Ninja Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Ninja Forms ein, verarbeitet er die von Webseitenbesuchern übermittelten Formulardaten – typischerweise Name, E-Mail-Adresse und sonstige Eingaben – zum Zweck der Kontaktaufnahme, Anfragenbearbeitung oder sonstiger Formularzwecke auf Basis berechtigter Interessen oder der Vertragsdurchführung (Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO). Da Ninja Forms ein WordPress-Plugin ist, das die Daten standardmäßig in der eigenen WordPress-Datenbank speichert, liegt die datenschutzrechtliche Hauptverantwortung beim Betreiber der WordPress-Installation. Diese Seite erläutert, welche Daten beim Einsatz von Ninja Forms verarbeitet werden und was in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Ninja Forms

Ninja Forms ist ein WordPress-Plugin der Saturday Drive, LLC (Nashville, Tennessee, USA), das die Erstellung beliebiger Formulare direkt in WordPress ermöglicht – ohne Programmierkenntnisse, per Drag-and-Drop-Oberfläche. Es gibt eine kostenfreie Basisversion im WordPress-Plugin-Verzeichnis sowie kostenpflichtige Add-ons und Erweiterungspakete.

Anders als SaaS-Formulartools wie Typeform oder Jotform wird Ninja Forms auf dem eigenen WordPress-Server des Betreibers installiert und betrieben. Das bedeutet: Formulardaten, die Webseitenbesucher eingeben und absenden, werden standardmäßig in der WordPress-Datenbank des Betreibers gespeichert – also auf dem Server, den der Betreiber selbst hostet oder bei dessen Hosting-Anbieter. Saturday Drive, der Anbieter von Ninja Forms, erhält diese Formulardaten grundsätzlich nicht.

Der Anbieter kommt jedoch dann ins Spiel, wenn kostenpflichtige Lizenzen verwaltet werden (License-Validation-Anfragen an Saturday-Drive-Server), automatische Plugin-Updates durchgeführt werden oder der Betreiber optionale Add-ons aktiviert, die Daten an externe Drittanbieter weiterleiten. Zu solchen Add-ons gehören unter anderem Integrationen für E-Mail-Marketing-Dienste (Mailchimp, ActiveCampaign, Constant Contact), CRM-Systeme (Salesforce, HubSpot, Zoho), Zahlungsanbieter (Stripe, PayPal) und weitere Dienste. Sobald solche Add-ons aktiv sind, verlassen Formulardaten die eigene WordPress-Installation und werden an Dritte übertragen.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Ninja Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Für ein reines WordPress-Plugin wie Ninja Forms gilt dabei eine Besonderheit: Da die Formulardaten auf dem eigenen Server des Webseitenbetreibers gespeichert werden, ist der Webseitenbetreiber für diese Verarbeitung selbst der datenschutzrechtliche Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Beschreibung in der Datenschutzerklärung muss daher die eigene Verarbeitungstätigkeit beschreiben – nicht einen Dritten als Anbieter. Werden jedoch Add-ons eingesetzt, die Daten an externe Dienstleister weiterleiten, sind diese Drittanbieter als Empfänger zu benennen; ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist dann regelmäßig erforderlich.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Ninja Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Kontaktformulare, Anfragenbearbeitung, Drittanbieter-Integrationen …) beschrieben.

C. Anbieter von Ninja Forms

Saturday Drive, LLC ist der Entwickler und Anbieter des Ninja-Forms-Plugins. Nach den öffentlich zugänglichen Anbieter-Angaben:

• Saturday Drive, LLC
• Anschrift: 1016 16th Ave S, Nashville, TN 37212, USA
• Sitzland: USA (kein EWR-Land)
• Privacy Policy: https://ninjaforms.com/privacy/
• Terms of Service: https://ninjaforms.com/terms/

Für den Betrieb von Ninja Forms als reines WordPress-Plugin ist die Rolle von Saturday Drive datenschutzrechtlich begrenzt: Da Formulardaten auf dem Server des Webseitenbetreibers verbleiben, ist Saturday Drive in Bezug auf diese Daten typischerweise kein Auftragsverarbeiter des Webseitenbetreibers. Saturday Drive kann jedoch Daten empfangen, wenn der Betreiber:

• die Lizenz online validiert (dabei werden technische Daten wie Lizenzschlüssel, Domainname und IP-Adresse übertragen),
• Plugin-Updates über den üblichen WordPress-Update-Mechanismus oder den Anbieter-eigenen Update-Server abruft,
• optionale Telemetrie-Funktionen aktiviert hat (sofern vorhanden).

