Contact Form 7 mit Google reCAPTCHA einbinden (DSGVO-konform)

reCAPTCHA Contact Form 7 GDPR

Du möchtest ein Kontaktformular in deine WordPress-Website einbinden und dich zugleich vor Spam-Bots schützen? Dann ist die Kombination aus Contact Form 7 und Google reCAPTCHA womöglich die Kombination, nach der du gesucht hast!

Doch der Einsatz beider Dienste zusammen ist nur unter bestimmten Voraussetzungen DSGVO-konform. Wie genau du Google reCAPTCHA in Verbindung mit Contact Form 7 im Einklang mit dem Datenschutz in deine Website integrieren kannst, verraten wir dir in diesem Artikel!

Wir müssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir können dir daher nur Einschätzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einschätzung der Situation geben.

Was ist Contact Form 7?

Contact Form 7 ist ein Produkt des japanischen Unternehmens Rock Lobster, LLC., das dir dabei hilft, Kontaktformulare zu erstellen und zu verwalten. Das Contact Form 7-Plugin ist kostenlos und mit mehreren Millionen Downloads für WordPress-Websites alles andere als unbeliebt.

Um die Sicherheit der Kontaktformulare zu unterstützen, bietet dir Contact Form 7 neben einer reCAPTCHA-Funktion auch ein Ajax-unterstütztes Senden und eine Spam-Filterung.

Contact Form 7 und der Datenschutz – sind Kontaktformulare DSGVO-konform?

Unserer Auffassung nach ist das Erheben und Verarbeitung personenbezogener Daten im Rahmen eines Kontaktformulars gestattet, sofern eine explizite Einwilligung des Nutzers vorliegt. Darüber hinaus darf dies nur im Rahmen des Bearbeitens des Kundenanliegens erfolgen. Demzufolge darfst du die Daten nicht speichern, an Dritte weitergeben oder für andere Zwecke verwenden.

Du benötigst also eine Opt-in-Einwilligung. Dieses kleine Häkchen, mit dem du der Datenverarbeitung in mittlerweile fast jedem Kontaktformular zustimmst. Im Fall einer Newsletter-Anmeldung benötigst du darüber hinaus eine Double-Opt-in-Einwilligung.

Problematisch wäre es hauptsächlich dann, wenn du – oder der Anbieter deines Kontaktformulars –in den USA ansässig wärt. Grund hierfür ist, dass die USA seit dem Ende des Privacy Shields – einem Datenabkommen zwischen der EU und den USA – als unsicheres Drittland mit mangelhaftem Datenschutzniveau gelten.

Das ist im Fall von Contact Form 7 jedoch nicht der Fall, da das Plugin vollständig in deinem WordPress installiert ist und die Datenverarbeitung ausschließlich auf deinem eigenen Server (Webhosting) stattfindet.

✅ Opt-in-Einwilligung via Checkbox

Um die personenbezogenen Daten des Anfragenden verarbeiten zu dürfen, musst du eine zusätzliche Checkbox am Ende deines Kontaktformulars einbauen, in welcher der Absender aktiv bestätigt, dass er deinen Datenschutzbestimmungen und ggf. Nutzungsbedingungen sowie der Verarbeitung seiner Daten im Rahmen der Bearbeitung des Anliegens zustimmt.

📝 Datenschutzerklärung

Außerdem thematisierst du den Einsatz des Kontaktformulars in der Datenschutzerklärung deiner Website. Das bedeutet, dass du unter anderem noch einmal konkret den Zweck des Einsatzes sowie die Erhebung, Verarbeitung und Speicherung der erhobenen Daten erläutern solltest.

Was ist Google reCAPTCHA?

Aber halt, da waren doch noch die Spam-Bots, die dein Kontaktformular nutzen wollen 🤖 Google reCAPTCHA ist eine Lösung zur Erkennung von Bots, z.B. bei der Eingabe von Daten in Online-Formulare, und zur Verhinderung von Spam.

Captchas gibt es in verschiedenen Ausführungen. Die wohl gängigsten, mit denen du mit Sicherheit auch schon Bekanntschaft gemacht hast, sind verzerrte Buchstaben und Zahlen, umgedrehte Objekte oder der All-Time-Klassiker: die Objektsuche.

Jedoch sind mittlerweile viele Bots in der Lage, diese Rätsel zu lösen, weshalb Google sein Tool reCAPTCHA entwickelt hat. Google reCAPTCHA arbeitet im Hintergrund und analysiert dabei das Verhalten des Besuchers auf der Website, um auf Grundlage dessen zu erkennen, ob es sich um eine Maschine oder einen Menschen handelt.

Google reCAPTCHA und der Datenschutz

Anders als bei Contact Form 7 ist der Einsatz von Google reCAPTCHA in den Augen von Datenschützern weitaus kritischer. Das liegt daran, dass es sich bei Google reCAPTCHA um einen Dienst aus dem Hause Google handelt. Wie du bestimmt weißt, ist Google ein US-amerikanisches Unternehmen.

Die Datenübertragung in die USA ist problematisch. Warum das so ist, haben wir dir ja bereits erklärt.

