Gravity Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Gravity Forms ein, verarbeitet er die über das Formular übermittelten personenbezogenen Daten zunächst auf dem eigenen WordPress-Server zum Zweck der Formularbereitstellung und Datenerfassung auf Basis berechtigter Interessen oder — je nach Formularinhalt — der Vertragsdurchführung (Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO). Diese Seite erläutert, was Webseitenbetreiber beim Einsatz von Gravity Forms datenschutzrechtlich beachten müssen und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Gravity Forms

Gravity Forms ist ein kommerzielles WordPress-Plugin der Rocketgenius, Inc. (d/b/a Gravity Forms) zur Erstellung und Verwaltung von Online-Formularen innerhalb einer WordPress-Installation. Der Anbieter hat seinen Sitz in den USA. Das Plugin ermöglicht die Erstellung vielfältiger Formulartypen — von einfachen Kontaktformularen über mehrstufige Formulare, Umfragen und Quiz bis hin zu Zahlungsformularen und Bestellformularen. Eine zentrale Eigenschaft, die Gravity Forms von SaaS-basierten Formular-Tools unterscheidet, ist die lokale Verarbeitung: Formulardaten werden beim Absenden nicht an externe Dienste übertragen, sondern zunächst in der WordPress-Datenbank des Webseitenbetreibers gespeichert.

Für Webseitenbetreiber relevant ist, dass Gravity Forms kein JavaScript von externen Servern nachlädt und beim normalen Formularbetrieb keine Verbindung zu Rocketgenius-Servern herstellt. Das Plugin wird auf dem eigenen Webserver betrieben; Formulare werden als Standard-HTML-Formulare gerendert. Beim Aufruf einer Seite mit einem Gravity-Forms-Formular werden lediglich die auf dem eigenen Server gehosteten Plugin-Ressourcen (CSS, JavaScript) geladen — kein Drittanbieter-Tracking, kein externer Embed.

Davon zu unterscheiden sind die zahlreichen Add-ons von Gravity Forms, die Formulardaten an Drittanbieter-Dienste weiterleiten — etwa das Mailchimp-Add-on, das Zapier-Add-on, das Stripe-Add-on oder das HubSpot-Add-on. Bei Einsatz dieser Add-ons entsteht ein Datentransfer an den jeweiligen Drittanbieter, der datenschutzrechtlich gesondert zu bewerten und in der Datenschutzerklärung separat zu adressieren ist.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Gravity Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von Gravity Forms ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Gravity Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Da Gravity Forms im reinen Basisbetrieb kein Drittanbieter-Tool im eigentlichen Sinne ist, sondern lokal auf dem eigenen Server verarbeitet, sollte die Datenschutzerklärung dies korrekt widerspiegeln: Die Formularverarbeitung erfolgt durch den Webseitenbetreiber selbst. Sachgerechter ist ein themenorientierter Ansatz, der Formulardaten unter dem Themenblock "Formulare und Kontaktaufnahme" beschreibt, ohne Rocketgenius als Empfänger aufzuführen — es sei denn, Add-ons mit Drittanbieter-Transfer werden eingesetzt.

C. Anbieter von Gravity Forms

Anbieter des WordPress-Plugins ist:

• Rocketgenius, Inc. (d/b/a Gravity Forms)
• Anschrift: [vom Betreiber zu verifizieren — Rocketgenius, Inc. ist ein US-amerikanisches Unternehmen]
• Sitzland: USA
• Website: https://www.gravityforms.com
• Privacy Policy: https://www.gravityforms.com/privacy/
• Data Processing Agreement: https://www.gravityforms.com/dpa/ [vom Betreiber zu verifizieren]

Wichtiger Hinweis: Im reinen Plugin-Betrieb ohne Add-ons tritt Rocketgenius, Inc. datenschutzrechtlich nicht als Empfänger der Formulardaten auf — die Daten verbleiben auf dem Server des Webseitenbetreibers. Ein AVV mit Rocketgenius ist daher im reinen Plugin-Betrieb in der Regel nicht erforderlich, da kein Datentransfer an Rocketgenius stattfindet. Ein AVV wird hingegen relevant, wenn kostenpflichtige Lizenzen und Support-Dienste in Anspruch genommen werden, bei denen Rocketgenius möglicherweise Zugriff auf Daten erhält, oder wenn Add-ons mit Drittanbieter-Integration eingesetzt werden.

DPF-Status: Da Rocketgenius, Inc. im reinen Plugin-Betrieb keine Formulardaten verarbeitet, ist der DPF-Status für den Basis-Betrieb nicht einschlägig. Bei Einsatz von Add-ons ist der DPF-Status des jeweiligen Drittanbieters (z.B. Mailchimp, Stripe, HubSpot) zu prüfen.

