Cognito Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Cognito Forms ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adressen, Browser- und Endgeräte-Informationen sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis berechtigter Interessen oder einer Einwilligung (Art. 6 Abs. 1 lit. f bzw. lit. a DSGVO). Diese Seite erläutert, welche Daten Cognito Forms nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Cognito Forms

Cognito Forms ist ein Online-Formular-Builder der Cognito, LLC mit Sitz in Columbia, South Carolina, USA. Der Dienst ermöglicht es Webseitenbetreibern, komplexe Online-Formulare zu erstellen – darunter Kontaktformulare, Bestellformulare mit Zahlungsintegration, Bewerbungsformulare, Umfragen und mehrseitige Formulare mit bedingter Logik.

Für Webseitenbetreiber datenschutzrechtlich relevant ist vor allem die Einbindung des Formulars in die eigene Webseite. Cognito Forms bietet dafür zwei Integrationsmethoden: Den Seamless Embed per JavaScript-Script-Tag (Einbindung über ein <script>-Element aus www.cognitoforms.com/f/seamless.js) sowie den klassischen <iframe>-Embed. Beim Seamless Embed lädt der Browser des Besuchers JavaScript direkt von den Servern des Anbieters; dabei werden technisch zwingend Verbindungsdaten übermittelt. Der iFrame-Embed bewirkt dasselbe durch das Laden eines eigenständigen Dokuments aus der Anbieter-Domain.

Daneben bietet Cognito Forms eine WordPress-Plugin-Integration. Diese Seite fokussiert sich auf die Einbettung in eine eigene Webseite, da diese Form der Integration die datenschutzrechtlich relevante Datenübermittlung an den Anbieter auslöst.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Cognito Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Cognito Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt.

Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking …) beschrieben; die konkret eingesetzten Dienstleister wie Cognito Forms werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter: Cognito Forms

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• Cognito, LLC
• Sitzland: USA
• Eingetragene Anschrift: 1310 Gadsden Street, Suite 100, Columbia, SC 29201, USA
• Privacy Policy: https://www.cognitoforms.com/legal/privacy
• Data Protection & Privacy-Seite: https://www.cognitoforms.com/product/data-protection-privacy
• Data Processing Addendum (DPA): https://www.cognitoforms.com/Content/Cognito%20Forms%20DPA%20Sample.pdf

DPF-Status: Cognito, LLC gibt nach eigenen Angaben an, unter dem EU-U.S. Data Privacy Framework (EU-U.S. DPF), dem UK Extension to the EU-U.S. DPF sowie dem Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) selbst zertifiziert zu sein. Den aktuellen Zertifizierungsstatus kann der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.

Cognito Forms ist ein unabhängiges Unternehmen ohne erkennbare Konzernanbindung. Server und Büros des Anbieters befinden sich nach eigenen Angaben in den USA.

D. Datenverarbeitung mit Cognito Forms – Ablauf in Schritten

E. Von Cognito Forms erhobene Daten

Beim Embed eines Cognito Forms-Formulars verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben zunächst technische Verbindungsdaten: IP-Adresse, User-Agent, Referrer, Datum und Uhrzeit des Zugriffs. Hinzu kommen sämtliche Inhalte, die der Besucher in das Formular eingibt – je nach Formulargestaltung also etwa Name, E-Mail-Adresse, Telefonnummer, Adressen, Freitext-Antworten, Auswahlen, Zahlungsinformationen und hochgeladene Dateien. Cognito Forms stellt dem Webseitenbetreiber diese Antwortdaten im Account-Backend zur Verfügung.

Die erhobenen Daten lassen sich in folgende Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, URL des angefragten Skript- oder iFrame-Endpunkts, Referrer, User-Agent, Statuscode
• Endgeräte-Daten: Gerätetyp, Betriebssystem
• Browserinformationen: Browsername und -version
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene
• Nutzer-Inhalte: alle vom Besucher eingegebenen Formularantworten, Auswahlen, hochgeladene Dateien sowie – bei Zahlungsformularen – Zahlungsdaten (sofern Zahlungsintegration aktiv)
• Conversion-Ereignisse: das Absenden des Formulars als messbares Ereignis

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Cognito Forms

Der Webseitenbetreiber nutzt Cognito Forms, um auf seiner Webseite strukturierte Eingabemöglichkeiten bereitzustellen: Kontaktformulare, Bestellformulare, Bewerbungsformulare, Registrierungen oder Umfragen. Cognito Forms zeichnet sich durch die Möglichkeit aus, Formulare mit komplexer bedingter Logik, Berechnungen und Zahlungsabwicklung zu kombinieren, was den Einsatz auch in stärker transaktionalen Prozessen ermöglicht.

Die Zwecke lassen sich in folgende Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung und Betrieb des eingebetteten Formulars, Entgegennahme und Weiterverarbeitung von Eingaben, Fehlererkennung und Fehlerbehebung
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, wenn das Formular auf einen Vertragsschluss gerichtet ist (z. B. Bestellformular, Buchung, Registrierung)
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, Erkennung missbräuchlicher Eingaben
• Kommunikation: Bearbeitung von Anfragen auf Basis der im Formular übermittelten Kontaktdaten
• Erfüllung von Aufbewahrungspflichten: gesetzliche Aufbewahrungsfristen für eingegangene Vorgänge

G. Rechtsgrundlagen für den Einsatz von Cognito Forms

Cognito Forms fällt in die Tool-Kategorie Formular-Tool (Drittanbieter-Formular, das per Script oder iFrame in die eigene Webseite eingebettet wird).

