Sie haben ein CAPTCHA in Ihr Kontaktformular eingebaut – und trotzdem landet Spam in Ihrem Posteingang. Das ist kein Einzelfall. CAPTCHAs lösen ein eng begrenztes Problem: automatisierte Bots. Den weitaus größeren Teil des Kontaktformular-Spams machen heute menschlich verfasste Kaltakquise-Mails aus – und die passieren jedes CAPTCHA ungehindert.

Was CAPTCHAs tatsächlich blockieren

Ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) prüft, ob eine Formularabsendung von einem Menschen oder einem Skript stammt. Das funktioniert bei:

• Automatisierten Bots, die Formulare massenhaft ausfüllen
• Credential-Stuffing-Skripten mit immer gleichen Eingaben
• Spam-Bots, die identische Nachrichten auf tausende Seiten posten

Für diese Fälle ist ein CAPTCHA sinnvoll. Das Problem: Diese Bot-Angriffe sind für die meisten kleinen und mittleren Unternehmen heute nicht mehr die Hauptquelle von Formular-Spam.

Das eigentliche Problem: menschliche Kaltakquise

Sobald Ihre Website öffentlich erreichbar ist, treffen andere Nachrichten ein:

• SEO-Agenturen, die Ihnen ein besseres Google-Ranking versprechen
• Webdesigner und Entwickler auf Akquise-Tour
• Linkbuilding-Anfragen
• Kaltakquise verkleidet als echte Anfrage: „Ich finde Ihr Unternehmen sehr interessant – können wir sprechen?"

Jede dieser Nachrichten besteht das CAPTCHA mühelos, weil ein Mensch dahinter steckt. Ein CAPTCHA bewertet keine Absicht – es prüft nur, ob eine menschliche Hand am Werk war.

Für viele Unternehmen macht menschliche Kaltakquise inzwischen den Großteil der Formular-Einsendungen aus. Das CAPTCHA löst das Kernproblem nicht. Welche Muster dabei typisch sind und wie man sie erkennt, beschreibt der Artikel Kaltakquise aus dem Kontaktformular automatisch filtern.

Warum formularbasierte Filter ebenfalls an Grenzen stoßen

Einige CMS-Plugins und Formular-Baukästen bieten einfache Spam-Filter: Keyword-Sperrlisten, IP-Blockierungen oder Akismet-Integration. Das ist besser als nichts – hat aber klare Schwächen:

• Keyword-Listen veralten schnell – Verkäufer passen ihre Formulierungen laufend an.
• Plattformgebunden – Ein Filter in Contact Form 7 schützt nicht Ihr Jimdo-Formular, Ihr Typeform oder ein benutzerdefiniertes HTML-Formular auf einer anderen Seite.
• Keine Absichtsanalyse – Das Wort „SEO" zu sperren blockiert auch echte Nutzeranfragen zum Thema.

Das CAPTCHA-Problem aus DSGVO-Sicht

Ein weiterer Aspekt, der in Deutschland besondere Aufmerksamkeit verdient: Google reCAPTCHA überträgt Nutzerdaten in die USA und gilt damit als datenschutzrechtlich problematisch. Der Europäische Gerichtshof hat das EU-US Privacy Shield für ungültig erklärt; Aufsichtsbehörden haben mehrfach Google-Dienste auf europäischen Websites beanstandet.

Wer reCAPTCHA einsetzt, sollte in der Datenschutzerklärung ausdrücklich darauf hinweisen und ggf. eine Einwilligung einholen – ein Mehraufwand, der den Nutzen des CAPTCHAs weiter relativiert. Eine ausführliche Einordnung der rechtlichen Lage bietet DSGVO und Kontaktformular-Spam: Die datenschutzkonforme Lösung.

Filterung auf der E-Mail-Ebene: ein besserer Ansatz

Eine wirkungsvollere Methode verschiebt die Filterung vom Formular auf die E-Mail-Ebene – also dorthin, wo die Formular-Benachrichtigung ankommt, bevor sie Ihren Posteingang erreicht.

So funktioniert es in der Praxis:

1. Statt Formular-Einsendungen direkt an Ihre Arbeits-E-Mail zu senden, leiten Sie sie an eine dedizierte Filter-Adresse weiter.
2. Jede eingehende Nachricht wird von einer KI analysiert – Betreff, Inhalt, Absicht – nicht nur nach Stichwortern.
3. Als legitim eingestufte Nachrichten werden an Ihren echten Posteingang weitergeleitet. Spam und Kaltakquise werden blockiert und in einem Übersichts-Dashboard gespeichert.

