WPForms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber WPForms ein, verarbeitet er die von Webseitenbesuchern übermittelten Formulardaten – typischerweise Name, E-Mail-Adresse und Nachrichteninhalt – zum Zweck der Kontaktaufnahme, Anfragenbearbeitung oder sonstiger Formularzwecke auf Basis berechtigter Interessen oder der Vertragsdurchführung (Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO). Da WPForms ein WordPress-Plugin ist, das die Daten standardmäßig in der eigenen WordPress-Datenbank speichert, liegt die datenschutzrechtliche Hauptverantwortung beim Betreiber der WordPress-Installation. Diese Seite erläutert, welche Daten beim Einsatz von WPForms verarbeitet werden und was in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von WPForms

WPForms ist ein WordPress-Plugin der WPForms, LLC (einer Tochter der Awesome Motive, Inc., USA), das die Erstellung von Kontaktformularen, Anmeldeformularen, Zahlungsformularen und vielen weiteren Formulartypen direkt in WordPress ermöglicht. Es gibt eine kostenfreie Lite-Version im WordPress-Plugin-Verzeichnis sowie kostenpflichtige Pro-Versionen (Basic, Plus, Pro, Elite) mit erweiterten Funktionen.

Wie alle WordPress-Plugins läuft WPForms auf dem eigenen WordPress-Server des Betreibers. Formulardaten, die Webseitenbesucher eingeben und absenden, werden standardmäßig in der WordPress-Datenbank des Betreibers gespeichert – also auf dem Server, den der Betreiber selbst hostet oder bei dessen Hosting-Anbieter betreibt. WPForms, LLC erhält diese Formulardaten grundsätzlich nicht.

WPForms bietet eine breite Palette an Add-ons und Integrationen, über die Formulardaten an externe Dienste weitergeleitet werden können: E-Mail-Marketing-Dienste (Mailchimp, Constant Contact, AWeber, Drip, GetResponse), CRM-Systeme (HubSpot, Salesforce), Zahlungsanbieter (Stripe, PayPal, Square, Authorize.net), Umfragedienste und viele weitere. Sobald solche Integrationen aktiv sind, verlassen Formulardaten die eigene WordPress-Installation. WPForms Pro-Versionen enthalten auch eine Conditional-Logic-Funktion, Datei-Upload-Felder, mehrstufige Formulare sowie einen GDPR-Modus mit Einwilligungs-Checkbox.

Ein direkter Kontakt zwischen Nutzer-Formulardaten und dem Anbieter WPForms, LLC findet im Normalbetrieb nicht statt; jedoch kann der Anbieter bei License-Validation-Anfragen und automatischen Plugin-Updates technische Metadaten der WordPress-Installation empfangen.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von WPForms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Da Formulardaten auf dem eigenen Server des Webseitenbetreibers verbleiben, ist der Betreiber für diese Verarbeitung selbst der datenschutzrechtliche Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Beschreibung in der Datenschutzerklärung betrifft daher zunächst die eigene Verarbeitungstätigkeit. Werden Add-ons mit externen Diensten eingesetzt, sind diese Empfänger zu benennen und es sind AVVs nach Art. 28 DSGVO abzuschließen.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für WPForms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Kontaktformulare, Anfragenbearbeitung, Drittanbieter-Integrationen …) beschrieben.

C. Anbieter von WPForms

WPForms, LLC ist eine Tochtergesellschaft der Awesome Motive, Inc. Nach den öffentlich zugänglichen Anbieter-Angaben:

• WPForms, LLC (Tochter der Awesome Motive, Inc.)
• Sitzland: USA (kein EWR-Land)
• Privacy Policy: https://wpforms.com/privacy/
• Terms of Service: https://wpforms.com/terms/

Die genaue aktuelle Geschäftsanschrift sollte vom Webseitenbetreiber auf der Anbieterwebseite oder im jeweiligen Vertrag verifiziert werden. Die Muttergesellschaft Awesome Motive, Inc. ist ebenfalls US-amerikanisch und betreibt weitere bekannte WordPress-Plugins (OptinMonster, MonsterInsights, WP Mail SMTP u.a.).

Für den Betrieb von WPForms als reines WordPress-Plugin ist die Rolle von WPForms, LLC datenschutzrechtlich begrenzt: Formulardaten der Webseitenbesucher verbleiben auf dem Server des Betreibers. WPForms, LLC kann jedoch Daten empfangen, wenn der Betreiber Lizenzen online validiert (dabei werden Lizenzschlüssel, Domainname und technische Umgebungsdaten übertragen) oder Plugin-Updates über den Anbieter-eigenen Update-Server abruft.