Als Rechtsgrundlagen kommen in Betracht:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung, Effizienz und Missbrauchsschutz. Diese Grundlage ist beim rein funktionalen Einsatz ohne Tracking-Komponenten denkbar; angesichts der Drittlandübermittlung in die USA (trotz der behaupteten DPF-Zertifizierung) ist eine Einzelfallabwägung geboten.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular der Vertragsanbahnung oder -abwicklung mit dem Nutzer dient (z. B. Bestellformular, Buchungsanfrage).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): sofern der Embed beim Seitenaufruf Cookies oder vergleichbare Technologien setzt oder Drittanbieter-Tracking-Integrationen aktiv sind; in diesem Fall ist eine Einwilligung über das Consent-Banner die rechtssicherere Variante.

Die einschlägige Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Cognito Forms

• AVV/DPA: Cognito Forms stellt ein Data Processing Addendum (DPA) bereit. Die aktuelle Version ist unter https://www.cognitoforms.com/Content/Cognito%20Forms%20DPA%20Sample.pdf verfügbar. Der Abschluss ist beim Einsatz des Tools zur Verarbeitung personenbezogener Daten von EU-Bürgern regelmäßig erforderlich.
• Drittlandtransfer / DPF: Datentransfers in die USA finden nach Anbieter-Angaben statt, da Server und Büros in den USA angesiedelt sind. Cognito, LLC gibt an, unter dem EU-U.S. Data Privacy Framework (DPF) selbst zertifiziert zu sein. Den aktuellen Zertifizierungsstatus sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.
• Subprozessoren: Konkrete Subprozessoren sind aus den öffentlich zugänglichen Unterlagen nicht abschließend ersichtlich; der Betreiber sollte diese im DPA des Anbieters prüfen. [vom Betreiber zu verifizieren]
• Datenweitergabe: Nach Anbieter-Angaben werden Daten nicht verkauft oder für eigene Marketingzwecke des Anbieters genutzt.
• Einstellungen für den Webseitenbetreiber: Cognito Forms bietet datenschutzrelevante Formularoptionen wie Einwilligungstexte, Pflichtfeld-Konfiguration und Datenschutzhinweise direkt im Formular. Double-Opt-In-Mechanismen sind konfigurierbar. Zahlungsintegrationen (z. B. Stripe) sind optional und aktivierbar.
• Integrationsmethode: Das Seamless-Embed-Script wird von cognitoforms.com ausgeliefert; der Einsatz eines Content Security Policy-Headers (CSP) auf der eigenen Website ist daher anzupassen.

I. Häufige Fragen zu Cognito Forms und Datenschutz

J. Fazit und Handlungsempfehlung

Cognito Forms ist ein praxistauglicher Formular-Builder für technisch anspruchsvollere Anwendungsfälle, der per Script oder iFrame in Webseiten eingebettet wird. Beim Aufruf werden technisch zwingend Verbindungsdaten an Server des Anbieters in den USA übermittelt. Webseitenbetreiber müssen eine geeignete Rechtsgrundlage bestimmen, ein Auftragsverarbeitungsvertrag abschließen, den Drittlandtransfer adressieren und die Verarbeitung transparent darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Cognito Forms einen eigenen Textbaustein aufzunehmen. Tool-by-Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widersprechen damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken erklärt und im Empfänger-Anhang auf einzelne Dienstleister wie Cognito, LLC verweist. Das ist die Methodik des matterius-Generators.

K. Autor

Authorship

This knowledge article is provided by matterius GmbH. matterius is not a law firm and does not provide legal advice.

matterius is editorially accompanied by Dr. Thomas Helbing, a German-based lawyer specialised as Fachanwalt für IT-Recht (certified specialist for IT law) in Munich.

Dr. Helbing has been continuously recognised by Handelsblatt since 2020 through to today (2026) as one of "Germany's best lawyers" in the fields of IT law and data protection law.

According to Kanzleimonitor.de (editions 2024–2026), he ranks among the leading lawyers for data protection and IT law and is listed in the Top 100 lawyers in Germany. Kanzleimonitor is regarded as a particularly meaningful market study, as it is based exclusively on personal recommendations from in-house counsel.

Dr. Helbing has many years of advisory experience in data protection and IT law and advises clients of all sizes — from startups to high-growth SaaS companies and unicorns through to international corporations.

His professional background covers the full spectrum of practice in IT and technology law. He began his career at an international major law firm, subsequently gained in-house experience at a DAX corporation, and is himself an entrepreneur and founder of several digital projects. He also has hands-on programming experience, allowing him to understand technical systems, software architectures, and digital business models not only from a legal but also from a technical perspective.

For many years his clients have included technology companies and SaaS providers, leading German research institutions, and a systemically important German major bank. His advisory focus lies in particular in the areas of GDPR compliance, the data economy, SaaS, AI regulation, and IT contract law.

More about Dr. Helbing: www.thomashelbing.com