Kontaktformular und DSGVO in Österreich: DSB-Pflichten

Ein einfaches Kontaktformular mit Name, E-Mail und Nachricht wirkt harmlos. Trotzdem verarbeitet es personenbezogene Daten. Das löst DSGVO-Pflichten aus, die viele österreichische Websites nicht erfüllen. Prüfen Sie jetzt kostenlos, ob Ihr Kontaktformular die Pflichtangaben enthält: kostenloser DSGVO-Scanner.

Die häufigsten Fehler in der Praxis: kein Datenschutzhinweis direkt beim Formular, keine konkrete Speicherdauer in der Datenschutzerklärung und der Einsatz von Formular-Drittanbietern ohne Auftragsverarbeitungs­vertrag. Die Datenschutzbehörde (DSB) prüft genau diese Punkte in Beschwerdeverfahren.

Der Datenfluss im Überblick

<svg viewBox="0 0 720 220" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="Datenfluss eines DSGVO-konformen Kontaktformulars: Eingabe der Daten, TLS-Übertragung, Speicherung auf dem Server, Aufbewahrungsfrist nach UGB oder BAO, Löschung" style={{ maxWidth: '100%', height: 'auto', border: '1px solid #e5e7eb', borderRadius: '8px', background: '#ffffff' }}>

<title>Datenfluss eines DSGVO-konformen Kontaktformulars</title> <defs> <marker id="arrow-kf" viewBox="0 0 10 10" refX="9" refY="5" markerWidth="7" markerHeight="7" orient="auto-start-reverse"> <path d="M 0 0 L 10 5 L 0 10 z" fill="#1f2937" /> </marker> </defs> <g fontFamily="Inter, system-ui, sans-serif" fontSize="13" fill="#1f2937"> <g transform="translate(20,70)"> <rect width="120" height="80" rx="6" fill="#eff6ff" stroke="#1e3a8a" strokeWidth="1.5" /> <text x="60" y="34" textAnchor="middle" fontWeight="600">1. Eingabe</text> <text x="60" y="54" textAnchor="middle" fontSize="11">Name, E-Mail,</text> <text x="60" y="68" textAnchor="middle" fontSize="11">Nachricht</text> </g> <g transform="translate(160,70)"> <rect width="120" height="80" rx="6" fill="#ecfdf5" stroke="#065f46" strokeWidth="1.5" /> <text x="60" y="34" textAnchor="middle" fontWeight="600">2. Übertragung</text> <text x="60" y="54" textAnchor="middle" fontSize="11">TLS 1.3</text> <text x="60" y="68" textAnchor="middle" fontSize="11">verschlüsselt</text> </g> <g transform="translate(300,70)"> <rect width="120" height="80" rx="6" fill="#fef3c7" stroke="#92400e" strokeWidth="1.5" /> <text x="60" y="34" textAnchor="middle" fontWeight="600">3. Speicherung</text> <text x="60" y="54" textAnchor="middle" fontSize="11">Postfach oder</text> <text x="60" y="68" textAnchor="middle" fontSize="11">CRM-System</text> </g> <g transform="translate(440,70)"> <rect width="140" height="80" rx="6" fill="#fef2f2" stroke="#991b1b" strokeWidth="1.5" /> <text x="70" y="34" textAnchor="middle" fontWeight="600">4. Aufbewahrung</text> <text x="70" y="54" textAnchor="middle" fontSize="11">6 Monate / 7 Jahre</text> <text x="70" y="68" textAnchor="middle" fontSize="11">§ 212 UGB, § 132 BAO</text> </g> <g transform="translate(600,70)"> <rect width="100" height="80" rx="6" fill="#f5f3ff" stroke="#5b21b6" strokeWidth="1.5" /> <text x="50" y="34" textAnchor="middle" fontWeight="600">5. Löschung</text> <text x="50" y="54" textAnchor="middle" fontSize="11">Art. 17</text> <text x="50" y="68" textAnchor="middle" fontSize="11">DSGVO</text> </g> <line x1="140" y1="110" x2="160" y2="110" stroke="#1f2937" strokeWidth="1.5" markerEnd="url(#arrow-kf)" /> <line x1="280" y1="110" x2="300" y2="110" stroke="#1f2937" strokeWidth="1.5" markerEnd="url(#arrow-kf)" /> <line x1="420" y1="110" x2="440" y2="110" stroke="#1f2937" strokeWidth="1.5" markerEnd="url(#arrow-kf)" /> <line x1="580" y1="110" x2="600" y2="110" stroke="#1f2937" strokeWidth="1.5" markerEnd="url(#arrow-kf)" /> <text x="360" y="30" textAnchor="middle" fontWeight="700" fontSize="14">Datenfluss eines DSGVO-konformen Kontaktformulars</text> <text x="360" y="200" textAnchor="middle" fontSize="11" fill="#6b7280">Art. 13 DSGVO greift bereits in Schritt 1, vor Klick auf "Senden".</text> </g> </svg>

