Typeform und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Typeform ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adresse, Browser- und Endgeräte-Informationen sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis einer Drittanbieter-Inhalte-Einwilligung oder eines berechtigten Interesses (Art. 6 Abs. 1 lit. a oder f DSGVO). Diese Seite erläutert, welche Daten Typeform nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Typeform

Typeform ist ein Formular- und Umfrage-Werkzeug der TYPEFORM S.L. (Spanien). Webseitenbetreiber erstellen damit Online-Formulare, Umfragen, Quizze und Lead-Generierungs-Bögen, die der Anbieter auf eigenen Servern bereitstellt.

Für Webseitenbetreiber relevant ist vor allem die Integration des Formulars in die eigene Webseite. Typeform stellt dafür mehrere Embed-Varianten bereit: Standard-/Inline-Widget, Full-Page-Embed, Popup, Slider, Popover und Side-Tab. Technisch wird das Formular jeweils in einem <iframe> aus der Domain *.typeform.com geladen; das Embed-Snippet bindet zusätzlich JavaScript des Anbieters nach. Für die Einbindung gibt es eine Vanilla-JavaScript-Bibliothek (@typeform/embed) und ein React-SDK (@typeform/embed-react).

Daneben erlaubt Typeform die rein verlinkte Bereitstellung eines Formulars als Standalone-URL (form.typeform.com/...); dies entspricht keiner Einbindung im engeren Sinn, sondern einer Weiterleitung. Diese Toolseite fokussiert sich auf den im Praxis-Einsatz häufigeren Embed in die eigene Webseite.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Typeform

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von Typeform ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Typeform – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister wie Typeform werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter von Typeform

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• TYPEFORM S.L.
• Sitzland: Spanien (EWR)
• DPO-Kontakt: dpo@typeform.com
• Privacy Policy: https://www.typeform.com/privacy-policy/
• Cookie Policy: https://www.typeform.com/legal/cookie-policy/
• Data Processing Agreement: https://www.typeform.com/dpa

Die genaue aktuelle Geschäftsanschrift sollte vom Webseitenbetreiber im aktuellen Auftragsverarbeitungsvertrag bzw. auf der Anbieterseite verifiziert werden.

Konzernstruktur: Typeform betreibt eine US-Tochter (TYPEFORM US LLC, San Francisco, USA), die im Subprozessor-Verbund eine Rolle spielen kann. Ergänzend nutzt Typeform Amazon Web Services (AWS) als Hosting-Subprozessor; die Standard-Hosting-Region ist nach Anbieter-Angaben US-East (Virginia, USA). Eine EU-Hosting-Option besteht nach Anbieter-Angaben nur für höhere Tarifstufen.

D. Datenverarbeitung mit Typeform – Ablauf in Schritten

E. Von Typeform erhobene Daten

Beim Embed eines Typeform-Formulars verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere folgende Datenkategorien: technische Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel, Referrer), Browser- und Endgeräte-Informationen sowie Verbindungs-Metadaten. Aus der IP-Adresse generiert Typeform nach eigenen Angaben eine "Network ID" (Hash). Hinzu kommen sämtliche Inhalte, die der Besucher im Formular eingibt – je nach Konfiguration also auch Name, E-Mail-Adresse, Telefonnummer, Freitext-Antworten oder hochgeladene Dateien.

Bindet der Form-Ersteller weitere Integrationen ein (z.B. Facebook Pixel, Google Analytics, HubSpot), kommen ergänzend Tracking-Daten hinzu. Solche Integrationen sind im Typeform-Backend optional aktivierbar.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts (Embed-Endpunkt), Referrer-URL der einbettenden Seite, Statuscode, übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmgröße und -auflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeinde-Ebene.
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte, also Antworten, Auswahlen, hochgeladene Dateien.
• Klickpfade und Interaktionsdaten: Klicks innerhalb des Formulars, Verweildauer pro Frage; sofern Form-Tracking aktiv ist.
• Conversion-Ereignisse: bei aktivierten Marketing-Integrationen (Pixel, Analytics) das Absenden eines Formulars als Conversion.
• Technische Telemetriedaten: Performance- und Fehlerdaten der Embed-Komponente.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Typeform

Der Webseitenbetreiber nutzt Typeform regelmäßig zur Bereitstellung interaktiver Formulare, also etwa zur Lead-Erfassung, für Bewerbungen, Umfragen, Buchungen, Feedback-Bögen oder Support-Anfragen. Daneben werden die erhobenen Daten zur Auswertung der Antworten, zur Bearbeitung der Anliegen sowie ggf. zur Optimierung des Formulars selbst verwendet.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des eingebetteten Formulars (Anzeige, Eingabevalidierung, Absende-Logik), Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Buchung, Bestellung, Registrierung).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, insbesondere bei Aktivierung von reCAPTCHA, sowie Erkennung und Verhinderung sonstiger missbräuchlicher Eingaben.
• Kommunikation: Nutzung der im Formular angegebenen Kontaktdaten zur Beantwortung des Anliegens des Nutzers oder zur weiteren Korrespondenz.
• Allgemeine Produktverbesserung: Auswertung aggregierter Antwort- und Abbruchdaten zur Optimierung von Formularen und Prozessen.

