Warum ich Contact Form 7 nicht mehr verwendet habe, aber jetzt doch wieder einsetze!

von | 11. Januar 2017 | 25 Kommentare

Kontaktformulare und der Datenschutz

Bei vielen Websites sind Kontakt Seiten und entsprechende Kontaktformulare installiert. Allerdings hat sich in der Rechtsprechung wieder einiges getan, was einen dringenden Handlungsbedarf erzeugt. Die einen drohen mit einem Bußgeld und die anderen mit einer Abmahnung. Aber eins nach dem anderen.

Update: Inzwischen hat sich mit der neuen EU Datenschutz-Grundverordnung einiges verändert. Die Informationen, auf dem dieser Artikel beruhte, sind nun nicht mehr so zu interpretieren bzw. bekommen durch die DSGVO eine neue Wendung.

Verschlüsselung

In dem Beitrag „Bußgeld für Kontaktformulare ohne Verschlüsselung“ von der Website datenschutzbeauftragter-info.de wird bereits am 30.11.2015 darauf hingewiesen, das:

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Quelle: https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/

Wichtig ist eben, das jedes Kontaktformular, auch das Optin der Newsletter, personenbezogene Daten mittels der Website verschickt. Da reicht bereits die E-Mail Adresse, die verschickt wird. Überträgt also die Website diese Daten unverschlüsselt, dann verstößt dies gegen geltendes Recht und kann zu einem Bußgeld führen.

Hier ist also angesagt, endlich seine Website auf den verschlüsselten Datenaustausch (https) umzustellen. Viele Provider bieten inzwischen Zertifikate kostenlos an oder Du kannst ein kostenloses Zertifikat von LetsEncrypt einbinden. Woher Du ein SSL Zertifikat bekommst und was Automattic als Betreiber von WordPress.com damit zu tun hat, erfährst Du hier (Link). Ich kann Dich gerne dabei unterstützen, da das mit WordPress nicht ganz so einfach ist.

Nachweispflicht [Update zur EU-DSGVO]

Bei dem Newsletter Double Optin Verfahren muss man nachweisen, das diese Bestätigung erfolgt ist. Bei der Übermittlung personenbezogener Daten, muss man nachweisen können, das derjenige die Datenschutzerklärung gelesen und verstanden hat. Erstmal benötigt man also ein Feld, das vom Benutzer abgehakt werden kann und das als zwingend deklariert wird und zum Schluss, muss sich das System auch noch merken, das derjenige den Haken gesetzt hat. In der Datenschutzerklärung sollte natürlich der Passus zum Kontaktformular nicht fehlen.

Hier noch ein weiterer Artikel zum Thema von it-recht-kanzlei.de.

Es gilt übrigens auch, das man nur so viele Daten abfragt, wie unbedingt notwendig sind. Bei einem einfachen Kontaktformular sollte nur die E-Mail Adresse zwingend sein, und natürlich die Nachricht.

Mit der DSGVO wurde das ganz nochmal anders beleuchtet und viele Anwälte kommen inzwischen zu der Meinung, das eine Einwilligung (was so ein Opt-In darstellt) einem nicht dient. Dazu hier der Artikel vom Datenschutz Guru: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

Nach der allgemeinen Auffassung von Rechtsanwäten ist in diesem Fall die Rechtsgrundlage zur Erfassung der personenbezogenen Daten Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung Absatz 1 Punkt b vorvertragliche Maßnahmen.

Ein rechtssicheres Kontaktformular

Nun betrachten wir uns mal das meist verwendete Kontakt Formular Plugin von WordPress mit mehr als einer Million Installationen:

Das Plugin speichert keine Daten in der Datenbank und somit ist ein Einsatz in Deutschland nicht möglich, da der Nachweis fehlt. Als Erweiterung zu Contact Form 7 gibt es das Plugin Flamingo, das die Informationen in der Datenbank ablegt. Ich habe das nicht getestet, da mir Contact Form 7 schon nicht so gut gefallen hatte:

Da man eben nun doch keine Einwilligung benötigt, ist es gemäß DSGVO sinnvoll, die Daten eben nicht nochmal in der Datenbank zu hinterlegen. Das erschwert dann hinterher nur die Löschung, wenn es notwendig werden sollte. Allerdings sind jetzt weiterhin Hinweise zur Datenverarbeitung und den Link zur Datenschutzerklärung notwendig. Beispiele dazu liefert Dr. Schwenke auf seiner Website: https://drschwenke.de/service/kontakt/

Mögliche Plugin Alternativen

Ich habe Ninja Forms ausprobiert:

Ich finde die Bedienung deutlich angenehmer als bei Contact Form 7. In der Free Version kann ich zar nicht so viel am Layout ändern, aber ich kann sehr leicht eine Checkbox für das Thema Nachweis einbauen und die Daten werden direkt in der Datenbank abgelegt.