Eine DPF-Zertifizierung (EU-U.S. Data Privacy Framework) für Saturday Drive, LLC ist aus den öffentlich zugänglichen Quellen nicht eindeutig bestätigt; der aktuelle Status sollte vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search geprüft werden. Da Saturday Drive in den USA ansässig ist, sind bei diesen technischen Kontakten Drittlandübermittlungen in die USA zu berücksichtigen.

Wichtig: Werden Add-ons genutzt, die Formulardaten an US-amerikanische oder sonstige Drittanbieter (z.B. Mailchimp, Stripe, Salesforce) weiterleiten, sind diese Dienste gesondert als Empfänger in der Datenschutzerklärung zu benennen und entsprechende AVVs abzuschließen.

D. Datenverarbeitung mit Ninja Forms – Ablauf in Schritten

E. Verarbeitete Daten beim Einsatz von Ninja Forms

Welche personenbezogenen Daten beim Einsatz von Ninja Forms verarbeitet werden, hängt maßgeblich davon ab, welche Felder der Webseitenbetreiber im Formular konfiguriert. Pflichtfelder, optionale Felder, versteckte Felder und hochgeladene Dateien liegen vollständig im Gestaltungsermessen des Betreibers. Technisch werden daneben Webserver-Protokolldaten beim Aufruf der Formularseite erhoben.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL der aufgerufenen Seite, Referrer-URL, HTTP-Statuscode, Browser und Betriebssystem (erhoben beim Aufruf der WordPress-Seite durch den Hosting-Server).
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte – je nach Konfiguration Name, E-Mail-Adresse, Telefonnummer, Anschrift, Freitext-Nachricht, Dateiuploads, Auswahlen.
• Nutzungskonto-Daten: E-Mail-Adresse und Name des Besuchers, sofern diese im Formular abgefragt werden.
• Technische Telemetriedaten: bei License-Validation-Anfragen an Saturday Drive werden Lizenzschlüssel, Domainname, IP-Adresse und Plugin-Version übermittelt.

F. Nutzungszwecke beim Einsatz von Ninja Forms

Ninja Forms wird von Webseitenbetreibern typischerweise für Kontaktformulare, Anfragenformulare, Buchungsformulare, Bewerbungsformulare, Newsletter-Anmeldungen (in Verbindung mit Add-ons) oder Support-Formulare eingesetzt. Der konkrete Verarbeitungszweck ergibt sich aus dem Formulartyp und der konfigurierten Weiterverarbeitungslogik.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Betrieb des Formulars auf der Webseite, Eingabevalidierung, Absende-Logik, E-Mail-Benachrichtigungen.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Buchungsformular, Angebotsanfrage).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr; Ninja Forms bietet eingebaute Honeypot-Funktion sowie optionale reCAPTCHA-Integration.
• Kommunikation: Bearbeitung von Anfragen und Nachrichten, die über das Formular eingehen; Kundenservice und Korrespondenz.

G. Rechtsgrundlagen für den Einsatz von Ninja Forms

Ninja Forms fällt in die Tool-Kategorie WordPress-Formular-Plugin. Da die Daten auf dem eigenen Server des Webseitenbetreibers verarbeitet werden, richtet sich die Rechtsgrundlage nach dem konkreten Zweck des jeweiligen Formulars:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): kommt typischerweise für reine Kontaktformulare in Betracht, bei denen der Betreiber ein berechtigtes Interesse an der Ermöglichung der Kontaktaufnahme sowie am Missbrauchsschutz hat. Das Interesse des Betreibers an effizienter Kommunikation überwiegt in diesen Fällen regelmäßig die Interessen des Besuchers, sofern die Formulare keine exzessiven Daten abfragen.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Anbahnung oder Durchführung eines Vertrags mit dem Besucher dient (Bestellung, Buchung, Bewerbung).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): wenn im Formular oder in Verbindung damit Cookies gesetzt werden (z.B. durch ein reCAPTCHA-Add-on oder ein Analytics-Cookie), ist eine Einwilligung für das Setzen dieser nicht technisch notwendigen Cookies erforderlich.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): wenn die Datenerhebung zur Erfüllung gesetzlicher Pflichten erforderlich ist (z.B. handelsrechtliche Aufbewahrungspflichten für Bestelldaten).

