Jotform und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Jotform ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adresse, Browser- und Endgeräte-Informationen, Cookies sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis einer Drittanbieter-Inhalte-Einwilligung oder eines berechtigten Interesses (Art. 6 Abs. 1 lit. a oder f DSGVO). Diese Seite erläutert, welche Daten Jotform nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Jotform

Jotform ist ein Online-Formular-Builder der Jotform Inc. (USA) zur Erstellung von Formularen, Umfragen, Anmeldungen, Bewerbungen und Zahlungsformularen. Der Anbieter hostet die Formulare auf eigenen Servern und stellt eine Vielzahl von Vorlagen und Workflow-Integrationen bereit.

Für Webseitenbetreiber relevant ist vor allem die Integration des Formulars in die eigene Webseite. Jotform bietet hierfür mehrere Embed-Optionen: ein JavaScript-Embed (lädt das Formular dynamisch in einem auto-resizing iFrame), ein klassisches iFrame-Embed, eine Lightbox-/Modal-Popup-Variante, einen Feedback-Tab (schwebender Button, der ein Modal öffnet), Popup-Links sowie Source-Code-Embeds. Daneben existieren ein WordPress-Plugin sowie inoffizielle React-/Angular-Pakete.

Daneben erlaubt Jotform die rein verlinkte Bereitstellung eines Formulars als Standalone-URL (form.jotform.com/...); dies entspricht keiner Einbindung im engeren Sinn, sondern einer Weiterleitung. Diese Toolseite fokussiert sich auf den im Praxis-Einsatz häufigeren Embed in die eigene Webseite.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Jotform

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von Jotform ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Jotform – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister wie Jotform werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter von Jotform

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• Jotform Inc.
• Anschrift: 4 Embarcadero Center, Suite 780, San Francisco, CA 94111, USA
• Sitzland: USA
• Privacy Policy: https://www.jotform.com/privacy/
• Cookie Policy: https://www.jotform.com/cookie-policy/
• Data Processing Agreement: https://www.jotform.com/dpa/
• DPA-Vorlage (PDF): https://www.jotform.com/gdpr-compliance/dpa/gdpr_dpa_en.pdf

Konzernstruktur: Jotform betreibt nach öffentlich zugänglichen Angaben weitere Konzerngesellschaften in Großbritannien (Jotform Ltd, London), Australien (Jotform Pty Ltd) und Kanada (Jotform Canada Inc.); eine dedizierte EU-Gesellschaft als Vertragspartner ist nach den geprüften Quellen nicht erkennbar. Vertragspartner für deutsche Webseitenbetreiber ist daher regelmäßig die US-amerikanische Jotform Inc.

DPF-Status: Jotform Inc. ist in der DPF-Datenbank unter Participant ID 6788 geführt. Der aktuelle Zertifizierungsstatus für das EU-U.S. Data Privacy Framework, die UK Extension und das Swiss-U.S. DPF ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen, da öffentliche Quellen zum Status nicht eindeutig waren.

D. Datenverarbeitung mit Jotform – Ablauf in Schritten

E. Von Jotform erhobene Daten

Beim Embed eines Jotform-Formulars verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere folgende Datenkategorien: technische Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel, Referrer), Browser- und Endgeräte-Informationen, Performance-Daten der Embed-Komponente sowie sämtliche Inhalte, die der Besucher im Formular eingibt – also je nach Konfiguration Name, E-Mail-Adresse, Telefonnummer, Freitext, Auswahlen oder hochgeladene Dateien. Bei aktivem reCAPTCHA werden zusätzlich Daten von Google verarbeitet.

Die IP-Adresse wird nach Anbieter-Angaben standardmäßig an die Submission gehängt, kann aber pro Formular deaktiviert werden.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts (Embed-Endpunkt), Referrer-URL der einbettenden Seite, Statuscode, übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmgröße und -auflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeinde-Ebene.
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte – Antworten, Auswahlen, hochgeladene Dateien.
• Klickpfade und Interaktionsdaten: Klicks innerhalb mehrseitiger Formulare, Eingabe-Verhalten.
• Conversion-Ereignisse: das Absenden eines Formulars als für den Webseitenbetreiber definierter Erfolgs-Event.
• Technische Telemetriedaten: Performance- und Fehlerdaten der Embed-Komponente.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Jotform

Der Webseitenbetreiber nutzt Jotform regelmäßig zur Bereitstellung von Online-Formularen, also etwa für Lead-Erfassung, Bewerbungen, Bestellungen, Zahlungsformulare, Buchungen oder Feedback-Bögen. Daneben werden die erhobenen Daten zur Auswertung der Antworten, zur Bearbeitung der Anliegen und ggf. zur Optimierung des Formulars selbst verwendet.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des eingebetteten Jotform-Formulars (Anzeige, Eingabevalidierung, Absende-Logik), Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Bestellung, Buchung, Zahlung).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, insbesondere bei Aktivierung von reCAPTCHA, hCaptcha oder JotCAPTCHA.
• Kommunikation: Nutzung der im Formular angegebenen Kontaktdaten zur Beantwortung des Anliegens des Nutzers oder zur weiteren Korrespondenz.
• Allgemeine Produktverbesserung: Auswertung aggregierter Antwort- und Abbruchdaten zur Optimierung von Formularen und Prozessen.

