Formidable Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Formidable Forms ein, verarbeitet er die von Webseitenbesuchern übermittelten Formulardaten – typischerweise Name, E-Mail-Adresse und sonstige Eingaben – zum Zweck der Kontaktaufnahme, Anfragenbearbeitung oder sonstiger Formularzwecke auf Basis berechtigter Interessen oder der Vertragsdurchführung (Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO). Da Formidable Forms ein WordPress-Plugin ist, das die Daten standardmäßig in der eigenen WordPress-Datenbank speichert, liegt die datenschutzrechtliche Hauptverantwortung beim Betreiber der WordPress-Installation. Diese Seite erläutert, welche Daten beim Einsatz von Formidable Forms verarbeitet werden und was in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Formidable Forms

Formidable Forms ist ein WordPress-Plugin der Strategy11 Team, LLC (d/b/a Formidable Forms), einer US-amerikanischen Gesellschaft. Das Plugin richtet sich – anders als einfache Kontaktformular-Tools – eher an technisch versierte Nutzer und Entwickler, die komplexe datenbankgestützte Formulare, Berechnungsformulare, Verzeichnis-Anwendungen und Front-End-Dateneingabe-Lösungen benötigen. Es gibt eine kostenfreie Lite-Version im WordPress-Plugin-Verzeichnis sowie kostenpflichtige Pro-Versionen (Starter, Plus, Business, Elite) mit deutlich erweitertem Funktionsumfang.

Wie alle WordPress-Plugins läuft Formidable Forms auf dem eigenen WordPress-Server des Betreibers. Formulardaten, die Webseitenbesucher eingeben und absenden, werden standardmäßig in der WordPress-Datenbank des Betreibers gespeichert – nicht beim Anbieter Strategy11. Dieser hat keinen Zugriff auf die Formulardaten der Webseitenbesucher.

Ein besonderes Merkmal von Formidable Forms ist die Möglichkeit, gespeicherte Formulareinträge direkt im Frontend der Webseite darzustellen (Views) und bearbeitbar zu machen. Das Plugin erlaubt es damit, echte datenbankbasierte Web-Anwendungen innerhalb von WordPress zu bauen. Auch bei dieser Nutzungsweise verbleiben die Daten auf dem eigenen Server.

Formidable Forms bietet zahlreiche Add-ons und Integrationen: E-Mail-Marketing (Mailchimp, AWeber, Constant Contact), Zahlungsanbieter (Stripe, PayPal, Authorize.net), CRM-Systeme, Umfragen (Conversational Forms Add-on), Kalender (Google Calendar), Datei-Upload-Verwaltung und viele weitere. Werden solche Integrationen genutzt, können Formulardaten an externe Drittanbieter weitergeleitet werden.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Formidable Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Da Formulardaten auf dem eigenen Server des Webseitenbetreibers verbleiben, ist der Betreiber selbst der datenschutzrechtliche Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Datenschutzerklärung muss die eigene Verarbeitungstätigkeit beschreiben. Wenn über Add-ons Daten an externe Dienste weitergeleitet werden, sind diese Empfänger zu benennen und AVVs nach Art. 28 DSGVO abzuschließen.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Formidable Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Kontaktformulare, Anfragenbearbeitung, Drittanbieter-Integrationen …) beschrieben.

C. Anbieter von Formidable Forms

Strategy11 Team, LLC ist der Entwickler und Anbieter des Formidable-Forms-Plugins. Nach den öffentlich zugänglichen Anbieter-Angaben:

• Strategy11 Team, LLC (d/b/a Formidable Forms)
• Sitzland: USA (kein EWR-Land)
• Privacy Policy: https://formidableforms.com/privacy-policy/
• Terms of Service: https://formidableforms.com/terms-of-service/

Die genaue aktuelle Geschäftsanschrift sollte vom Webseitenbetreiber auf der Anbieterwebseite oder im jeweiligen Vertrag verifiziert werden.

Für den Betrieb von Formidable Forms als reines WordPress-Plugin ist die Rolle von Strategy11 datenschutzrechtlich begrenzt: Formulardaten verbleiben auf dem Server des Betreibers und werden Strategy11 grundsätzlich nicht übermittelt. Strategy11 kann jedoch Daten empfangen, wenn der Betreiber kostenpflichtige Lizenzen validiert (dabei werden Lizenzschlüssel, Domainname und technische Umgebungsdaten übertragen) oder Plugin-Updates über den Anbieter-eigenen Update-Server abruft.

