Cognito Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Cognito Forms ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adressen, Browser- und Endgeräte-Informationen sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis berechtigter Interessen oder einer Einwilligung (Art. 6 Abs. 1 lit. f bzw. lit. a DSGVO). Diese Seite erläutert, welche Daten Cognito Forms nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Cognito Forms

Cognito Forms ist ein Online-Formular-Builder der Cognito, LLC mit Sitz in Columbia, South Carolina, USA. Der Dienst ermöglicht es Webseitenbetreibern, komplexe Online-Formulare zu erstellen – darunter Kontaktformulare, Bestellformulare mit Zahlungsintegration, Bewerbungsformulare, Umfragen und mehrseitige Formulare mit bedingter Logik.

Für Webseitenbetreiber datenschutzrechtlich relevant ist vor allem die Einbindung des Formulars in die eigene Webseite. Cognito Forms bietet dafür zwei Integrationsmethoden: Den Seamless Embed per JavaScript-Script-Tag (Einbindung über ein <script>-Element aus www.cognitoforms.com/f/seamless.js) sowie den klassischen <iframe>-Embed. Beim Seamless Embed lädt der Browser des Besuchers JavaScript direkt von den Servern des Anbieters; dabei werden technisch zwingend Verbindungsdaten übermittelt. Der iFrame-Embed bewirkt dasselbe durch das Laden eines eigenständigen Dokuments aus der Anbieter-Domain.

Daneben bietet Cognito Forms eine WordPress-Plugin-Integration. Diese Seite fokussiert sich auf die Einbettung in eine eigene Webseite, da diese Form der Integration die datenschutzrechtlich relevante Datenübermittlung an den Anbieter auslöst.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Cognito Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Cognito Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt.

Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking …) beschrieben; die konkret eingesetzten Dienstleister wie Cognito Forms werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter: Cognito Forms

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• Cognito, LLC
• Sitzland: USA
• Eingetragene Anschrift: 1310 Gadsden Street, Suite 100, Columbia, SC 29201, USA
• Privacy Policy: https://www.cognitoforms.com/legal/privacy
• Data Protection & Privacy-Seite: https://www.cognitoforms.com/product/data-protection-privacy
• Data Processing Addendum (DPA): https://www.cognitoforms.com/Content/Cognito%20Forms%20DPA%20Sample.pdf

DPF-Status: Cognito, LLC gibt nach eigenen Angaben an, unter dem EU-U.S. Data Privacy Framework (EU-U.S. DPF), dem UK Extension to the EU-U.S. DPF sowie dem Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) selbst zertifiziert zu sein. Den aktuellen Zertifizierungsstatus kann der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.

Cognito Forms ist ein unabhängiges Unternehmen ohne erkennbare Konzernanbindung. Server und Büros des Anbieters befinden sich nach eigenen Angaben in den USA.

D. Datenverarbeitung mit Cognito Forms – Ablauf in Schritten

E. Von Cognito Forms erhobene Daten

Beim Embed eines Cognito Forms-Formulars verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben zunächst technische Verbindungsdaten: IP-Adresse, User-Agent, Referrer, Datum und Uhrzeit des Zugriffs. Hinzu kommen sämtliche Inhalte, die der Besucher in das Formular eingibt – je nach Formulargestaltung also etwa Name, E-Mail-Adresse, Telefonnummer, Adressen, Freitext-Antworten, Auswahlen, Zahlungsinformationen und hochgeladene Dateien. Cognito Forms stellt dem Webseitenbetreiber diese Antwortdaten im Account-Backend zur Verfügung.

Die erhobenen Daten lassen sich in folgende Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, URL des angefragten Skript- oder iFrame-Endpunkts, Referrer, User-Agent, Statuscode
• Endgeräte-Daten: Gerätetyp, Betriebssystem
• Browserinformationen: Browsername und -version
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene
• Nutzer-Inhalte: alle vom Besucher eingegebenen Formularantworten, Auswahlen, hochgeladene Dateien sowie – bei Zahlungsformularen – Zahlungsdaten (sofern Zahlungsintegration aktiv)
• Conversion-Ereignisse: das Absenden des Formulars als messbares Ereignis

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Cognito Forms

Der Webseitenbetreiber nutzt Cognito Forms, um auf seiner Webseite strukturierte Eingabemöglichkeiten bereitzustellen: Kontaktformulare, Bestellformulare, Bewerbungsformulare, Registrierungen oder Umfragen. Cognito Forms zeichnet sich durch die Möglichkeit aus, Formulare mit komplexer bedingter Logik, Berechnungen und Zahlungsabwicklung zu kombinieren, was den Einsatz auch in stärker transaktionalen Prozessen ermöglicht.