G. Rechtsgrundlagen für den Einsatz von Jotform

Jotform fällt in die Tool-Kategorie Drittanbieter-Inhalte (eingebettetes Formular eines externen Anbieters). Da das Embed beim Seitenaufruf zwingend Verbindungsdaten an Jotform-Server überträgt und Cookies setzt, ist das Tool zugleich datenschutzrechtlich relevant im Sinne des § 25 Abs. 1 TDDDG.

Als Rechtsgrundlagen für den Einsatz von Jotform kommen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) als Drittanbieter-Inhalte-Einwilligung: Da das Embed beim Seitenaufruf Verbindungsdaten an einen US-Anbieter überträgt und Cookies gesetzt werden, ist eine Einwilligung über das Consent-Banner regelmäßig die rechtssicherere Variante. Bei aktivierten Tracking-/Marketing-Integrationen ist die Einwilligung praktisch zwingend.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular dem Abschluss oder der Anbahnung eines konkreten Vertrags zwischen Webseitenbetreiber und Nutzer dient (z.B. Bestellformular, Bewerbung, Buchung).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz, Sicherheit und Missbrauchsschutz. Diese Grundlage kommt bei einem rein funktionalen Embed in Betracht; angesichts der – ohne aktivierte EU-Region – bestehenden Drittlandübermittlung in die USA ist eine Einzelfallabwägung angezeigt.

Die einschlägige Rechtsgrundlage hängt vom konkreten Einsatzzweck und der konkreten Konfiguration ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Jotform

• AVV/DPA: Jotform stellt einen vorab unterzeichneten Auftragsverarbeitungsvertrag mit EU- und UK-Standardvertragsklauseln unter https://www.jotform.com/dpa/ bzw. als PDF unter https://www.jotform.com/gdpr-compliance/dpa/gdpr_dpa_en.pdf bereit. Der Abschluss ist beim Einsatz des Tools für die Verarbeitung personenbezogener Daten regelmäßig zwingend.
• Drittlandtransfer: Bei Standard-Konfiguration findet eine Übermittlung in die USA statt. Jotform Inc. ist in der DPF-Datenbank als Participant 6788 geführt; der aktuelle Status sollte unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden, da öffentliche Quellen zum Status nicht eindeutig waren. Ergänzend stützt Jotform Transfers nach eigenen Angaben auf Standardvertragsklauseln.
• EU-Hosting (GDPR Datacenter): Jotform bietet eine optionale EU-Datenresidenz in Frankfurt an (Google Cloud). Die Aktivierung erfolgt im Account unter "Settings → Data → GDPR Datacenter" und ist eine zentrale risikomindernde Maßnahme für deutsche Webseitenbetreiber. Backups werden nach Anbieter-Angaben weiterhin auf AWS gehalten.
• Subprozessoren: AWS und Google Cloud sind als Hosting-Subprozessoren bestätigt. Die aktuelle Subprozessor-Liste findet sich unter https://www.jotform.com/subprocessors/.
• Verschlüsselung: Optional stehen "Encrypted Forms 2.0" (RSA-2048-Feldverschlüsselung, formularspezifisch) und ein HIPAA-konformer Modus (Gold/Enterprise) zur Verfügung; relevant insbesondere bei sensiblen Daten.
• Cookie-Verhalten: Jotform betreibt eine zentrale Cookie-Übersicht unter https://www.jotform.com/cookie-policy/ sowie eine spezifische Liste für eingebettete Formulare unter https://www.jotform.com/cookie-list/forms/. Die im Embed konkret gesetzten Cookies hängen vom Formulartyp und aktivierten Funktionen ab und sollten vom Webseitenbetreiber im konkreten Einsatzszenario geprüft werden.
• Einstellungen für den Webseitenbetreiber: GDPR-Modus aktivieren, EU-Datacenter aktivieren, IP-Erfassung pro Formular deaktivieren, CAPTCHA-Variante wählen (reCAPTCHA, hCaptcha, JotCAPTCHA), Field Encryption aktivieren.
• Einstellungen für den Webseitenbesucher: Über das Consent-Banner der einbettenden Webseite kann das Embed verweigert werden; ergänzend stehen Browser-Cookie-Einstellungen zur Verfügung.
• Joint Controller Agreement: Ein Vertrag über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist nach den öffentlich zugänglichen Quellen nicht vorgesehen. Jotform positioniert sich als Auftragsverarbeiter.

I. Häufige Fragen zu Jotform und Datenschutz

J. Fazit zu Jotform und Hinweise zur Datenschutzerklärung

Jotform ist ein in der Praxis weit verbreitetes Drittanbieter-Werkzeug für Online-Formulare, das per JavaScript- oder iFrame-Embed in fremde Webseiten integriert wird. Beim Aufruf werden technisch zwingend Verbindungsdaten an Jotform-Server übertragen; ohne aktiviertes EU-Datacenter erfolgt das Hosting in den USA. Webseitenbetreiber müssen daher eine Rechtsgrundlage bestimmen, ein AVV abschließen, die Drittlandübermittlung adressieren (oder das EU-Datacenter aktivieren) und die Verarbeitung in der Datenschutzerklärung transparent darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Jotform einen eigenen Textbaustein aufzunehmen. Solche Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) erklärt und im Anhang: Empfänger auf einzelne Dienstleister wie Jotform verweist. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu Jotform und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com