Die meisten WordPress-Kontaktformulare senden bei jedem Seitenaufruf Besucherdaten an US-Dienste, ohne dass Betreiber oder Besucher es merken: über reCAPTCHA, hCaptcha, Turnstile, Akismet oder eingebettete Google Fonts. Rechtlich problematisch ist dabei weniger der US-Transfer an sich (dafür gibt es aktuell das Data Privacy Framework), sondern der Zugriff auf das Endgerät ohne Einwilligung nach § 25 TDDDG, für den es bereits Urteile und Bußgelder gibt. Dieser Guide zeigt, welche Daten wohin fließen, wie du dein Formular in 3 Minuten selbst prüfst und welche drei Auswege es gibt.
Hinweis: Dieser Artikel ist keine Rechtsberatung. Er fasst öffentlich dokumentierte Urteile, Gesetze und Behörden-Aussagen mit Quellen zusammen, sortiert für Website-Betreiber.
Was dein Formular wirklich lädt
Ein Formular ist selten allein. Das typische Setup lädt beim Seitenaufruf still eine Reihe von Drittdiensten, bevor der Besucher auch nur ein Feld ausgefüllt hat:
| Dienst | Was übertragen wird | Empfänger | Einwilligung nötig? |
|---|---|---|---|
| Google reCAPTCHA | IP, Browser-Daten, Verhalten, Cookie _GRECAPTCHA mit Nutzer-ID | Google (USA) | Ja (BVwG 13.09.2024) |
| hCaptcha | IP, Browser-Daten, Challenge-Daten | Intuition Machines (USA) | Sichere Variante: ja |
| Cloudflare Turnstile | IP, Browser-Signale | Cloudflare (USA) | Rechtlich umstritten |
| Akismet | Komplette Einsendung inkl. IP und Metadaten | Automattic (USA) | AV-Vertrag + Transparenz nötig |
| Google Fonts (CDN) | IP bei jedem Seitenaufruf | Google (USA) | LG München: unzulässig ohne Einwilligung |
| SMTP-SaaS (z. B. SendGrid, Mailgun) | Mail-Inhalte inkl. Formulardaten | je nach Anbieter (oft USA) | AV-Vertrag nötig, Serverstandort prüfen |
Der entscheidende Punkt: Diese Requests passieren beim Laden der Seite. Der Besucher muss nichts absenden, um erfasst zu werden. Genau das hat das österreichische Bundesverwaltungsgericht im reCAPTCHA-Fall beanstandet, die Details stehen in unserem Artikel zum BVwG-Urteil und den CNIL-Bußgeldern.
Der 3-Minuten-Selbsttest
Du brauchst kein Tool, nur deinen Browser:
- Privates Fenster öffnen und, falls vorhanden, im Cookie-Banner alles ablehnen.
- Entwicklertools öffnen (F12 oder Rechtsklick, "Untersuchen") und den Tab "Netzwerk" wählen.
- Die Seite mit deinem Formular laden und die Request-Liste nach diesen Domains durchsuchen:
google.com/recaptcha,gstatic.com,hcaptcha.com,challenges.cloudflare.com,fonts.googleapis.com,fonts.gstatic.com,rest.akismet.com. - Treffer? Dann sendet deine Formular-Seite trotz Ablehnung Daten an Drittanbieter. Notiere die Domains, sie gehören entweder hinter eine Einwilligung oder raus.
Wiederhole den Test auf der Danke-Seite nach dem Absenden: Dort verstecken sich oft noch Conversion-Pixel.
Die Rechtslage 2026, sauber sortiert
Beim Thema "Daten in die USA" werden drei verschiedene Rechtsfragen ständig vermischt. Auseinandersortiert sieht es so aus:
Ebene 1: Zugriff aufs Endgerät (§ 25 TDDDG)
Wer Cookies setzt oder Informationen vom Gerät des Besuchers ausliest, braucht dafür grundsätzlich eine vorherige Einwilligung. Das deutsche TDDDG (bis 2024: TTDSG) setzt die ePrivacy-Richtlinie um; Österreich und Frankreich haben Parallelen. Genau hier haben reCAPTCHA und Co. ihr größtes Problem: Das BVwG-Urteil vom 13.09.2024 (W298 2274626-1/8E) und die CNIL-Bußgelder gegen Cityscoot (125.000 €) und NS Cards France (105.000 €) stützen sich auf diese Ebene. Wichtig: Diese Pflicht gilt unabhängig davon, wo der Anbieter sitzt. Ein EU-CAPTCHA mit Tracking-Cookie bräuchte genauso eine Einwilligung.