Eine DPF-Zertifizierung (EU-U.S. Data Privacy Framework) für WPForms, LLC bzw. Awesome Motive, Inc. ist aus den öffentlich zugänglichen Quellen nicht eindeutig bestätigt; der aktuelle Status sollte vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search geprüft werden. Da der Anbieter in den USA ansässig ist, sind bei technischen Kontakten (License-Validation, Updates) Drittlandübermittlungen in die USA zu berücksichtigen.

Wichtig: Werden Add-ons genutzt, die Formulardaten an US-amerikanische oder sonstige Drittanbieter weiterleiten (z.B. Mailchimp, Stripe, HubSpot), sind diese Dienste gesondert als Empfänger in der Datenschutzerklärung zu benennen und entsprechende AVVs abzuschließen.

D. Datenverarbeitung mit WPForms – Ablauf in Schritten

E. Verarbeitete Daten beim Einsatz von WPForms

Welche personenbezogenen Daten verarbeitet werden, hängt maßgeblich davon ab, welche Felder der Webseitenbetreiber im Formular konfiguriert. WPForms bietet eine breite Palette an Feldtypen: Text, E-Mail, Telefon, Datum, Datei-Upload, Dropdown, Checkbox, Bewertung, Unterschrift und viele weitere. Der Betreiber bestimmt vollständig, welche Daten er erhebt.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL der aufgerufenen Seite, Referrer-URL, HTTP-Statuscode, Browser und Betriebssystem (erhoben beim Aufruf der Formularseite durch den Hosting-Server); WPForms kann optional auch die IP-Adresse des Absenders im Formulareintrag speichern.
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte – je nach Konfiguration Name, E-Mail-Adresse, Telefonnummer, Anschrift, Nachrichtentext, Dateiuploads, Auswahlen, Unterschriften.
• Nutzungskonto-Daten: E-Mail-Adresse und Name des Besuchers, sofern diese im Formular abgefragt werden und für eine spätere Kommunikation gespeichert werden.
• Technische Telemetriedaten: bei License-Validation-Anfragen an WPForms, LLC werden Lizenzschlüssel, Domainname, WordPress-Version und Plugin-Version übermittelt.

F. Nutzungszwecke beim Einsatz von WPForms

WPForms wird von Webseitenbetreibern für eine Vielzahl von Formularen eingesetzt: Kontaktformulare, Anfragenformulare, Newsletter-Anmeldungen (via Integration), Buchungs- und Registrierungsformulare, Zahlungsformulare (via Stripe/PayPal-Add-ons), Umfragen und Bewerbungsformulare. Der konkrete Verarbeitungszweck ergibt sich aus dem jeweiligen Formulartyp.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Betrieb des Formulars auf der Webseite, Eingabevalidierung, Conditional Logic, Absende-Logik, E-Mail-Benachrichtigungen und Bestätigungen.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Buchungsformular, Zahlungsformular, Angebotsanfrage).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr; WPForms unterstützt Honeypot-Erkennung, CAPTCHA (reCAPTCHA v2/v3, hCaptcha) und eine eingebaute Anti-Spam-Erkennung.
• Kommunikation: Bearbeitung von Anfragen und Nachrichten, die über das Formular eingehen; Kundenservice und Korrespondenz.

G. Rechtsgrundlagen für den Einsatz von WPForms

WPForms fällt in die Tool-Kategorie WordPress-Formular-Plugin. Da die Formulardaten auf dem eigenen Server des Webseitenbetreibers verarbeitet werden, richtet sich die Rechtsgrundlage nach dem konkreten Zweck des jeweiligen Formulars:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): kommt typischerweise für reine Kontaktformulare in Betracht, bei denen der Betreiber ein berechtigtes Interesse an der Ermöglichung der Kontaktaufnahme, an der Bearbeitung von Kundenanfragen sowie am Missbrauchsschutz hat. Als konkrete Interessen kommen die Bereitstellung effizienter Kommunikationskanäle und der Schutz vor Spam und missbräuchlicher Nutzung in Betracht.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Anbahnung oder Durchführung eines Vertrags mit dem Besucher dient (Bestellung, Buchung, Anmeldung, Zahlung).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): wenn im Formular oder in Verbindung damit Cookies gesetzt werden (z.B. durch reCAPTCHA) oder wenn eine GDPR-Einwilligungs-Checkbox für Newsletter-Anmeldungen oder ähnliche Zwecke eingesetzt wird.

