Wufoo und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Wufoo ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adressen, Browser- und Endgeräte-Informationen sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis berechtigter Interessen oder einer Einwilligung (Art. 6 Abs. 1 lit. f bzw. lit. a DSGVO). Diese Seite erläutert, welche Daten Wufoo nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Wufoo

Wufoo ist ein Online-Formular-Builder, der seit 2011 zum Konzern von SurveyMonkey gehört. Der Dienst ermöglicht Webseitenbetreibern, Online-Formulare für Kontaktanfragen, Bewerbungen, Bestellungen, Registrierungen und Umfragen zu erstellen und zu verwalten. Wufoo stellt dabei die gesamte Infrastruktur bereit: Formular-Editor, Datenablage, Benachrichtigungen und Auswertungen.

Für Webseitenbetreiber datenschutzrechtlich relevant ist vor allem die Einbindung des Formulars in die eigene Webseite. Wufoo bietet dafür zwei Methoden an: Entweder wird das Formular als <iframe> direkt in eine Seite eingebettet, oder es kommt ein asynchroner JavaScript-Embed-Code zum Einsatz, der das Formular dynamisch in die Seite lädt. Beide Varianten führen dazu, dass beim Seitenaufruf Anfragen an die Server von Wufoo bzw. SurveyMonkey gestellt werden und dabei technische Verbindungsdaten übermittelt werden. Daneben existiert die Möglichkeit, Besucher über einen direkten Link auf ein eigenständiges Wufoo-Formular weiterzuleiten; dies ist datenschutzrechtlich anders zu beurteilen als die Einbettung.

Im Vordergrund dieser Seite steht die in der Praxis verbreitete Variante: die technische Einbettung in die eigene Webseite per iFrame oder JavaScript.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Wufoo

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Wufoo – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt.

Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking …) beschrieben; die konkret eingesetzten Dienstleister wie Wufoo werden in einem Anhang: Empfänger aufgelistet. Das hält die Erklärung lesbar, pflegbar und rechtskonform zugleich.

C. Anbieter: Wufoo (SurveyMonkey)

Wufoo ist ein Produkt des SurveyMonkey-Konzerns. Für deutsche und europäische Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben der zuständige Vertragspartner:

• SurveyMonkey Europe UC
• Sitzland: Irland (EWR)
• Eingetragene Anschrift: Ella House, Suite 40.4, 40 Merrion Square East, Dublin 2, D02 NP96, Irland (vom Betreiber anhand des aktuellen AVV zu verifizieren, da das Unternehmen in der Vergangenheit die Adresse geändert hat)
• Privacy Policy: https://www.surveymonkey.com/mp/legal/privacy/
• Wufoo-spezifische Datenschutzseite: https://help.surveymonkey.com/en/wufoo/account/wufoo-privacy-gdpr/
• Data Processing Agreement: https://www.surveymonkey.com/mp/legal/data-processing-agreement/
• Subprozessoren-Liste: https://www.surveymonkey.com/mp/legal/subprocessor-list/

Konzernstruktur: Muttergesellschaft ist die SurveyMonkey Inc. (USA), die zugleich als Subprozessoren-Dienstleister für den Konzern agiert. Weitere Konzerngesellschaften sind u. a. SurveyMonkey Australia Pty Limited, SurveyMonkey Canada Inc., SurveyMonkey UK Ltd. und SurveyMonkey Technology Costa Rica.

DPF-Status: SurveyMonkey Inc. hat sich nach Anbieter-Angaben unter dem EU-U.S. Data Privacy Framework (DPF), dem UK-Extension-DPF und dem Swiss-U.S. DPF selbst zertifiziert. Der aktuelle Zertifizierungsstatus ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen.

D. Datenverarbeitung mit Wufoo – Ablauf in Schritten

E. Von Wufoo erhobene Daten

Beim Embed eines Wufoo-Formulars verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben zunächst technische Verbindungsdaten: IP-Adresse, User-Agent, Referrer, Datum und Uhrzeit des Zugriffs. Aus der IP-Adresse kann ein ungefährer Standort abgeleitet werden. Hinzu kommen sämtliche Inhalte, die der Besucher in das Formular eingibt – je nach Konfiguration also etwa Name, E-Mail-Adresse, Telefonnummer, Freitext-Antworten, Auswahlen und ggf. hochgeladene Dateien. Wufoo stellt dem Webseitenbetreiber diese Antwortdaten im Account-Backend zur Verfügung.