Ebene 2: DSGVO-Grundpflichten
Für jede Verarbeitung personenbezogener Daten (und die IP-Adresse ist eine) brauchst du eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit dem Dienstleister und eine korrekte Datenschutzerklärung. Das Bayerische Landesamt für Datenschutzaufsicht formuliert es beim Thema reCAPTCHA trocken: Wer nicht erklären kann, wie Google die Nutzerdaten verarbeitet, kann Nutzer nicht transparent informieren (BayLDA-FAQ).
Ebene 3: Der Drittlandtransfer (die USA-Frage)
Hier ist die Lage 2026 dynamischer, als viele Blogartikel behaupten:
- 2020: Der EuGH kippt mit dem Schrems-II-Urteil den damaligen Privacy Shield.
- Juli 2023: Die EU-Kommission erlässt einen neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework (DPF). Transfers an zertifizierte US-Unternehmen sind seitdem grundsätzlich zulässig.
- 03.09.2025: Das Gericht der EU weist die Nichtigkeitsklage des französischen Abgeordneten Philippe Latombe ab (T-553/23), das DPF bleibt gültig (Zusammenfassung). Dagegen läuft seit Oktober 2025 ein Rechtsmittel beim EuGH (C-703/25 P).
- Juni 2026: Der US Supreme Court stellt die Unabhängigkeit von US-Aufsichtsbehörden infrage, und damit einen Grundpfeiler, auf dem der Angemessenheitsbeschluss ruht. Datenschutz-Fachmedien sehen das Abkommen dadurch erheblich geschwächt (Dr. Datenschutz, Borncity).
Ehrliche Einordnung: Das DPF gilt heute. Wer sich aber strategisch darauf verlässt, baut auf ein Fundament, das zum zweiten Mal in einem Jahrzehnt einsturzgefährdet ist. Schon der Privacy Shield fiel von einem Tag auf den anderen.
"Aber der Anbieter ist doch DPF-zertifiziert!"
Das häufigste Missverständnis. Die DPF-Zertifizierung löst genau eine der drei Ebenen: den Drittlandtransfer. Sie ersetzt keine Einwilligung nach § 25 TDDDG, keinen AV-Vertrag und keine Transparenzpflicht. Ein DPF-zertifiziertes reCAPTCHA ohne Consent bleibt genauso rechtswidrig, wie es das BVwG festgestellt hat. Und sollte der EuGH oder die politische Entwicklung das DPF kippen, steht jede Architektur, die auf US-Diensten aufbaut, über Nacht ohne Transfergrundlage da.
Die Haftungsfrage: Wer trägt das Risiko?
Verantwortlicher im Sinne der DSGVO ist der Website-Betreiber, nicht das Plugin und nicht Google. Bei Agentur-Projekten heißt das praktisch:
- Der Kunde steht als Betreiber im Impressum und ist erster Adressat für Beschwerden, Auskunftsersuchen und Bußgelder.
- Die Agentur haftet gegenüber dem Kunden, wenn sie ein Setup ausliefert, das dokumentiert rechtswidrig ist, spätestens seit den Urteilen ist "wussten wir nicht" schwer zu argumentieren.
- Abmahnungen kommen dazu: Schon das Google-Fonts-Urteil des LG München (Az. 3 O 17493/20, 100 € Schadensersatz für eine übermittelte IP) löste 2022 eine Abmahnwelle aus. Die Muster sind auf Formulare übertragbar.
Wer 30 Kundenseiten mit demselben Formular-Stack betreut, multipliziert dieses Risiko 30-fach. Das ist der Grund, warum diese Frage für Agenturen keine Detailfrage ist.
Die drei Auswege, ehrlich bewertet
Weg 1: US-Dienste sauber per Einwilligung einbinden
reCAPTCHA und Co. laden erst nach aktivem Opt-in im Consent-Banner. Vorteil: Du kannst beim gewohnten Dienst bleiben. Nachteile: Besucher, die ablehnen (je nach Website 30 bis 60 Prozent), sehen ein blockiertes oder ungeschütztes Formular. Du brauchst ein sauber konfiguriertes Consent-Management, die Datenschutzerklärung wächst, und das Transfer-Risiko (Ebene 3) bleibt bestehen. Ein Spam-Schutz, der nur bei der Hälfte der Besucher aktiv ist, ist außerdem ein halber Spam-Schutz.