Eine DPF-Zertifizierung (EU-U.S. Data Privacy Framework) für Strategy11 Team, LLC ist aus den öffentlich zugänglichen Quellen nicht eindeutig bestätigt; der aktuelle Status sollte vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search geprüft werden. Da der Anbieter in den USA ansässig ist, sind bei technischen Kontakten (License-Validation, Updates) Drittlandübermittlungen in die USA zu berücksichtigen.

Wichtig: Werden Add-ons genutzt, die Formulardaten an US-amerikanische oder sonstige Drittanbieter weiterleiten (z.B. Mailchimp, Stripe, Google Calendar), sind diese Dienste gesondert als Empfänger in der Datenschutzerklärung zu benennen und entsprechende AVVs abzuschließen.

D. Datenverarbeitung mit Formidable Forms – Ablauf in Schritten

E. Verarbeitete Daten beim Einsatz von Formidable Forms

Welche personenbezogenen Daten verarbeitet werden, hängt maßgeblich davon ab, welche Felder der Webseitenbetreiber im Formular konfiguriert. Formidable Forms bietet einen besonders umfangreichen Feldtypen-Katalog: neben Standard-Feldern (Text, E-Mail, Telefon, Datum, Datei-Upload) auch Berechnungsfelder, Repeater-Felder, Skalierungsfelder, Bewertungsfelder, Signatur-Felder und viele weitere. Bei komplexen Datenbank-Anwendungen können erhebliche Mengen personenbezogener Daten anfallen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL der aufgerufenen Seite, Referrer-URL, HTTP-Statuscode, Browser und Betriebssystem (erhoben beim Aufruf der Formularseite durch den Hosting-Server).
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte – je nach Konfiguration Name, E-Mail-Adresse, Telefonnummer, Anschrift, Freitext, Berechnungsergebnisse, Dateiuploads, Unterschriften.
• Nutzungskonto-Daten: E-Mail-Adresse und Name des Besuchers, sofern diese im Formular abgefragt werden; bei Verwendung von Frontend-Bearbeitungs-Funktionen auch Nutzer-IDs.
• Technische Telemetriedaten: bei License-Validation-Anfragen an Strategy11 werden Lizenzschlüssel, Domainname, WordPress-Version und Plugin-Version übermittelt.

F. Nutzungszwecke beim Einsatz von Formidable Forms

Formidable Forms wird von Webseitenbetreibern für eine breite Palette an Anwendungsfällen eingesetzt, die über einfache Kontaktformulare weit hinausgehen: Berechnungsformulare (Kreditrechner, Preiskalkulation), Verzeichnis-Anwendungen (Immobilienportale, Mitgliederverzeichnisse), Datenerfassungs-Tools, Buchungsformulare, Umfragesysteme und Front-End-Datenbank-Anwendungen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Betrieb des Formulars und der zugehörigen Datenbank-Anwendung auf der Webseite, Eingabevalidierung, Berechnungslogik, Frontend-Views, Absende- und Bearbeitungslogik.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Buchungsformular, Angebotsrechner, Bestellformular).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr; Formidable Forms unterstützt Honeypot-Erkennung und optionale reCAPTCHA-Integration sowie eine eingebaute Spam-Wortliste.
• Kommunikation: Bearbeitung von Anfragen und Nachrichten, die über das Formular eingehen; Kundenservice und Korrespondenz.

G. Rechtsgrundlagen für den Einsatz von Formidable Forms

Formidable Forms fällt in die Tool-Kategorie WordPress-Formular-Plugin. Da die Formulardaten auf dem eigenen Server des Webseitenbetreibers verarbeitet werden, richtet sich die Rechtsgrundlage nach dem konkreten Zweck des jeweiligen Formulars und der Anwendung:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): kommt typischerweise für Kontakt-, Anfragen- und Kommunikationsformulare in Betracht, bei denen der Betreiber ein berechtigtes Interesse an der Ermöglichung der Kontaktaufnahme sowie am Missbrauchsschutz hat. Als konkrete Interessen kommen die Bereitstellung effizienter Kommunikationskanäle sowie der Schutz vor Spam in Betracht.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Anbahnung oder Durchführung eines Vertrags dient (Buchung, Bestellung, Angebotsanfrage, Bewerbung).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): wenn im Formular oder in Verbindung damit Cookies gesetzt werden (z.B. durch reCAPTCHA-Einbindung) oder wenn die Datenverarbeitung für einen Zweck erfolgt, der keine andere Rechtsgrundlage trägt (z.B. optionales Marketing-Profiling).
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): wenn die Datenerhebung zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Die einschlägige Rechtsgrundlage ist im Einzelfall für jeden Formulartyp und jede Anwendung gesondert zu prüfen.