Die einschlägige Rechtsgrundlage ist im Einzelfall für jeden Formulartyp gesondert zu prüfen.

H. Besonderheiten und Hinweise zu Ninja Forms

• AVV mit Saturday Drive: Für den Betrieb des reinen WordPress-Plugins (ohne Add-ons) ist typischerweise kein AVV mit Saturday Drive erforderlich, da Formulardaten nicht an Saturday Drive übermittelt werden. Saturday Drive empfängt im Wesentlichen nur technische Metadaten bei License-Validation; ob hierfür ein AVV benötigt wird, ist im Einzelfall zu prüfen.
• AVV mit Hosting-Anbieter: Da die WordPress-Datenbank auf dem Server des Hosting-Anbieters liegt, sollte mit dem Hosting-Anbieter ein AVV nach Art. 28 DSGVO abgeschlossen werden, sofern dieser nicht ohnehin Teil der AGB ist.
• Add-on-Integrationen: Jedes Add-on, das Formulardaten an externe Dienste weiterleitet (z.B. Mailchimp, Stripe, Salesforce, HubSpot), begründet eine eigene Auftragsverarbeitung oder ggf. gemeinsame Verantwortlichkeit; der entsprechende Drittanbieter ist als Empfänger in der Datenschutzerklärung zu nennen und ein AVV abzuschließen.
• Drittlandübermittlung über Add-ons: Bei US-amerikanischen Add-on-Diensten ist die Drittlandübermittlung in die USA zu adressieren. Die jeweiligen Standardvertragsklauseln (SCC) oder eine DPF-Zertifizierung des Empfängers sind als Übermittlungsgarantie zu prüfen.
• reCAPTCHA-Integration: Ninja Forms kann optional Google reCAPTCHA einbinden. Beim Laden von reCAPTCHA werden Verbindungsdaten an Google-Server übertragen; dies erfordert eine Einwilligung nach § 25 Abs. 1 TDDDG und ist in der Datenschutzerklärung gesondert zu adressieren.
• GDPR-Einstellungen: In Ninja Forms können Spam-Schutz per Honeypot (cookiefrei, keine externe Verbindung), Submit-Limitierung und weitere Einstellungen aktiviert werden. Die Submission-Speicherung kann deaktiviert werden, wenn Formulardaten nicht dauerhaft in der Datenbank gespeichert werden sollen.
• Datenspeicherung deaktivieren: Unter den Formular-Einstellungen kann die Speicherung von Submissions in der WordPress-Datenbank deaktiviert werden; in diesem Fall werden die Daten nur per E-Mail weitergeleitet und nicht in der Datenbank abgelegt.

I. Häufige Fragen zu Ninja Forms und Datenschutz

J. Fazit zu Ninja Forms und Hinweise zur Datenschutzerklärung

Ninja Forms ist ein WordPress-Formular-Plugin, das sich in datenschutzrechtlicher Hinsicht grundlegend von SaaS-Formulartools unterscheidet: Formulardaten verbleiben im Standardbetrieb auf dem eigenen WordPress-Server des Betreibers und werden nicht an den Plugin-Anbieter Saturday Drive übertragen. Der Webseitenbetreiber ist damit für die Formulardaten vollständig selbst verantwortlich. Dies ist datenschutzrechtlich grundsätzlich vorteilhaft, bedeutet aber auch, dass Pflichten wie Löschkonzept, Zugriffskontrolle und sichere Übertragung (HTTPS) selbst organisiert werden müssen.

Besonders sorgfältig zu prüfen sind Add-on-Integrationen: Wer Formulardaten an externe CRM-, E-Mail-Marketing- oder Zahlungsdienste weiterleitet, schafft damit Auftragsverarbeitungsbeziehungen, die entsprechende AVVs und ggf. Drittlandtransfer-Dokumentation erfordern.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Ninja Forms einen eigenen Tool-Textbaustein aufzunehmen. Solche Bausteine machen Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar. Sachgerechter ist ein themenorientierter Ansatz, der den Formular-Einsatz übergreifend beschreibt und eingesetzte Drittanbieter (Hosting, Add-on-Dienste) in einem Empfänger-Anhang benennt.

Dieser Beitrag dient der allgemeinen Information zu Ninja Forms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com