D. Datenverarbeitung mit Gravity Forms – Ablauf in Schritten

E. Von Gravity Forms erhobene Daten

Beim Einsatz von Gravity Forms im reinen Basisbetrieb werden personenbezogene Daten ausschließlich auf dem eigenen WordPress-Server verarbeitet. Der Webseitenbetreiber ist insoweit alleiniger Verantwortlicher. Welche Daten konkret erhoben werden, hängt vollständig von der Konfiguration der einzelnen Formulare ab — Gravity Forms stellt lediglich die Technik bereit.

Typischerweise erhobene Daten beim Einsatz von Gravity Forms umfassen die vom Besucher eingegebenen Formularinhalte (je nach Formular-Konfiguration: Name, E-Mail-Adresse, Telefonnummer, Adresse, Freitext, Auswahlen, hochgeladene Dateien und weitere individuell konfigurierte Felder), den Zeitstempel der Einreichung sowie — je nach Konfiguration — die IP-Adresse des Einsenders. Zusätzlich werden bei der Formularanzeige die üblichen Webserver-Protokolldaten auf dem eigenen Server erzeugt (IP-Adresse, User-Agent, URL, Referrer).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL der Formularseite, Referrer, User-Agent — auf dem eigenen Webserver des Betreibers.
• Browserinformationen: Browsername und -version (aus dem User-Agent auf dem eigenen Server).
• Endgeräte-Daten: Gerätetyp, Betriebssystem (aus dem User-Agent auf dem eigenen Server).
• Nutzer-Inhalte: alle vom Besucher im Formular eingegebenen Daten – Antworten, Auswahlen, hochgeladene Dateien (je nach Formular-Konfiguration durch den Betreiber).
• Conversion-Ereignisse: das Absenden eines Formulars als für den Webseitenbetreiber relevantes Ereignis, das in der WordPress-Datenbank gespeichert wird.
• Technische Telemetriedaten: ggf. Fehlermeldungen bei der Formularverarbeitung (lokal auf dem eigenen Server).

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Gravity Forms

Der Webseitenbetreiber nutzt Gravity Forms zur Bereitstellung von Online-Formularen innerhalb seiner WordPress-Website — etwa für Kontaktformulare, Buchungen, Bewerbungen, Umfragen, Support-Anfragen, Bestellformulare oder Newsletter-Anmeldungen. Die erhobenen Daten werden zur Bearbeitung der jeweiligen Anliegen, zur internen Dokumentation und — bei entsprechender Konfiguration — zur Weiterverarbeitung in Drittdiensten genutzt.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des Formulars innerhalb der WordPress-Website (Anzeige, Eingabevalidierung, Absende-Logik, E-Mail-Benachrichtigungen), Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Bestellung, Buchung, Bewerbung).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr (z.B. über eingebaute Honeypot-Felder, reCAPTCHA-Integration oder Anti-Spam-Regeln).
• Kommunikation: Nutzung der im Formular angegebenen Kontaktdaten zur Beantwortung des Anliegens des Nutzers oder zur weiteren Korrespondenz.
• Allgemeine Produktverbesserung: Auswertung aggregierter Formulardaten zur Optimierung interner Prozesse oder des Webangebots.
• Compliance: Aufbewahrung von Formulareinreichungen als Dokumentationsnachweis (z.B. Einwilligungsnachweise bei Newsletter-Anmeldungen über Gravity Forms).

G. Rechtsgrundlagen für den Einsatz von Gravity Forms

Gravity Forms fällt in die Tool-Kategorie WordPress-Plugin / lokales Formular-Tool. Die datenschutzrechtliche Situation unterscheidet sich wesentlich von SaaS-basierten Formular-Tools, da keine Daten an Drittanbieter-Server übermittelt werden:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) kommen als Rechtsgrundlage für die technische Bereitstellung des Formulars in Betracht, mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz des eigenen Webangebots, Kommunikation und Missbrauchsschutz. Da kein Drittanbieter-Transfer stattfindet, ist diese Grundlage für reine Kontakt- und Funktionsformulare regelmäßig geeignet.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular dem Abschluss oder der Anbahnung eines konkreten Vertrags zwischen Webseitenbetreiber und Nutzer dient (z.B. Bestellformular, Buchungsanfrage, Bewerbungsformular).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): wenn das Formular der Einholung einer Einwilligung dient — etwa für einen Newsletter-Opt-in oder für besondere Kategorien personenbezogener Daten. In diesem Fall ist die Einwilligung zwingend erforderlich.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): in Einzelfällen, wenn ein Formular der Erfüllung einer gesetzlichen Pflicht dient.