H. Besonderheiten und Hinweise zu Formidable Forms

• Komplexe Datenbank-Anwendungen: Da Formidable Forms auch als Datenbank-Engine für komplexe Web-Anwendungen eingesetzt werden kann, können die Datenschutzanforderungen deutlich über die eines einfachen Kontaktformulars hinausgehen. Art und Umfang der verarbeiteten personenbezogenen Daten hängen stark von der konkreten Anwendung ab.
• AVV mit Strategy11: Für den Betrieb des reinen WordPress-Plugins ohne Add-ons ist typischerweise kein AVV mit Strategy11 erforderlich, da Formulardaten nicht an Strategy11 übermittelt werden. Einen AVV sollte der Betreiber jedoch mit dem Hosting-Anbieter abschließen.
• Add-on-Integrationen: Jede Integration, die Formulardaten an externe Dienste weiterleitet (z.B. Mailchimp, Stripe, Google Calendar), begründet eine eigene Auftragsverarbeitung; der jeweilige Drittanbieter ist als Empfänger zu benennen und ein AVV abzuschließen.
• Automatische Löschung von Einträgen: Formidable Forms bietet eine eingebaute Funktion zur automatischen Löschung von Formulareinträgen nach einer konfigurierbaren Zeitspanne. Diese sollte genutzt und entsprechende Löschfristen in der Datenschutzerklärung dokumentiert werden.
• Frontend-Bearbeitung: Wenn Webseitenbesucher ihre eigenen Einträge im Frontend bearbeiten können (Formidable Forms "Edit Entry"-Funktion), sind zusätzliche Datenschutzüberlegungen notwendig: Zugriffssteuerung, Identifikation des Bearbeiters, ggf. Protokollierung.
• reCAPTCHA-Integration: Formidable Forms unterstützt Google reCAPTCHA als Spam-Schutz. Beim Laden von reCAPTCHA werden Verbindungsdaten an Google-Server übertragen; dies erfordert eine Einwilligung nach § 25 Abs. 1 TDDDG und ist in der Datenschutzerklärung gesondert zu adressieren.
• Drittlandübermittlung über Add-ons: Bei US-amerikanischen Add-on-Diensten ist die Drittlandübermittlung in die USA zu adressieren. Die jeweiligen Standardvertragsklauseln (SCC) oder eine DPF-Zertifizierung des Empfängers sind als Übermittlungsgarantie zu prüfen.

I. Häufige Fragen zu Formidable Forms und Datenschutz

J. Fazit zu Formidable Forms und Hinweise zur Datenschutzerklärung

Formidable Forms ist ein leistungsstarkes WordPress-Formular-Plugin, das sich durch seine lokale Datenspeicherung und seinen flexiblen Einsatz für komplexe Datenbank-Anwendungen auszeichnet. Formulardaten verbleiben im Standardbetrieb vollständig auf dem eigenen WordPress-Server; Strategy11 hat keinen Zugriff auf die Formulardaten der Webseitenbesucher. Dies ist datenschutzrechtlich vorteilhaft, bedeutet aber auch, dass der Betreiber alle datenschutzrechtlichen Pflichten selbst trägt.

Die besondere Stärke von Formidable Forms – die Möglichkeit komplexer datenbankbasierter Anwendungen – bringt auch erhöhte Datenschutzanforderungen mit sich: Je umfangreicher und sensibler die verarbeiteten Daten, desto sorgfältiger müssen Zugriffskontrollen, Löschkonzepte und ggf. eine Datenschutz-Folgenabschätzung adressiert werden.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Formidable Forms einen eigenen Tool-Textbaustein aufzunehmen. Sachgerechter ist ein themenorientierter Ansatz, der den Formular- und Anwendungsbetrieb übergreifend beschreibt und eingesetzte Drittanbieter (Hosting, Add-on-Dienste) in einem Empfänger-Anhang benennt.

Dieser Beitrag dient der allgemeinen Information zu Formidable Forms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com