Die Zwecke lassen sich in folgende Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung und Betrieb des eingebetteten Formulars, Entgegennahme und Weiterverarbeitung von Eingaben, Fehlererkennung und Fehlerbehebung
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, wenn das Formular auf einen Vertragsschluss gerichtet ist (z. B. Bestellformular, Buchung, Registrierung)
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, Erkennung missbräuchlicher Eingaben
• Kommunikation: Bearbeitung von Anfragen auf Basis der im Formular übermittelten Kontaktdaten
• Erfüllung von Aufbewahrungspflichten: gesetzliche Aufbewahrungsfristen für eingegangene Vorgänge

G. Rechtsgrundlagen für den Einsatz von Cognito Forms

Cognito Forms fällt in die Tool-Kategorie Formular-Tool (Drittanbieter-Formular, das per Script oder iFrame in die eigene Webseite eingebettet wird).

Als Rechtsgrundlagen kommen in Betracht:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz und Missbrauchsschutz. Diese Grundlage ist beim rein funktionalen Einsatz ohne Tracking-Komponenten denkbar; angesichts der Drittlandübermittlung in die USA (trotz der behaupteten DPF-Zertifizierung) ist eine Einzelfallabwägung geboten.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Vertragsanbahnung oder -abwicklung mit dem Nutzer dient (z. B. Bestellformular, Buchungsanfrage).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): sofern der Embed beim Seitenaufruf Cookies oder vergleichbare Technologien setzt oder Drittanbieter-Tracking-Integrationen aktiv sind; in diesem Fall ist eine Einwilligung über das Consent-Banner die rechtssicherere Variante.

Die einschlägige Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Cognito Forms

• AVV/DPA: Cognito Forms stellt ein Data Processing Addendum (DPA) bereit. Die aktuelle Version ist unter https://www.cognitoforms.com/Content/Cognito%20Forms%20DPA%20Sample.pdf verfügbar. Der Abschluss ist beim Einsatz des Tools zur Verarbeitung personenbezogener Daten von EU-Bürgern regelmäßig erforderlich.
• Drittlandtransfer / DPF: Datentransfers in die USA finden nach Anbieter-Angaben statt, da Server und Büros in den USA angesiedelt sind. Cognito, LLC gibt an, unter dem EU-U.S. Data Privacy Framework (DPF) selbst zertifiziert zu sein. Den aktuellen Zertifizierungsstatus sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.
• Subprozessoren: Konkrete Subprozessoren sind aus den öffentlich zugänglichen Unterlagen nicht abschließend ersichtlich; der Betreiber sollte diese im DPA des Anbieters prüfen. [vom Betreiber zu verifizieren]
• Datenweitergabe: Nach Anbieter-Angaben werden Daten nicht verkauft oder für eigene Marketingzwecke des Anbieters genutzt.
• Einstellungen für den Webseitenbetreiber: Cognito Forms bietet datenschutzrelevante Formularoptionen wie Einwilligungstexte, Pflichtfeld-Konfiguration und Datenschutzhinweise direkt im Formular. Double-Opt-In-Mechanismen sind konfigurierbar. Zahlungsintegrationen (z. B. Stripe) sind optional und aktivierbar.
• Integrationsmethode: Das Seamless-Embed-Script wird von cognitoforms.com ausgeliefert; der Einsatz eines Content Security Policy-Headers (CSP) auf der eigenen Website ist daher anzupassen.

I. Häufige Fragen zu Cognito Forms und Datenschutz

J. Fazit und Handlungsempfehlung

Cognito Forms ist ein praxistauglicher Formular-Builder für technisch anspruchsvollere Anwendungsfälle, der per Script oder iFrame in Webseiten eingebettet wird. Beim Aufruf werden technisch zwingend Verbindungsdaten an Server des Anbieters in den USA übermittelt. Webseitenbetreiber müssen eine geeignete Rechtsgrundlage bestimmen, ein Auftragsverarbeitungsvertrag abschließen, den Drittlandtransfer adressieren und die Verarbeitung transparent darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Cognito Forms einen eigenen Textbaustein aufzunehmen. Tool-by-Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widersprechen damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken erklärt und im Empfänger-Anhang auf einzelne Dienstleister wie Cognito, LLC verweist. Das ist die Methodik des matterius-Generators.

K. Autor

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com