustellen. Wenn du ein Formular auf unserer Website ausfüllst und absendest, werden die von dir eingegebenen Daten – zum Beispiel Name, E-Mail-Adresse und deine Nachricht – auf unserem Hosting-Server gespeichert und an uns weitergeleitet. WPForms LLC hat auf diese Daten keinen Zugriff.
Die Verarbeitung deiner Daten erfolgt auf Grundlage deiner Einwilligung bzw. zur Durchführung vorvertraglicher Maßnahmen. Wir speichern deine Anfrage so lange, wie es zur Bearbeitung erforderlich ist, längstens bis du die Löschung verlangst. Eine Übermittlung deiner Daten in Länder außerhalb der EU findet nicht statt.
Drittanbieter
Mit welchen Diensten lässt sich WPForms verbinden?
WPForms bietet eine Vielzahl optionaler Verbindungen zu anderen Diensten an. Alle davon sind standardmäßig deaktiviert und werden erst aktiv, wenn du sie in den Einstellungen einrichtest.
Für Zahlungen lässt sich WPForms mit Stripe, PayPal Commerce, Square und Authorize.Net verbinden. Für den Spam-Schutz kannst du Google reCAPTCHA, hCaptcha oder Cloudflare Turnstile einbinden. Jede dieser Verbindungen überträgt Daten an den jeweiligen Anbieter und erfordert eigene Datenschutzmaßnahmen.
Für E-Mail-Marketing stehen unter anderem Mailchimp, Brevo, ActiveCampaign, MailerLite, Klaviyo, Constant Contact, AWeber und ConvertKit zur Verfügung. Für CRM-Systeme gibt es Verbindungen zu HubSpot, Salesforce und Zoho CRM. Für Cloud-Dienste und Automatisierung lassen sich Google Sheets, Google Drive, Dropbox, Zapier und Make einbinden. Jede Integration, die du aktivierst, übermittelt Formulardaten an den jeweiligen Dienst – und erfordert einen eigenen Eintrag in deiner Datenschutzerklärung sowie gegebenenfalls eigene Verträge mit dem Drittanbieter.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu WPForms?
Contact Form 7 ist eine datenschutzfreundlichere Alternative für Kontaktformulare. Das Plugin setzt keine Cookies, baut keine externen Verbindungen auf und überträgt keine Daten in Drittländer. Es ist kostenlos, aktiv gepflegt und für normale Website-Betreiber nutzbar – ohne Programmierkenntnisse.
Im Vergleich zu WPForms ist Contact Form 7 weniger komfortabel zu bedienen (kein Drag-and-drop), erfüllt aber denselben Grundzweck: Besucher können dir eine Nachricht schicken, du bekommst sie per E-Mail.
Wenn du auf fortgeschrittene Funktionen wie bedingte Felder, mehrseitige Formulare oder direkten Datenbankzugriff auf Einreichungen verzichten kannst, ist Contact Form 7 die schlankere, datenschutzfreundlichere Wahl.
Fehler
Häufige Datenschutz-Fehler mit WPForms
Der häufigste Fehler bei der Pro-Version: Der Cookie wpfuuid ist aktiv, aber im Cookie-Banner nicht blockiert. WPForms setzt diesen Cookie standardmäßig – wenn dein Cookie-Banner ihn nicht kennt, läuft er ungebremst und ohne Zustimmung. Prüfe, ob dein Cookie-Banner einen Eintrag für WPForms enthält und ob er den Cookie tatsächlich blockiert, bevor der Besucher zustimmt.
Ein weiterer Fehler ist das unbemerkte Aktivieren von Lite Connect. Beim ersten Einrichten von WPForms Lite fragt das Plugin, ob du Einreichungen in der Cloud sichern möchtest. Wer das bestätigt, hat Lite Connect aktiviert – und damit eine Datenübertragung in die USA eingeschaltet, ohne dass ein Auftragsverarbeitungsvertrag vorliegt. Schau unter WPForms → Einstellungen → Allgemein nach, ob „Entry Backups“ eingeschaltet ist, und deaktiviere es, wenn du es nicht bewusst nutzen willst.
Außerdem vergessen viele Betreiber, WPForms in die Datenschutzerklärung aufzunehmen. Das Formular ist sichtbar, die rechtliche Grundlage dafür fehlt aber in der Datenschutzerklärung. Jedes aktive Formular auf deiner Website braucht einen entsprechenden Eintrag.
DSGVO-Check
Wie erkennst du, ob WPForms auf deiner Website aktiv ist?
WPForms verrät sich durch einen Cookie-Namen. Öffne deinen Browser, rufe eine Seite auf deiner Website auf, auf der ein Formular eingebunden ist, und prüfe die gesetzten Cookies – zum Beispiel über die Entwicklertools deines Browsers (F12 → Anwendung → Cookies) oder mit einem Datenschutz-Scan. Suche nach dem Cookie-Namen _wpfuuid. Wenn dieser Cookie gesetzt wird, bevor der Besucher im Cookie-Banner zugestimmt hat, ist dein Cookie-Banner nicht korrekt konfiguriert.
Alternativ kannst du auch nach dem Cookie-Namen wpfuuid (ohne Unterstrich) suchen – beide Schreibweisen sind in der Praxis im Umlauf.
Wenn du WPForms Lite ohne Pro-Lizenz verwendest, wird kein Cookie gesetzt. Du kannst das trotzdem überprüfen, indem du einen Datenschutz-Scan deiner Website durchführst – der zeigt dir zuverlässig, welche Cookies und Verbindungen beim Seitenaufruf tatsächlich entstehen.
Quellen und weiterführende Links
- WPForms Lite – WordPress.org Plugin-Seite
- WPForms – offizielle Dokumentation (Knowledge Base)
- WPForms – Anleitung zu DSGVO-konformen Formularen
- WPForms – Datenschutzerklärung (mit Angaben zu Lite Connect und wpfuuid)
- WPForms – Lite Connect Dokumentation
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.