Werden zusätzliche Tracking- oder Marketing-Integrationen aktiviert, kommen je nach Konfiguration auch Nutzerprofil-Erstellung, Allgemeines Marketing und Nutzer-individuelles Marketing als Zwecke in Betracht.

G. Rechtsgrundlagen für den Einsatz von Typeform

Typeform fällt in die Tool-Kategorie Drittanbieter-Inhalte (eingebettetes Formular eines externen Anbieters), in bestimmten Konfigurationen ergänzt um eine Tracking-Komponente (wenn Marketing-Pixel, Analytics-Integrationen oder ähnliches im Formular aktiviert sind).

Als Rechtsgrundlagen für den Einsatz von Typeform kommen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) als Drittanbieter-Inhalte-Einwilligung: Da das Embed beim Seitenaufruf zwingend Verbindungsdaten an einen US-Subprozessor überträgt und Typeform Cookies setzen kann, ist eine Einwilligung über das Consent-Banner regelmäßig die rechtssicherere Variante. Bei aktivierten Tracking-/Marketing-Integrationen ist die Einwilligung praktisch zwingend.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular dem Abschluss oder der Anbahnung eines konkreten Vertrags zwischen Webseitenbetreiber und Nutzer dient (z.B. Bestellformular, Bewerbung, Buchung).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz, Sicherheit und Missbrauchsschutz. Diese Grundlage kommt bei einem rein funktionalen Embed ohne Tracking-Komponenten in Betracht; angesichts der Drittlandübermittlung in die USA ist eine Einzelfallabwägung angezeigt.

Die einschlägige Rechtsgrundlage hängt vom konkreten Einsatzzweck und der konkreten Konfiguration des Formulars ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Typeform

• AVV/DPA: Typeform stellt einen vorab unterschriebenen Auftragsverarbeitungsvertrag unter https://www.typeform.com/dpa bereit. Der Abschluss ist beim Einsatz des Tools für die Verarbeitung personenbezogener Daten regelmäßig zwingend.
• Drittlandtransfer: Eine Übermittlung in die USA findet nach Anbieter-Angaben statt (Standard-Hosting-Region AWS US-East, Virginia). Typeform stützt diese Transfers nach eigenen Angaben auf die EU-Standardvertragsklauseln (SCC). Eine DPF-Zertifizierung der TYPEFORM US LLC ist aus den öffentlich zugänglichen Quellen nicht eindeutig bestätigt; der aktuelle Status ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen.
• EU-Hosting: Eine optionale EU-Datenresidenz steht nach Anbieter-Angaben nur in höheren Tarifstufen (Enterprise / Growth Custom) zur Verfügung; eine Self-hosted-Variante existiert nicht.
• Subprozessoren: AWS ist als Hosting-Subprozessor bestätigt. Die aktuelle Subprozessor-Liste findet sich unter https://www.typeform.com/help/a/what-other-companies-do-we-share-data-with-360029617191/.
• Cookie-Verhalten: Beim Embed werden nach Anbieter-Angaben Drittanbieter-Cookies aus der Domain typeform.com gesetzt. Eine vollständige öffentliche Liste aller Eigen-Cookies mit Namen und Zweck ist nicht abschließend dokumentiert; ergänzend können Cookies durch aktivierte Drittanbieter-Integrationen entstehen (z.B. _ga, _fbp, _gcl_au).
• Einstellungen für den Webseitenbetreiber: Typeform bietet eine eigene "Activate cookie consent"-Funktion innerhalb des Formulars; das integrierte reCAPTCHA lässt sich pro Formular abschalten; Marketing-/Analytics-Integrationen sind optional und sollten nur bei vorliegender Einwilligung aktiviert werden.
• Einstellungen für den Webseitenbesucher: Über das Consent-Banner der einbettenden Webseite kann das Embed verweigert werden; ergänzend stehen Browser-Cookie-Einstellungen zur Verfügung.
• Joint Controller Agreement: Ein Vertrag über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist in den öffentlich zugänglichen Quellen nicht erkennbar. Die Rolle als Auftragsverarbeiter ergibt sich aus dem Standard-DPA.

I. Häufige Fragen zu Typeform und Datenschutz

J. Fazit zu Typeform und Hinweise zur Datenschutzerklärung

Typeform ist ein in der Praxis weit verbreitetes Drittanbieter-Werkzeug für Online-Formulare, das per Embed in fremde Webseiten integriert wird. Beim Aufruf werden technisch zwingend Verbindungsdaten an Typeform-Server übertragen; die Standard-Hosting-Region liegt nach Anbieter-Angaben in den USA. Webseitenbetreiber müssen daher eine Rechtsgrundlage bestimmen, ein AVV abschließen, die Drittlandübermittlung adressieren und die Verarbeitung in der Datenschutzerklärung transparent darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Typeform einen eigenen Textbaustein aufzunehmen. Solche Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) erklärt und im Anhang: Empfänger auf einzelne Dienstleister wie Typeform verweist. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu Typeform und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com