Rechtsgrundlage für Kontaktformulare

Die meisten Kontaktformulare verarbeiten Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags oder vorvertragliche Maßnahmen. Wenn jemand Sie über ein Formular kontaktiert, um ein Angebot anzufragen oder Informationen zu erhalten, ist das eine vorvertragliche Maßnahme.

Für Kontaktformulare ohne direkten Vertragsbezug (z.B. allgemeines Feedback) kann auch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) als Grundlage dienen. Das berechtigte Interesse besteht in der sachgerechten Beantwortung von Anfragen Ihrer Interessenten. Eine Einwilligung nach lit. a passt für ein normales Kontaktformular nicht: Eine Einwilligung setzt voraus, dass die Person freiwillig und ohne Nachteil ablehnen kann. Wer eine Anfrage stellen möchte, hat aber keine sinnvolle Alternative zur Dateneingabe.

Vergleichsmatrix: Welche Rechtsgrundlage passt wann?

Eine ausführliche Anleitung zu den Pflichtinhalten Ihrer Datenschutzerklärung finden Sie in Datenschutzerklärung für österreichische Websites.

Art. 13 DSGVO: Die Informationspflicht beim Kontaktformular

Art. 13 DSGVO regelt, welche Informationen Sie einer Person geben müssen, wenn Sie deren Daten direkt bei ihr erheben. Genau das passiert bei jedem Kontaktformular.

Die Informationspflicht greift zum Zeitpunkt der Erhebung, also bevor die Person auf "Senden" klickt. Ein Hinweis nur in der Datenschutzerklärung reicht nicht. Sie müssen die Person an dem Ort informieren, wo die Daten eingegeben werden.

Was Art. 13 Abs. 1 DSGVO mindestens verlangt:

• Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen mit ladungsfähiger Anschrift)
• Zweck der Verarbeitung (Bearbeitung der Anfrage)
• Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO
• Berechtigte Interessen, falls Art. 6 Abs. 1 lit. f die Grundlage ist
• Empfänger der Daten, wenn Drittanbieter eingesetzt werden

Was Art. 13 Abs. 2 DSGVO zusätzlich fordert:

• Speicherdauer oder Kriterien für die Löschung
• Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch)
• Hinweis auf das Beschwerderecht bei der DSB

Das ist viel für einen Kurzhinweis. Die Praxis löst das mit zwei Ebenen: ein kurzer Hinweissatz direkt beim Formular, verbunden mit einem Link zur vollständigen Datenschutzerklärung, die alle Punkte abdeckt.

Der Datenschutzhinweis beim Formular

<svg viewBox="0 0 600 240" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="Beispiel eines DSGVO-konformen Kontaktformulars mit Datenschutzhinweis über dem Senden-Button" style={{ maxWidth: '100%', height: 'auto', border: '1px solid #e5e7eb', borderRadius: '8px', background: '#ffffff', marginTop: '12px' }}>

<title>Beispiel: Datenschutzhinweis beim Kontaktformular</title> <g fontFamily="Inter, system-ui, sans-serif" fontSize="12" fill="#1f2937"> <rect x="20" y="20" width="560" height="200" rx="8" fill="#f9fafb" stroke="#d1d5db" /> <text x="40" y="44" fontWeight="700" fontSize="14">Kontaktieren Sie uns</text> <rect x="40" y="58" width="520" height="26" rx="4" fill="#ffffff" stroke="#d1d5db" /> <text x="50" y="76" fill="#6b7280">Name</text> <rect x="40" y="92" width="520" height="26" rx="4" fill="#ffffff" stroke="#d1d5db" /> <text x="50" y="110" fill="#6b7280">E-Mail</text> <rect x="40" y="126" width="520" height="40" rx="4" fill="#ffffff" stroke="#d1d5db" /> <text x="50" y="142" fill="#6b7280">Nachricht</text> <text x="40" y="186" fontSize="11">Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet (Art. 6 Abs. 1</text> <text x="40" y="200" fontSize="11">lit. b DSGVO). Weitere Informationen in der <tspan fill="#1d4ed8" textDecoration="underline">Datenschutzerklärung</tspan>.</text> <rect x="440" y="180" width="120" height="30" rx="4" fill="#1d4ed8" /> <text x="500" y="200" textAnchor="middle" fill="#ffffff" fontWeight="600">Senden</text> </g> </svg>