Nach der Aktivierung ist auch ein fertiges Kontaktformular vorhanden, auf dem man aufsetzen kann. Die Gestaltung ist jetzt seit der Version 3 noch viel einfacher geworden.

Mit der älteren Version hatte ich einige Probleme beim Design und einbinden des CSS. Diese sind wohl ausgeräumt. Hiermit ist die Erstellung eines Datenschutzkonformen Formulars einfach möglich (Link zur Datenschutzerklärung nicht vergessen). Das ganze sieht dann so aus:

Jetzt nach in Kraft treten der EU-DSGVO ohne explizite Einwilligung:

 

 

Mögliche Alternativen der Kontaktaufnahme

Als ich mich mit einer Webdesignerin unterhalten hatte, kamen wir auch auf das Thema Kontaktformular. Die Leute sind faul geworden und füllen einfach gar nicht gerne Formulare aus. Außerdem heißt es ja im Gesetzestext, das man nur die Daten anfordern darf, die zur Ausführung des Auftrags notwendig sind. Also eigentlich eh nur die E-Mail Adresse und ein Feld um was rein zu schreiben. Mal ganz ehrlich wie viele Eurer Kunden haben Euch über das Kontaktformular zum ersten Mal angesprochen. Meine Designerin sagte, das die Anzahl der Kontakte durch Umstellung auf ein Termin Plugin um den Faktor 7 höher geworden ist. Was allerdings nicht zu mehr Kunden geführt hätte.

Stelle ich mir also die Frage, ob es überhaupt sinnvoll ist, ein Kontaktformular zu haben.

Mailto Link

Meine Antwort ist eher nein und daher hier mal ein kleiner Tipp für die Einbindung eines Mailto Buttons. Bei einem Mailto Button wird das E-Mail Programm des Benutzers aufgerufen, was auch auf jedem Smartphone oder Tablet funktioniert. Nur die, die kein E-Mail Programm auf Ihrem Desktop PC installiert haben, haben damit etwas Probleme, aber können dann die E-Mail Adresse einfach kopieren. Damit ist der Benutzer in seiner gewohnten Umgebung und man kann ihm über den Mailto Link sogar gleich das Subjekt mit liefern:

Mailto mit Thunderbird

Dazu muss ich folgendes in meinen Link einfügen:

mailto:wolfram@wolfspress.de?subject="Ich%20möchte%20Dich%20sprechen!"

Damit bist Du auch aus der Verantwortung, die Übermittlung der Daten zu verschlüsseln oder das Lesen der Datenschutzerklärung zu protokollieren. Er benutzt sein E-Mail Programm und schreibt Dir eine Nachricht.

Fazit

Ich selbst verwende für mich und meine Kunden kein Contact Form 7 mehr. Lässt sich der Einsatz eines Kontaktformulars vermeiden, rate ich eher zu der mailto Button Alternative. Auch bei Terminbuchungen kommt man zu dem selben Problem, das man personenbezogene Daten erfasst.

Ich habe jetzt für diesen Beitrag mein Kontaktformular wieder reaktiviert (Link). Inzwischen hatte ich ein kostenfreies SSL Zertifikat von Let’s Encrypt eingerichtet und somit liefert meine Seiten ihre Daten verschlüsselt aus. Inzwischen habe ich mit einem Kollegen über sein Kontaktformular gesprochen, da dieses recht komplex ist und viele Daten anfordert. Er nutzt es dafür, gleich möglichst viele Angaben über die Anforderungen und Probleme zu ermitteln. Er sagte mir, das er einen Großteil seiner Aufträge über dieses Formular generiert.

Also ein Thema viele Meinungen. Hier habe ich Euch gezeigt, was möglich ist und was Ihr im Bezug auf den Datenschutz beachten solltet. Mich würde nun interessieren, ob Euer Kontaktformular Euch neue Anfragen liefert.