Außerdem verwendet Google die über den Besucher auf deiner Website gesammelten Daten nicht nur für dich, sondern stelle sie z.B. auch anderen Website-Betreibern zur Verfügung, die Google reCAPTCHA verwenden.

Hole dir daher unbedingt eine Opt-in-Einwilligung für den Einsatz von Google reCAPTCHA ein! Am einfachsten und ohne Programmierkenntnisse stellst du das mithilfe eines Cookie Consent Plugins wie Real Cookie Banner an. Wie genau, zeigen wir dir im Folgenden.

Zudem setzt reCAPTCHA Cookies, die dazu dienen, den Nutzer innerhalb der von Google bereits über den Nutzer zu identifizieren und die Bösartigkeit des Nutzers zu klassifizieren. Diese gesammelten Daten können mit Daten von Nutzern verknüpft werden, die sich bei ihren Google-Konten auf google.com oder einer lokalisierten Version von Google angemeldet haben.

🤝 Auftragsverarbeitungsvertrag

Für den Einsatz von Google reCAPTCHA solltest du unseres Erachtens nach unbedingt einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Warum? Immer dann, wenn du ein externes Unternehmen damit beauftragst, personenbezogene Daten zu übertragen, musst du auf Grundlage von DSGVO Artikel 28 einen solchen Vertrag abschließen. Dieser Vertrag regelt nämlich den datenschutzkonformen und korrekten Umgang mit diesen Daten. Einen AV-Vertrag benötigst du etwa bei der Verwendung von Google Analytics – aber auch für Google reCAPTCHA.

📝 Datenschutzerklärung

Zusätzlich zum AV-Vertrag musst du auch Google reCAPTCHA separat von Contact Form 7 in deiner Datenschutzerklärung auflisten. Ebenso wie für Contact Form 7, musst du auch für Google reCAPTCHA den Zweck des Einsatzes etc. erläutern.

Google reCAPTCHA für Contact Form 7 einrichten

Um den Spamschutz in deine Contact Form 7-Formulare einzubinden, bietet dir das Contact Form 7-Plugin eine entsprechende Kompatibilität an. Da es sich bei Google reCAPTCHA allerdings um ein Google Produkt handelt (Überraschung 😉), musst du deine WordPress-Website zunächst bei Google registrieren.

  1. Öffne google.com/recaptcha/admin/create
  2. Wähle reCAPTCHA, Version 3 aus.
reCAPTCHA Registrierung
  1. Gib deine Domain in das entsprechende Feld ein.
  2. Klicke unten auf den Senden-Button.
  3. Jetzt wird dir dein Site Key und Secret Key angezeigt. Kopiere beide Keys.
  4. Gehe zurück in dein WordPress-Backend.
  5. Nach der Installation des Contact Form 7-Plugins navigierst du links im Menü zu Formulare > Integration > reCAPTCHA.
  6. Klicke auf Integration konfigurieren.
  7. Trage hier deinen Site Key und deinen Secret Key ein.
  8. Speichere deine Änderungen.

Fertig! Jetzt hast du Google reCAPTCHA erfolgreich mit Contact Form 7 verknüpft, um somit Bots von deinen Formularen auf deiner WordPress-Website fernzuhalten.

Contact Form 7 mit Google reCAPTCHA DSGVO-konform in deine WordPress-Website einbinden

Als krönenden Abschluss des Artikels zeigen wir dir noch, wie du die Google reCAPTCHA Integration in Contact Form 7 DSGVO-konform nutzen kannst. Denn nur einrichten, die im vorherigen Abschnitt, reicht nicht!

  1. Öffne dein WordPress-Backend.
  2. Gehe links im Menü zu Plugins > Installieren.
  3. Suche nach Real Cookie Banner. Installiere und aktiviere das Plugin.
  4. Klicke in der linken Menüleiste auf Cookies.
  5. Navigiere zu Cookies (Services) > Service hinzufügen.
  6. Suche nach "Google reCAPTCHA".
Google reCAPTCHA Website einbinden
  1. Klicke die Vorlage an (in der PRO-Version) und du landest automatisch in der Service-Konfiguration. Und jetzt kommt's: Du musst dich um nichts kümmern, da bereits alle wichtigen (technischen) Informationen in die Vorlage hinterlegt sind (🎉)
  2. Scrolle nach unten zu dem Eintrag Content Blocker für diesen Service erstellen. Lasse das Kästchen unbedingt angekreuzt, sodass du nach der Erstellung des reCAPTCHA-Services automatisch zu der dazugehörigen Content Blocker-Vorlage weitergeleitet wirst. Wähle aus den Content Blocker-Vorlagen die für Contact Form 7 aus.
  3. Klicke auf Speichern.
Google reCAPTCHA WordPress GDPR
  1. Willkommen in der allgemeinen Service-Konfiguration für den Content Blocker. Auch hier musst du wieder nichts unternehmen, da Real Cookie Banner dir die Arbeit abnimmt.
  2. Scrolle an das Ende der Vorlage und klicke auf Speichern.
  3. Jetzt wird reCAPTCHA in deinen Contact Form 7-Kontaktformularen erst nach der Opt-in-Einwilligung deines Besuchers in deine WordPress-Website eingebunden.

Ging easy, oder? 😉 So einfach kann Datenschutz sein!