Beim Kontaktformular selbst muss ein kurzer Hinweis erscheinen. Dieser informiert über die wesentlichen Verarbeitungs­aspekte direkt an dem Ort, wo die Daten erhoben werden.

Mindestinhalt des Hinweises:

• Wer verarbeitet die Daten (Ihr Unternehmen)
• Zweck (Bearbeitung der Anfrage)
• Rechtsgrundlage (Art. 6 Abs. 1 lit. b oder f DSGVO)
• Link zur vollständigen Datenschutzerklärung

Beispielformulierung:

"Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen in der [Datenschutzerklärung]."

Dieser Hinweis muss sichtbar sein, bevor die Person auf "Senden" klickt. Platzieren Sie ihn direkt über oder unter dem Absende-Button. Text in grauer Schrift, der im Seitenrauschen untergeht, erfüllt die Transparenzpflicht aus Art. 5 Abs. 1 lit. a DSGVO nicht. Die DSB hat in mehreren Bescheiden festgehalten, dass „leicht zugängliche" Informationen auch wirklich lesbar dargestellt werden müssen.

Was kein separates Opt-in braucht

Eine Checkbox "Ich stimme der Datenschutzerklärung zu" ist bei Kontaktformularen rechtlich nicht erforderlich und kann sogar irreführend wirken. Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. b oder f DSGVO gestützt wird, braucht es keine Einwilligung.

Ein Pflicht-Häkchen vor dem Absenden, das auf "Ich habe die Datenschutzerklärung gelesen" lautet, vermittelt den falschen Eindruck, dass eine Einwilligung nötig wäre. Das kann die Rechtsgrundlage konfus machen.

Was Sie brauchen: den Hinweistext, sichtbar beim Formular. Das ist eine Informationspflicht, kein Opt-in.

Datensparsamkeit: Nur abfragen, was Sie wirklich brauchen

Art. 5 Abs. 1 lit. c DSGVO schreibt den Grundsatz der Datenminimierung vor. Sie dürfen nur Daten erheben, die für den Verarbeitungszweck angemessen und auf das notwendige Maß beschränkt sind.

Für ein Kontaktformular bedeutet das: Fragen Sie nur ab, was Sie zur Beantwortung der Anfrage benötigen. In der Regel sind das Name, eine Kontaktmöglichkeit (E-Mail oder Telefon) und die Nachricht selbst.

Folgende Felder sind in den meisten Fällen nicht erforderlich und erhöhen das Risiko ohne Mehrwert:

• Geburtsdatum
• Vollständige Postadresse, wenn kein Postversand geplant ist
• Telefonnummer als Pflichtfeld, wenn E-Mail ausreicht
• Unternehmens­zugehörigkeit bei privaten Anfragen

Felder, die nicht Pflicht sind, müssen als optional gekennzeichnet sein. Erzwingen Sie keine Eingaben, die für den Zweck nicht notwendig sind.

Speicherdauer korrekt angeben: Österreichische Fristen

In Ihrer Datenschutzerklärung muss für Kontaktformulardaten eine konkrete Speicherdauer oder ein konkretes Löschkriterium stehen. Vage Formulierungen wie "solange gesetzlich erforderlich" reichen nicht. Für Österreich gelten andere Fristen als für Deutschland. Wer eine deutsche Vorlage übernimmt, verfehlt die korrekten Statuten.

Aufbewahrungs­fristen im Überblick

Wichtiger Unterschied zu Deutschland: Die österreichische Grundfrist für steuer- und buchführungs­relevante Unterlagen ist 7 Jahre nach § 132 BAO, nicht 10 Jahre wie nach deutschem § 257 HGB oder § 147 AO. Wer ein deutsches Löschkonzept 1:1 übernimmt, behält Daten unnötig lange und verstößt so gegen das Speicherbegrenzungs­prinzip.