25 Kommentare

    • „…, sofern man das Plugin grundsätzlich mag.“

      Genau Torsten, das ist bei mir das Problem. Nachdem ich das 20zigste Mal darum gebeten wurde, die CF7 Einstellungen nach dem Update zu überprüfen und er trotz richtiger Einstellungen immer noch meckerte, habe ich mich eh nach einer alternativen umgeschaut. Leider war Ninja Forms am Anfang eben auch nicht der Hit und bei einer Seite ist es gleich ganz ohne CSS angezeigt worden. Jetzt mit der Dreier Version sieht es deutlich besser aus. Ich überlege mir die Pro Version zu holen, da die Anbindung an Trello nochmal eine geniale Sache ist.

      Gruß
      Wolfram

  1. Hallo Wolfram, nach deinem Beitrag hier werde ich nun auch auf den Mailto Link umsteigen…
    Nun, dann habe ich ja noch eine Menge zu tun 😉
    LG Tina

    • Welche Erfahrungen hast Du denn mit Deinem Kontaktformular gemacht?

  2. Ich nutze keine Kontaktformulare, alleine schon wegen diesem Datenschutz!
    Die Mailto Link Alternative halte ich für eine saubere Lösung. Ehrlich gesagt fühle ich mich als User auch wohler, wenn ich im eigenen Mailprogramm eine Mail schicken kann.
    Liebe Grüße Tina

  3. Ich verwende Kontakt Form 7 auch nicht, da ich es nicht zum Laufen gebracht habe, trotz mehrmaliger Nachfrage im Forum. Zuerst fiel das Formular in eine Endlosschleife beim Absenden. Nach einem technischen Tipp ging das dann, aber die Daten des Formulars kam nie an.
    So stellte ich auf Ninja-Forms um, das funktionierte von Anfang an problemlos.
    Nach Ihrem Artikel verzichte ich vermutlich ganz auf Kontaktformulare. So nebenbei: In der Schweiz sind die Vorschriften nicht so streng.

  4. Leider hat der Author dieses Artikels den Fehler gemacht und die Rechtsprechung so ausgelegt das Sie zwar toll in seinen Artikel passt aber eben nicht ins deutsche Recht. Ein Kontaktformular muss seine Daten überhaupt nicht zwingend in der DB ablegen, ebensowenig darf man nicht vergessen, das ein Kontaktformular durchaus seine Darseinsberechtigung hat, denn es gibt sehr viele Internetnutzer die entweder kein eigenes Mailprogramm installiert haben und für die ein sollches Formular eben desswegen äußerst praktisch ist und außerdem gibt es genügend IT-Szenarien in denen das verwänden einer eigenen privaten Mailadresse vollkommen unmöglich ist. Somit finde ich diesen Artikel wenig durchdacht.
    Kontaktform7 genügt den rechtlichen Anforderungen vollauf, und ob man nun klicky bunti oder Quellcode zum bearbeiten haben mag, ist jedem selbst überlassen.

    • Hallo Tim,
      der Autor des Artikels sollte eigentlich Wolfram sein – Danke für den Hinweis.

      Die deutsche Rechtsprechung sagt, das man nachweisen können muss, das der Absender des Formulares, den Haken bei „Datenschutzerklärung gelesen und verstanden“ gesetzt hat. Somit kannst Du natürlich alle E-Mails aufheben, was das wieder auffinden nicht leichter macht. Also ist es meines Erachtens sinnvoller die Daten gleich in der Datenbank der Website zu hinterlegen, was mit Contact Form 7 nicht direkt geht.

      Ich verstehe allerdings die Bemerkung mit der privaten E-Mail nicht und das mit klicky bunti auch nicht. Meine Erfahrung zeigt auch, das Kontaktformulare immer weniger genutzt werden.

      Und übrigens spiegelt dieser Artikel meine persönliche Meinung wieder und ist von mir sehr wohl durchdacht und soll eine Anregung liefern, über das Thema Kontaktformular zu reflektieren.

      Danke
      Wolfram

  5. Hallo Wolfram,

    ich benutze contactform7 seit Jahren und technische Probleme gab es damit bisher nicht. Mit etwas HTML und CSS kann ein versierter Anwender eigentlich fast alles machen. Das Thema mit dem Datenschutz wird ja meistens bereits mit einem Cookieplugin gelöst (aus meiner kleinen Laiensicht heraus). Und ja ich nutze ab unnd wann auch Gravityforms was mit einer Logikfunktion recht ansprechende Formulare ermöglicht. Das ist zwar kostenpflichtig hat aber einige klasse Funktionen die sich einer näheren Betrachtung lohnen.