Die einschlägige Rechtsgrundlage hängt vom konkreten Formularinhalt und -zweck ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Gravity Forms

• Lokale Verarbeitung: Im Gegensatz zu SaaS-Formular-Tools findet die Verarbeitung im Basisbetrieb ausschließlich auf dem eigenen Server statt. Rocketgenius, Inc. erhält keine Formulardaten. Der Webseitenbetreiber ist vollständig verantwortlicher Verarbeiter.
• Add-ons mit Drittanbieter-Transfer: Gravity Forms bietet eine Vielzahl von offiziellen und inoffiziellen Add-ons, die Formulardaten an externe Dienste übertragen (Mailchimp, Zapier, ActiveCampaign, Stripe, PayPal, HubSpot, Salesforce u.v.m.). Jedes aktivierte Add-on mit Drittanbieter-Anbindung ist gesondert datenschutzrechtlich zu bewerten; für jeden Drittanbieter ist ein AVV abzuschließen und die Übermittlung in der Datenschutzerklärung zu dokumentieren.
• IP-Adresse deaktivieren: Gravity Forms speichert standardmäßig die IP-Adresse des Formulareinsenders. Diese Funktion kann im Formular-Editor unter "Form Settings → Personal Data → Prevent the storage of IP addresses" deaktiviert werden — eine risikomindernde Maßnahme im Sinne der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO).
• Automatische Löschung: Über das Feature "Entries Expiration" können Formulareinreichungen nach einem konfigurierbaren Zeitraum automatisch gelöscht werden. Die Aktivierung ist empfehlenswert, um Speicherbegrenzungspflichten (Art. 5 Abs. 1 lit. e DSGVO) einzuhalten.
• Verschlüsselung: Gravity Forms bietet keine eingebaute Ende-zu-Ende-Verschlüsselung für Formularinhalte. Bei besonders sensiblen Daten (Gesundheitsdaten, Finanzinformationen) sollten ergänzende technische Maßnahmen erwogen werden.
• GDPR-Funktionen: Gravity Forms enthält eingebaute DSGVO-Hilfsfunktionen, darunter Einwilligungs-Checkboxen, Datenlöschung auf Anfrage (Data Request Handler) und IP-Adressen-Unterdrückung.
• Einstellungen für den Webseitenbetreiber: IP-Adressen-Speicherung deaktivieren (datenschutzrechtlich empfohlen), automatische Entry-Löschung konfigurieren, DSGVO-Einwilligungs-Checkboxen für relevante Formulare aktivieren, nur notwendige Felder abfragen.
• Drittland-Hosting des eigenen Servers: Liegt der Webserver des Webseitenbetreibers außerhalb des EWR (z.B. bei einem US-amerikanischen Hosting-Anbieter), ist der Drittlandtransfer für das Hosting — unabhängig von Gravity Forms — separat zu adressieren.

I. Häufige Fragen zu Gravity Forms und Datenschutz

J. Fazit zu Gravity Forms und Hinweise zur Datenschutzerklärung

Gravity Forms ist datenschutzrechtlich ein Sonderfall unter den Formular-Tools: Als lokales WordPress-Plugin verarbeitet es Formulardaten primär auf dem eigenen Server des Webseitenbetreibers — ohne Datentransfer an Rocketgenius oder andere externe Drittdienste im Basisbetrieb. Das macht Gravity Forms aus Datenschutzsicht im reinen Plugin-Betrieb verhältnismäßig übersichtlich: Der Webseitenbetreiber ist alleiniger Verantwortlicher, kein AVV mit dem Plugin-Anbieter ist erforderlich, und es gibt keinen strukturell angelegten Drittlandtransfer. Die Einwilligungspflicht nach § 25 TDDDG wird durch das reine Plugin-Embed nicht ausgelöst.

Die Komplexität entsteht durch die Add-ons: Sobald Formulardaten an externe Dienste wie Mailchimp, Zapier, Stripe oder CRM-Systeme weitergeleitet werden, entstehen die gleichen datenschutzrechtlichen Anforderungen wie beim direkten Einsatz dieser Dienste — AVV-Pflicht, Drittlandtransfer-Bewertung, Einwilligung je nach Dienst und Zweck.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Gravity Forms im Basisbetrieb einen eigenen Tool-Textbaustein aufzunehmen. Sachgerecht ist eine themenorientierte Beschreibung der Formularverarbeitung unter "Kontaktaufnahme" oder "Formulare" ohne Erwähnung von Rocketgenius als Empfänger. Werden Add-ons eingesetzt, sind die jeweiligen Drittanbieter in einem Anhang: Empfänger zu benennen. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu Gravity Forms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com