Kontaktformular-Spam ist lästig – doch viele der gängigen Schutzlösungen bringen ein zweites Problem mit sich: sie verstoßen gegen die DSGVO. Google reCAPTCHA, bestimmte Analyse-Plugins und externe Filter-Dienste übertragen Nutzerdaten in Drittstaaten, ohne dass Websitebetreiber dies ausreichend absichern. Dieser Artikel erklärt, worauf Sie achten müssen und welcher Ansatz Spam effektiv filtert, ohne Datenschutzrisiken zu erzeugen.

Warum Spam-Schutz und DSGVO oft in Konflikt geraten

Die DSGVO (Datenschutz-Grundverordnung) verlangt, dass personenbezogene Daten von EU-Bürgerinnen und -Bürgern nur unter strengen Voraussetzungen in Drittstaaten übertragen werden dürfen. Viele verbreitete Spam-Schutzlösungen senden jedoch beim Laden oder Absenden des Formulars Daten an Server außerhalb der EU – typischerweise in die USA.

Das betrifft unter anderem:

• Google reCAPTCHA v2 und v3: Überträgt IP-Adressen, Browser-Fingerprints und Verhaltensprofile an Google-Server in den USA. Mehrere deutsche Datenschutzbehörden und der EuGH haben die Rechtsgrundlage für solche Übertragungen in Frage gestellt.
• Akismet: Der Dienst von Automattic (USA) überträgt Formularinhalte inklusive Absenderdaten zur Analyse an US-Server.
• Cloudflare Turnstile: Obwohl datenschutzfreundlicher als reCAPTCHA, erfolgt die Verarbeitung ebenfalls außerhalb der EU.

Die Folge: Wer diese Dienste ohne entsprechende Absicherung (Standard-Vertragsklauseln, Auftragsverarbeitungsvertrag, informierte Einwilligung) einsetzt, riskiert Abmahnungen und Bußgelder.

Was die DSGVO für Kontaktformulare konkret bedeutet

Für das Kontaktformular selbst gelten folgende Grundsätze:

• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Nur die Felder abfragen, die für die Beantwortung der Anfrage tatsächlich nötig sind.
• Transparenz (Art. 13 DSGVO): Ein Hinweis auf die Datenverarbeitung direkt am Formular ist Pflicht.
• Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Jeder externe Dienst, der Formular- oder E-Mail-Daten verarbeitet, benötigt einen AVV.
• Drittstaatentransfer (Art. 44 ff. DSGVO): Übertragungen in Nicht-EU-Länder sind nur unter bestimmten Voraussetzungen zulässig.

Kurz gesagt: Jede Software, die beim Laden oder Absenden des Formulars auf externe Server zugreift, ist datenschutzrechtlich relevant.

DSGVO-konforme Spam-Schutz-Methoden im Vergleich

| Methode | Funktionsweise | DSGVO-Risiko | |---|---|---| | Google reCAPTCHA | Verhaltensanalyse, US-Server | Hoch | | FriendlyCaptcha (DE) | Proof-of-Work, EU-Server | Gering | | Honeypot-Felder | Verstecktes Formularfeld für Bots | Keines | | Zeitbasierte Validierung | Erkennt schnelle Bot-Absendungen | Keines | | Akismet | KI-Filter, US-Server | Mittel–Hoch | | E-Mail-Layer-Filterung | Analyse nach Versand der E-Mail | Gering (kein Frontend-Code) |

Honeypot-Felder und zeitbasierte Validierung sind technisch einfach und erzeugen keinerlei Datenschutzrisiko – stoppen aber ausschließlich einfache Bots, keine menschliche Kaltakquise. Warum das für viele Unternehmen das eigentliche Problem ist, erklärt Kaltakquise aus dem Kontaktformular automatisch filtern. Einen Gesamtüberblick über alle Filteransätze bietet Kontaktformular-Spam filtern: Warum CAPTCHA allein nicht reicht.

E-Mail-Layer-Filterung: datenschutzfreundlich durch Architektur

Der wesentliche Unterschied zwischen klassischen Spam-Filtern und der Filterung auf E-Mail-Ebene liegt darin, wann und wo die Verarbeitung stattfindet:

• Klassische CAPTCHAs und Form-Filter: Drittanbieter-Code wird beim Laden der Seite oder beim Absenden des Formulars ausgeführt. Nutzerdaten (IP, Browser, Eingaben) verlassen den Browser des Nutzers und gehen an externe Server.
• E-Mail-Layer-Filterung: Die Verarbeitung findet statt, nachdem Ihr eigener Server die Benachrichtigungs-E-Mail erstellt hat. Der Nutzer des Formulars ist an diesem Schritt nicht mehr beteiligt. Es gibt keinen Drittanbieter-Code im Frontend.