Da die Filterung nach der Absendung und vor Ihrem Posteingang stattfindet, funktioniert sie unabhängig davon, welchen Formular-Baukasten Sie verwenden. Sie ändern nur eine einzige Einstellung: die Empfänger-E-Mail-Adresse in Ihren Formular-Einstellungen.

DSGVO-Vorteil dieser Methode

Beim E-Mail-Layer-Ansatz werden keine personenbezogenen Daten im Formular selbst verarbeitet. Die KI-Analyse erfolgt auf der E-Mail, die Ihr Server bereits erstellt hat – nicht auf dem Eingabeformular des Nutzers. Das vereinfacht die datenschutzrechtliche Einordnung erheblich: Es gibt keinen Drittanbieter-Code, der beim Laden des Formulars ausgeführt wird und Nutzerdaten überträgt.

So funktioniert es in der Praxis

WordPress mit Contact Form 7: Sie tragen in den CF7-Einstellungen statt Ihrer eigenen E-Mail-Adresse die Filter-Adresse ein. Kein Plugin-Wechsel, keine Code-Änderung.

Jimdo, Squarespace oder Webflow: Formular-Benachrichtigungen gehen an eine andere Adresse – fertig.

Benutzerdefiniertes HTML-Formular: Ihr Backend versendet eine Benachrichtigungs-E-Mail. Diese leiten Sie an die Filter-Adresse weiter.

TYPO3, Contao, Joomla: Dieselbe Logik gilt für jeden Formular-Baukasten, der E-Mail-Benachrichtigungen verschickt.

Der Filter wertet nur die E-Mail aus – nicht das Formular, das System dahinter oder die IP-Adresse des Absenders.

Zusammenfassung

CAPTCHAs blockieren Bots – mehr nicht. Der überwiegende Teil des Kontaktformular-Spams ist heute menschlich verfasste Kaltakquise, die jedes CAPTCHA passiert. Zusätzlich bringen klassische CAPTCHAs wie Google reCAPTCHA in Deutschland DSGVO-Risiken mit sich. Filterung auf der E-Mail-Ebene löst beide Probleme: Sie analysiert Absicht statt Eingabeformat, funktioniert mit jedem Formular-Baukasten und verzichtet auf Drittanbieter-Skripte im Frontend.

Wenn Sie das ausprobieren möchten: formpuppy macht genau das – KI-basierte Filterung, keine Code-Änderungen, kompatibel mit jedem Formular, das E-Mail-Benachrichtigungen versendet.

Häufig gestellte Fragen

Muss ich mein CAPTCHA entfernen, wenn ich E-Mail-Layer-Filterung nutze?

Nein. Beide Ansätze schließen sich nicht gegenseitig aus. CAPTCHAs reduzieren das Bot-Volumen; E-Mail-Layer-Filterung fängt menschlich verfassten Spam und Kaltakquise auf. Viele Teams behalten das CAPTCHA zunächst bei und entscheiden dann, ob sie es zugunsten einer besseren Nutzererfahrung abschalten.

Was passiert, wenn eine echte Anfrage fälschlicherweise als Spam eingestuft wird?

Blockierte Nachrichten werden in einem Dashboard gespeichert und sind jederzeit einsehbar. Sie können falsch klassifizierte Nachrichten als legitim markieren – das verbessert die Genauigkeit des Filters über die Zeit.

Ist diese Methode DSGVO-konform?

Die E-Mail-Layer-Filterung verarbeitet keine personenbezogenen Daten im Formular selbst. Die Analyse erfolgt auf der bereits versandten E-Mail-Benachrichtigung. Es gibt keinen Drittanbieter-Code, der beim Laden der Seite ausgeführt wird. Wie bei allen Diensten, die E-Mails verarbeiten, sollten Sie den Anbieter in Ihrer Datenschutzerklärung nennen und ggf. einen Auftragsverarbeitungsvertrag abschließen.

Funktioniert das auch mit deutschen Formularen und deutschen E-Mails?

Ja. KI-basierte Filterung ist sprachunabhängig und erkennt Spam- und Kaltakquise-Muster auf Deutsch ebenso wie in anderen Sprachen.

Wie aufwändig ist die Einrichtung?

Die Einrichtung dauert in der Regel unter fünf Minuten: Konto erstellen, Projekt anlegen, Filter-E-Mail-Adresse als Benachrichtigungsziel in Ihrem Formular eintragen. Es sind keine Code-Änderungen erforderlich.