Die erhobenen Daten lassen sich in folgende Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, URL des Formular-Endpunkts, Referrer-URL, User-Agent, Statuscode
• Endgeräte-Daten: Gerätetyp, Betriebssystem
• Browserinformationen: Browsername und -version
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene
• Nutzer-Inhalte: alle vom Besucher eingegebenen Formularantworten, Auswahlen, hochgeladene Dateien
• Conversion-Ereignisse: das Absenden des Formulars als Ereignis

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Wufoo

Der Webseitenbetreiber nutzt Wufoo typischerweise, um auf seiner Webseite strukturierte Eingabemöglichkeiten bereitzustellen: Kontaktformulare, Bewerbungsformulare, Bestellformulare, Registrierungen oder Feedback-Bögen. Die eingehenden Antworten werden zur Bearbeitung der jeweiligen Anfragen oder Vorgänge verwendet.

Die Zwecke lassen sich in folgende Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung und Betrieb des eingebetteten Formulars, Entgegennahme und Weiterverarbeitung von Eingaben, Fehlererkennung
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, wenn das Formular auf einen Vertragsschluss gerichtet ist (z. B. Bestellung, Buchung, Bewerbung)
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, Erkennung missbräuchlicher Eingaben
• Kommunikation: Bearbeitung von Anfragen auf Basis der im Formular übermittelten Kontaktdaten
• Erfüllung von Aufbewahrungspflichten: gesetzliche Aufbewahrungsfristen für eingegangene Vorgänge

G. Rechtsgrundlagen für den Einsatz von Wufoo

Wufoo fällt in die Tool-Kategorie Formular-Tool (Drittanbieter-Formular, das in die eigene Webseite eingebettet wird).

Als Rechtsgrundlagen kommen in Betracht:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz und Missbrauchsschutz. Diese Grundlage ist beim rein funktionalen Einsatz eines Kontaktformulars ohne Tracking-Komponenten denkbar; angesichts der Drittlandübermittlung in die USA (trotz DPF-Zertifizierung) ist eine Einzelfallabwägung geboten.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Vertragsanbahnung oder -abwicklung mit dem Nutzer dient (z. B. Bestellformular, Buchungsanfrage).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): sofern der Embed beim Seitenaufruf Cookies oder vergleichbare Technologien setzt oder Tracking-Integrationen aktiv sind; in diesem Fall ist eine Einwilligung über das Consent-Banner regelmäßig die rechtssicherere Variante.

Die einschlägige Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Wufoo

• AVV/DPA: SurveyMonkey stellt einen Auftragsverarbeitungsvertrag (Data Processing Agreement) unter https://www.surveymonkey.com/mp/legal/data-processing-agreement/ bereit. Der Abschluss ist beim Einsatz von Wufoo zur Verarbeitung personenbezogener Daten regelmäßig zwingend.
• Drittlandtransfer / DPF: Datentransfers in die USA finden nach Anbieter-Angaben statt. SurveyMonkey Inc. gibt an, unter dem EU-U.S. Data Privacy Framework (DPF) selbst zertifiziert zu sein. Ergänzend stützt der Anbieter Transfers auf die EU-Standardvertragsklauseln (SCC). Den aktuellen DPF-Zertifizierungsstatus sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.
• Subprozessoren: Die Subprozessor-Liste von SurveyMonkey/Wufoo umfasst nach öffentlichen Angaben u. a. AWS (Hosting), Microsoft und weitere SurveyMonkey-Konzerngesellschaften. Die stets aktuelle Liste ist abrufbar unter https://www.surveymonkey.com/mp/legal/subprocessor-list/.
• EU-Datenspeicherung: Eine Datenspeicherung innerhalb der EU ist nach Anbieter-Angaben nicht für alle Tarife verfügbar; die Standardspeicherung erfolgt in den USA. Ob für den gewählten Tarif eine EU-Option besteht, ist vom Betreiber zu prüfen.
• Einstellungen für den Webseitenbetreiber: Wufoo erlaubt im Formular-Backend die Konfiguration von Pflichtfeldern, Validierung und Benachrichtigungs-E-Mails. Eine granulare IP-Anonymisierung oder Cookie-Opt-Out-Funktion ist aus den öffentlich zugänglichen Dokumenten nicht erkennbar; der aktuelle Stand ist vom Betreiber zu prüfen.

I. Häufige Fragen zu Wufoo und Datenschutz

J. Fazit und Handlungsempfehlung

Wufoo ist ein weit verbreitetes Drittanbieter-Werkzeug für Online-Formulare, das per iFrame oder JavaScript-Snippet in fremde Webseiten eingebettet wird. Beim Aufruf werden technisch zwingend Verbindungsdaten an Server des SurveyMonkey-Konzerns übermittelt, die nach Anbieter-Angaben primär in den USA liegen. Webseitenbetreiber müssen daher eine geeignete Rechtsgrundlage bestimmen, einen Auftragsverarbeitungsvertrag abschließen, den Drittlandtransfer adressieren und die Verarbeitung transparent darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Wufoo einen eigenen Textbaustein aufzunehmen. Solche Tool-by-Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken erklärt und im Empfänger-Anhang auf einzelne Dienstleister wie Wufoo bzw. SurveyMonkey verweist. Das ist die Methodik des matterius-Generators.

K. Autor

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com