    Gruß Klaus

  6. Hallo Wolfram,

    ich denke, dass Datenbanken im Endeffekt keine rechtsgültige Relevanz haben (wie schnell lässt sich händisch ein Wert in der Datenbank ändern?). Werden die übertragenen Daten nicht nur in der Datenbank, sondern auch im WordPress-Backend gespeichert, birgt das weitere Datenschutzrechtliche Fallstricke. Arbeiten mehrere Personen im Backend, muss man den Zugriff auf die Daten regulieren können. Und – Stichwort Backups – diese müssen verschlüsselt gespeichert werden. Okay, das sollten sie sowieso, wegen der Account-Daten.

    Ein Formular, welches das Absenden erst zulässt, wenn der Haken gesetzt wurde, das ist m. E. n. ein unstreitbarer Beweis. Lässt sich mit jedem Formular-Plug-in, das Conditionals zulässt plus erforderlichem Feld realisieren.

    Kleine Randbemerkung zur Übertragung per E-Mails: Hier muss komischerweise nicht darauf hingewiesen werden, dass diese so offen sind wie Postkarten.

    • Kleine Korrektur: Conditionals sind noch nicht mal nötig, nur required field.

      • Hallo Angelika,
        wie willst Du dann beweisen, seit wann das ein Required Field war?

        Ansonsten ist das mit der Datenbank zu bedenken. Aber die aufgehobene E-Mail wäre dann vielleicht besser – keine Ahnung.

        Gruß
        Wolfram

  7. Ich möchte noch einwerfen, dass „offene“ E-Mailadressen im Quellcode auch nicht unbedingt das Wahre sind. Da wird es im Laufe der Zeit sehr wahrscheinlich ein höheres SPAM Aufkommen geben, wenn die ersten Bots die E-Mailadresse gespeichert haben.

    • Das mit dem erhöhten Spam Aufkommen, halte ich nicht für relevant. Spam bekommt man eh, wenn man im Netz unterwegs ist. Die aktuellen Spam Filter und Regeln sind meines Erachtens ausreichend und da ist mir die einfache Nutzbarkeit wesentlich wichtiger.

      Liebe Grüße
      Wolfram

  8. Hallo,
    das Thema wird jetzt „heißer“ denn je, den Ende Mai steht bald vor der Tür und die DSVGO muss jeder noch so kleine Betrieb umsetzen, ob er will oder nicht.
    Ich selbst verwende in der Zwischenzeit auch nur noch einen mailto-Link.
    Die aufgeführte Lösung mit contact form 7 und der Erweiterung, damit Daten in der Datenbank abgelegt werden gefällt mir auch nicht aus den ausgeführten Gründen von Wolfram.
    Dennoch betreue ich Kundenwebseiten mit Kontaktformularen, die auch weiterhin mit dem Kontaktformular arbeiten wollen.
    Daher bin ich für jede weitere Lösung dankbar, unabhängig welches Kontaktformular-Plugin, die außerdem die Möglichkeit bieten, dass ein User seine Daten löschen lassen kann, Recht auf Löschung („Recht auf „Vergessenwerden“).

    Vielen Dank
    Joachim

    • Gerade das Nichtspeichern von Contact Form 7 ist doch aus Datenschutzgründen erwünscht. Bedeutet, dass eine Nachricht übermittelt wird, aber nicht auf dem Server gespeichert. Gerade die Speicherung ist ja nicht gestattet bzw. kritisch zu sehen! Mit der Checkbox für eine Einwilligung (die Contact Form 7 inzwischen anbietet) in die Datenschutzbestimmungen hat man später einen Nachweis in der Email-Nachricht. Das Ganze über HTTPS. Jetzt noch einen Vertrag für die AV mit dem Provider und dann müsste das DSGVO konform sein – nach meinem Verständnis.

    • Hallo,
      so wie es aussieht muss ich in der Tat meinen Artikel anpassen. Das liegt aber nicht wesentlich an der DSGVO, sondern an diesem Beitrag vom Datenschutz Guru:

      https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

      Hier wird dieses Gerichtsurteil, auf das sich das mit der Checkbox ergab, ganz anders beleuchtet.
      Also hat J. Weiß recht, das das klassische Contact Form 7 (ohne Checkbox und ohne Speicherung in der Datenbank) genau die richtige Lösung ist.
      Allerdings muss trotzdem ein Satz zum Datenschutz drunter und der Link zur Datenschutzerklärung. Der Anwalt Dr. Schwenke macht das sehr vorbildlich:

      https://drschwenke.de/service/kontakt/

      Gruß
      Wolfram

  9. Danke Wolfram für den Tipp mit Ninja Forms. Habe ich soeben erfolgreich mit reCapcha eingebunden. Funzt!

    • Freut mich, wenn ich Dir helfen konnte!