Weg 2: Europäische Dienste
Es gibt EU-Alternativen, allen voran Friendly Captcha aus Deutschland, das mit Proof-of-Work statt Nutzer-Analyse arbeitet. Vorteil: kein US-Transfer, deutlich entspanntere Rechtslage. Nachteile: weiterhin ein externer Dienst (AV-Vertrag, Verfügbarkeits-Abhängigkeit, Kosten im kommerziellen Einsatz) und je nach Konfiguration bleibt § 25 TDDDG relevant. Für Plattformen, die zwingend einen dedizierten CAPTCHA-Dienst brauchen, ist das der seriöse Mittelweg.
Weg 3: Gar kein externer Dienst
Die konsequenteste Lösung: Spam-Schutz, der komplett auf dem eigenen Server läuft. Honeypot, signierter Zeit-Check und Proof-of-Work stoppen automatisierten Spam, ohne dass ein einziger Request die Website verlässt. Keine Einwilligung, kein AV-Vertrag, kein Transfer-Risiko, kein Cookie-Banner-Eintrag, und der Schutz gilt für 100 Prozent der Besucher. Wie die drei Mechanismen technisch funktionieren, steht im Artikel WordPress-Formular ohne reCAPTCHA. Genau dieser Weg ist in Flinkform eingebaut, im kostenlosen Plugin, ohne Konfiguration.
| Weg 1: Consent | Weg 2: EU-Dienst | Weg 3: ohne Dienst | |
|---|---|---|---|
| Externe Requests | ja (nach Opt-in) | ja | keine |
| Schutz für alle Besucher | nein | ja | ja |
| Consent-Banner-Eintrag | ja | je nach Setup | nein |
| AV-Vertrag | ja | ja | nein |
| US-Transfer-Risiko | ja | nein | nein |
| Laufende Kosten | Consent-Tool | je nach Volumen | keine |
Über das Formular hinaus: die üblichen Verdächtigen
Wenn du schon im Netzwerk-Tab bist, prüfe gleich den Rest der Seite. Die häufigsten stillen US-Datenflüsse auf WordPress-Sites sind Google Fonts vom CDN (lokal einbinden!), YouTube-Embeds ohne Zwei-Klick-Lösung, Google Maps, Analytics-Tools ohne Einwilligung und Social-Media-Widgets. Für jeden gilt dieselbe Drei-Ebenen-Prüfung wie oben. Diese Website macht es übrigens vor: flinkform.de lädt nichts von Drittservern, keine Fonts-CDNs, kein Tracking, keine Cookies. Deshalb siehst du hier auch keinen Banner.
Checkliste für dein Formular-Setup
- Netzwerk-Test durchgeführt (privates Fenster, alles abgelehnt)?
- Kein CAPTCHA-Dienst lädt ohne Einwilligung?
- Spam-Schutz funktioniert auch für Besucher, die Consent ablehnen?
- IP-Adressen und User-Agents werden nicht unnötig gespeichert?
- Aufbewahrungsfrist für Einsendungen definiert und automatisiert?
- AV-Verträge für alle verbleibenden Dienstleister vorhanden?
- Datenschutzerklärung beschreibt die tatsächlichen Datenflüsse?
- Bei Agentur-Projekten: Setup für alle Kundenseiten einheitlich dokumentiert?
Fazit
"Daten in die USA" ist bei WordPress-Formularen kein Einzelproblem, sondern ein Architektur-Muster: Die Branche hat sich angewöhnt, Spam-Schutz, Schriften und Komfort-Features an US-Clouds zu delegieren, und die Rechtslage holt dieses Muster gerade Stück für Stück ein. Wer 2026 neu baut, hat die Wahl zwischen Consent-Bürokratie, EU-Diensten und der Variante, die das Problem strukturell beseitigt: einer Website, die erst gar nicht nach Hause telefoniert. Formulare sind der beste Ort, um damit anzufangen, denn dort ist die Lösung am einfachsten.
Quellen: BVwG-Urteil W298 2274626-1/8E im RIS · CNIL zu Cityscoot (Légifrance) · CNIL zu NS Cards France · BayLDA-FAQ · EuG-Urteil zum DPF (Latombe, T-553/23) · Dr. Datenschutz zum US Supreme Court und DPF · Borncity zur DPF-Entwicklung Juni 2026