Das bedeutet in der Praxis:

1. Ihr Kontaktformular bleibt technisch unverändert.
2. Die Benachrichtigungs-E-Mail geht statt an Ihre persönliche Adresse an eine dedizierte Filter-Adresse.
3. Eine KI analysiert den Inhalt und leitet legitime Nachrichten weiter.

Aus DSGVO-Sicht müssen Sie dennoch einen Auftragsverarbeitungsvertrag mit dem Anbieter abschließen und ihn in Ihrer Datenschutzerklärung nennen – genau wie bei jedem anderen E-Mail-Dienstleister auch. Ein Drittanbieter-Skript im Frontend entfällt jedoch vollständig.

Praktische Einrichtung: Schritt für Schritt

1. Anbieter wählen: Achten Sie auf einen AVV, Serverstandort in der EU und klare Datenschutzerklärung.
2. Projekt anlegen: Sie erhalten eine dedizierte E-Mail-Adresse (z. B. ihr-projekt@formpuppy.com).
3. Formular-Einstellungen anpassen: Tragen Sie diese Adresse als Benachrichtigungs-E-Mail in Ihrem Formular-Baukasten ein – in WordPress, Jimdo, Webflow oder jedem anderen System.
4. Weiterleitungsadresse hinterlegen: Legitime E-Mails werden automatisch an Ihre echte Arbeits-E-Mail weitergeleitet.
5. Datenschutzerklärung aktualisieren: Den Dienst als Auftragsverarbeiter aufführen und den AVV abschließen.

Die Einrichtung dauert typischerweise unter zehn Minuten. Code-Änderungen sind nicht erforderlich.

Zusammenfassung

Spam-Schutz und DSGVO-Konformität schließen sich nicht aus – aber viele populäre Lösungen machen es unnötig kompliziert. Google reCAPTCHA und ähnliche Dienste übertragen Nutzerdaten in die USA und erfordern zusätzliche rechtliche Absicherung. Honeypots und zeitbasierte Validierung sind datenschutzfreundlich, stoppen aber nur Bots. E-Mail-Layer-Filterung kombiniert effektive KI-Analyse mit einem schlanken Datenschutz-Fußabdruck: kein Frontend-Code, kein Drittanbieter-Skript beim Laden des Formulars, nur ein AVV mit dem Dienstleister.

formpuppy bietet genau diesen Ansatz: KI-basierte Filterung auf E-Mail-Ebene, kompatibel mit jedem Formular-Baukasten, ohne Code-Änderungen.

Häufig gestellte Fragen

Ist Google reCAPTCHA in Deutschland verboten?

Nicht generell verboten, aber rechtlich riskant ohne korrekte Absicherung. Mehrere Datenschutzbehörden haben reCAPTCHA beanstandet, weil es Nutzerdaten in die USA überträgt. Wer reCAPTCHA einsetzt, benötigt eine Einwilligung der Nutzenden und muss den Datentransfer in der Datenschutzerklärung ausweisen.

Brauche ich für E-Mail-Layer-Filterung einen Auftragsverarbeitungsvertrag?

Ja. Jeder externe Dienst, der Inhalte aus Formular-E-Mails verarbeitet, ist ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein seriöser Anbieter stellt einen AVV bereit.

Was ist der DSGVO-Vorteil gegenüber reCAPTCHA?

Bei der E-Mail-Layer-Filterung lädt kein Drittanbieter-Code beim Seitenaufruf. Der Nutzer des Formulars überträgt keine Daten an externe Server. Die Verarbeitung betrifft ausschließlich die E-Mail-Benachrichtigung, die Ihr Server bereits erstellt hat.

Welche Felder darf ein Kontaktformular laut DSGVO abfragen?

Nur die Felder, die für die Bearbeitung der Anfrage tatsächlich notwendig sind (Datenminimierungsprinzip). In der Regel sind das E-Mail-Adresse und Nachrichtentext. Name und Telefonnummer sind optional, müssen aber als freiwillig gekennzeichnet sein.

Muss ich den Spam-Filter-Dienst in der Datenschutzerklärung nennen?

Ja. Als Auftragsverarbeiter muss der Dienst in der Datenschutzerklärung aufgeführt werden. Zudem ist ein direkter Hinweis am Formular auf die Datenverarbeitung Pflicht.