  10. Hallo,
    istein Datenanhang ebenfalls verschlüsselt wie die Angaben im Fromular ?
    Gruß
    Hermann

    • Vielleicht nicht richtig formuliert:
      gibt es ein Plugin, mit dem sowohl das Formular an sich aber auch ein evtl. Anhang sich verschlüsseln lassen ???
      Danke!

  11. Hallo Wolfram,

    nun hab ich mich durch diesen Beitrag gearbeitet, nebst Kommentaren.

    Ich kann deine Bedenken zu Contact-Form 7 nachvollziehen, allerdings hatte ich nie solche Probs damit, auch nicht auf Kundenseiten. Die Erweiterung Flamingo kannte ich bisweilen nicht – nun werde ich es mal testen.

    Hoffentlich müllt es die Datenbank nicht zu sehr zu, wenn Mails verschickjt werden. Dann lahmt ja die ganze Seite und man fängt wieder an aufzuräumen.

    Alles in allem bin ich mit Contact-Form 7 recht zufrieden. Es läuft stabil und das mit dem Datenschutz – nunja, wer was suchen will, um abzumahnen, der findet auch was. 🙂

    Nette Grüße aus Dresden

    • Hallo Frank,
      wie gesagt, sehe ich das inzwischen auch wieder entspannter. Allerdings sagen auch die meisten Kunden, das sie eh keine Anfragen über ihr Kontaktformular bekommen. Auch bei mir sind das vielleicht 5 im Jahr.
      Mal sehen wie sich das in nächster Zeit entwickelt, auf welchen Kanälen Kunden uns erreichen wollen.

      Gruß
      Wolfram

  12. Da ich gerade eine Übersicht über verschiedene Kontaktformular Plugins für WordPress erstelle, bin ich auch auf deinen Artikel gestoßen. Ich möchte mich der Diskussion bezüglich Datenschutz etc. auch noch einmal anschließen auch wenn sich ja die Gemüter nun seit 25. Mai wieder etwas beruhigt haben.
    Ich denke das wichtigste bei der Verwendung von Kontaktformularen ist die klare Belehrung im Datenschutzbereich. Dort wird angegeben was beim absenden passiert und warum, wieso und wie Daten verarbeitet werden – fertig! Auch diese ewigen Diskussionen und Expertenaussagen dass nun jedes Kontaktformular eine Checkbox braucht….wenn jemand seine Daten (freiwillig wohlgemerkt!!) in ein Kontaktformular einträgt, dann weiß er doch was er da tut. Nun frage ich ihn noch mal mit einer Checkbox ob er sich doch wirklich im klaren ist was passieren kann wenn er tatsächlich den absenden Button klickt – nämlich das seine Daten „über ein Kontaktformular versendet werden“ – ist doch echt Irrsinn. Mittlerweile fällt ja auch auf dass viele Seiten diese Checkbox wieder entfernt haben. Am Ende ist wohl der schlimmste Aspekt dass es die Politik geschafft hat die Leute dermaßen zu verwirren das am Ende keiner mehr wusste was überhaupt Phase war. Und eins draufgesetzt haben dann die ganzen Anwälte und Expertenseiten die noch fleißig Geld mit der ganzen Geschichte verdient haben weil sie für teuer Geld „sinnfreie“ Hilfe verkauft haben. Was ein leidiges Thema…

Wolfram Lührig

Wolfram Lührig

Agentur WolfsPress

Eigentlich betreibe ich eine WordPress & Online Marketing Agentur. Aber in Wirklichkeit helfe ich vor allem anderen Menschen dabei, ihre eigene Webseite ins Netz zu bringen, um damit Kunden zu gewinnen.

 

Weitere Beiträge

Divi mit eigenen Fonts nutzen

Divi mit eigenen Fonts nutzen

Gründe Es gibt im Wesentlichen zwei Gründe, Fonts direkt auf seinem Server zu speicher. Entweder nutzt man selbst gekaufte Fonts oder möchte wegen der DSGVO die Google Fonts nicht vom Google Server beziehen. Fonts besorgen Bei Google kann man sich das Font Paket...

mehr lesen