Setzen Sie in Ihrem CRM oder E-Mail-Client entsprechende Löschfristen oder Erinnerungen. Wenn Anfragen in einem Ticket-System landen, prüfen Sie, ob dort auch automatische Löschroutinen konfigurierbar sind.

Drittanbieter-Formulare: Auftragsverarbeitung nach Art. 28 DSGVO

Wenn Sie ein externes Formular-Tool verwenden, etwa Typeform, JotForm, Formspree oder Netlify Forms, übermitteln Sie Formulardaten an einen Drittanbieter. Das ist eine Auftragsverarbeitung nach Art. 28 DSGVO.

Das bedeutet:

1. Auftragsverarbeitungs­vertrag (AVV) mit dem Formular-Anbieter abschließen
2. Datenschutzerklärung muss den Anbieter und einen möglichen Datentransfer erwähnen
3. Bei US-Anbietern: Rechtsgrundlage für Drittlandtransfer prüfen (EU-US Data Privacy Framework, Standard­vertrags­klauseln nach Art. 46 DSGVO)

Für WordPress Contact Form 7: Das Plugin selbst speichert Formulardaten in der WordPress-Datenbank, also auf Ihrem eigenen Server. Kein externer Anbieter, kein AVV nötig. Wenn Contact Form 7 aber mit Flamingo oder einer Mailchimp-Integration genutzt wird, ändert sich das.

Für Google Forms: Google verarbeitet die Daten. Der AVV muss über Google Workspace abgeschlossen werden. Für kommerzielle Nutzung auf einer Business-Website ist Google Forms ohne AVV nicht DSGVO-konform. Die DSB hat in mehreren Verfahren festgehalten, dass Drittland­transfers ohne dokumentierte Rechtsgrundlage einen eigenständigen Verstoß darstellen.

reCAPTCHA und Honeypot: Spam-Schutz im Vergleich

Viele Kontaktformulare nutzen Google reCAPTCHA, um Spam zu reduzieren. reCAPTCHA überträgt Verhaltensdaten und Cookies an Google-Server in den USA, noch bevor die Person die Anfrage absendet.

Das erfordert mindestens:

• Erwähnung in der Datenschutzerklärung (Google reCAPTCHA, Datenübermittlung an Google, Zweck: Spam-Schutz)
• Angabe der Rechtsgrundlage für diese Verarbeitung
• AVV oder Hinweis auf das EU-US Data Privacy Framework

reCAPTCHA v3 beobachtet das Nutzerverhalten passiv und dauerhaft auf der gesamten Seite. Die DSB hat in ihren Cookie-Leitlinien darauf hingewiesen, dass passive Tracking-Technologien typischerweise Einwilligungs­pflichten nach § 165 Abs. 3 TKG 2021 auslösen können. Mehr dazu in Cookie-Einwilligung nach TKG 2021.

Die datenschutz­freundliche Alternative: Honeypot-Felder

Ein Honeypot ist ein verstecktes Formularfeld, das für menschliche Nutzer:innen nicht sichtbar ist, aber von Spam-Bots ausgefüllt wird. Wenn das Feld beim Absenden einen Wert enthält, wird die Anfrage verworfen.

Honeypot-Felder:

• Übertragen keine Daten an Dritte
• Benötigen keine Einwilligung
• Sind in Datenschutz­erklärungen nicht erwähnungs­pflichtig
• Funktionieren für die meisten einfachen Spam-Szenarien zuverlässig

Für Websites mit hohem Spam-Aufkommen ist Friendly Captcha (europäischer Anbieter) eine datenschutz­freundlichere Option. Auch dort ist ein AVV nötig, aber die Datenverarbeitung bleibt in der EU.

Newsletter-Versand und Kontaktformular trennen

Wer über ein Kontaktformular eine Anfrage stellt, stimmt nicht dem Erhalt von Newsletters oder Werbung zu. Für Newsletter-Versand brauchen Sie eine separate Einwilligung im Double-Opt-in-Verfahren.