Die einschlägige Rechtsgrundlage ist im Einzelfall für jeden Formulartyp gesondert zu prüfen.

H. Besonderheiten und Hinweise zu WPForms

• GDPR-Modus und Einwilligungs-Checkbox: WPForms bietet in den Pro-Versionen einen dedizierten GDPR-Modus sowie ein eigenes Einwilligungs-Checkbox-Feld, das direkt im Formular platziert werden kann. Diese Funktion erleichtert die datenschutzkonforme Gestaltung von Formularen, die eine Einwilligung erfordern (z.B. Newsletter-Anmeldungen).
• AVV mit WPForms, LLC: Für den Betrieb des reinen WordPress-Plugins ohne Add-ons ist typischerweise kein AVV mit WPForms, LLC erforderlich. Einen AVV sollte der Betreiber jedoch mit dem Hosting-Anbieter abschließen, auf dessen Servern die WordPress-Datenbank liegt.
• Add-on-Integrationen: Jede Integration, die Formulardaten weiterleitet, begründet eine eigene Auftragsverarbeitung; der jeweilige Drittanbieter ist als Empfänger zu benennen und ein AVV abzuschließen. Bei US-amerikanischen Diensten ist die Drittlandübermittlung zu adressieren.
• reCAPTCHA und hCaptcha: WPForms unterstützt Google reCAPTCHA v2/v3 und hCaptcha als Spam-Schutz. Google reCAPTCHA überträgt beim Laden Daten an Google-Server und erfordert eine Einwilligung nach § 25 Abs. 1 TDDDG; hCaptcha kann datenschutzfreundlicher konfiguriert werden.
• Datenspeicherung deaktivieren: Pro Formular kann die Speicherung von Einträgen in der WordPress-Datenbank deaktiviert werden ("Disable Storing Entry Information in WordPress"). In diesem Fall werden Formulardaten nur per E-Mail weitergeleitet. Diese Option kann sinnvoll sein, wenn keine dauerhafte Datenbankspeicherung gewünscht ist.
• IP-Adressen-Speicherung: WPForms kann optional die IP-Adresse des Absenders mit dem Formulareintrag speichern. Diese Funktion sollte bewusst konfiguriert und in der Datenschutzerklärung adressiert werden.
• Zahlungsformulare: Bei Nutzung von Stripe- oder PayPal-Add-ons werden Zahlungsdaten an den jeweiligen Zahlungsanbieter übertragen; in diesem Fall sind separate Datenschutz- und Rechtsgrundlagen-Überlegungen für den Zahlungsvorgang anzustellen.

I. Häufige Fragen zu WPForms und Datenschutz

J. Fazit zu WPForms und Hinweise zur Datenschutzerklärung

WPForms ist ein in der WordPress-Welt weit verbreitetes Formular-Plugin, das sich datenschutzrechtlich positiv durch seine lokale Datenspeicherung auszeichnet: Formulardaten verbleiben im Standardbetrieb auf dem eigenen Server und werden nicht an WPForms, LLC oder andere Dritte übertragen. Gleichzeitig trägt der Webseitenbetreiber die vollständige Verantwortung für diese Daten – einschließlich Löschkonzept, Zugriffskontrolle und Datensicherheit. Die integrierten GDPR-Funktionen (GDPR-Modus, Einwilligungs-Checkbox) erleichtern eine datenschutzkonforme Umsetzung.

Besondere Aufmerksamkeit verdienen Add-on-Integrationen und Zahlungsformulare: Wer Formulardaten an externe Dienste weiterleitet, schafft Auftragsverarbeitungsbeziehungen, die entsprechende AVVs und ggf. Drittlandtransfer-Dokumentation erfordern. Auch der Einsatz von reCAPTCHA erzeugt eine externe Verbindung zu Google und erfordert eine Einwilligung.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für WPForms einen eigenen Tool-Textbaustein aufzunehmen. Sachgerechter ist ein themenorientierter Ansatz, der die Formularverarbeitung übergreifend beschreibt und eingesetzte Drittanbieter (Hosting, Add-on-Dienste) in einem Empfänger-Anhang benennt.

Dieser Beitrag dient der allgemeinen Information zu WPForms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com