In Österreich gilt zusätzlich § 174 TKG 2021 (vormals § 107 TKG 2003): unaufgeforderte elektronische Direktwerbung an natürliche Personen ohne vorherige Einwilligung ist verboten. Für B2C-Kontakte schlägt eine Verletzung doppelt zu Buche, denn auch die DSGVO greift parallel. Wenn Sie auf dem Kontaktformular eine Newsletter-Anmeldung mit anbieten wollen, dann nur als optionales, vorab unangekreuztes Feld mit eigener Einwilligungs­handlung. Details in Newsletter und DSGVO in Österreich.

Was passiert bei Verstößen: Durchsetzung in Österreich

Anders als in Deutschland gibt es in Österreich kein verbreitetes Abmahnwesen durch Wettbewerber. Die Hauptdurchsetzung läuft über drei Schienen:

Datenschutzbehörde (DSB) als zentrale Aufsicht. Die DSB in der Barichgasse 40-42 in Wien ist die einzige nationale Aufsichts­behörde nach §§ 18 ff. DSG. Sie nimmt Beschwerden entgegen, prüft Bescheide und kann Geldbußen nach Art. 83 DSGVO (bis 4 % des Jahres­umsatzes oder EUR 20 Mio.) und nach § 62 DSG (bis EUR 25.000 für DSG-spezifische Verstöße) verhängen. Im Datenschutz­bericht 2024 berichtete die DSB 73 Verwaltungs­straf-Bescheide mit einer Gesamtsumme von EUR 1,68 Mio. Wie ein DSB-Verfahren genau abläuft, lesen Sie in DSB-Bescheide verstehen.

Bundesverwaltungs­gericht (BVwG). Gegen DSB-Bescheide kann innerhalb von vier Wochen Bescheid­beschwerde erhoben werden. Das BVwG entscheidet in der Sache neu.

VKI-Verbandsklagen nach § 28a KSchG. Der Verein für Konsumenten­information klagt typischerweise Klauseln und Praktiken, kann aber auch konsumentenrechtlich relevante Datenschutz­mängel rügen.

Die DSB prüft bei Beschwerden typischerweise:

• Liegt ein Datenschutzhinweis beim Formular vor?
• Ist die Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO korrekt benannt?
• Gibt es einen AVV mit dem Formular-Anbieter?
• Ist die Speicherdauer in der Datenschutzerklärung konkret angegeben?
• Wird über das Beschwerderecht bei der DSB informiert?

Fehlende Pflichtangaben sind keine Bagatelle und können DSB-Bescheide mit Geldbußen nach sich ziehen. Die genaue Höhe hängt von Schwere und Vorsatz ab.

E-Mail als Alternative

Manche Website-Betreiber:innen überlegen, ein Kontaktformular ganz durch eine E-Mail-Adresse zu ersetzen. Datenschutz­rechtlich ist eine sichtbare E-Mail-Adresse einfacher: kein Drittanbieter, keine Cookie-Problematik, kein AVV. Der Nachteil ist mehr Spam.

Eine praktische Lösung: E-Mail-Adresse als Text sichtbar lassen und ein einfaches HTML-Formular ohne externe Skripte nutzen. Das minimiert den DSGVO-Aufwand erheblich.

Checkliste: Kontaktformular DSGVO-Kontrolle

• Datenschutzhinweis sichtbar direkt beim Formular, vor dem Absende-Button
• Rechtsgrundlage nach Art. 6 Abs. 1 lit. b oder f DSGVO im Hinweis genannt
• Link zur vollständigen Datenschutzerklärung beim Hinweis
• Keine Checkbox "Datenschutzerklärung gelesen" erzwingen
• Pflichtfelder auf das Notwendige reduziert
• Konkrete Speicherdauer in der Datenschutzerklärung (Bezug auf § 212 UGB / § 132 BAO bei Vertragsbezug)
• AVV mit jedem Formular-Drittanbieter
• Drittland­transfer dokumentiert (EU-US Data Privacy Framework oder Standard­vertrags­klauseln)
• Beschwerderecht bei der DSB im Datenschutz­hinweis erwähnt
• reCAPTCHA durch Honeypot oder Friendly Captcha ersetzt, wo möglich
• Newsletter-Anmeldung als separates, unangekreuztes Feld mit eigener Einwilligung

Prüfen Sie jetzt, ob Ihr Kontaktformular alle Pflichtangaben enthält: Website kostenlos scannen.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutz­fachperson oder Rechtsanwält:in in Österreich.