Allgemeine Geschäftsbedingungen (AGB)

Diese AGB regeln die Nutzung der Plattform Formsly durch Unternehmen und Einzelpersonen. Abweichende Bedingungen gelten nur, wenn sie schriftlich vereinbart wurden.

Version AGB: agb-v2026-05-01

Formsly stellt eine Plattform zum Erstellen, Veröffentlichen und Auswerten von Formularen bereit. Die gesamte Infrastruktur wird auf dedizierten Servern in der Schweiz (Zürich) betrieben. Funktionsumfang und Limits richten sich nach dem gewählten Tarif.

Geografische Verfügbarkeit: Formsly ist aufgrund internationaler Sanktionen und gesetzlicher Anforderungen in bestimmten Ländern nicht verfügbar. Zugriffe aus Ländern, die unter gültige SECO-, UN- oder EU-Sanktionen fallen (u. a. Russland, Belarus, Nordkorea, Iran, Syrien, Myanmar, Kuba, Sudan, Jemen), werden technisch blockiert. Die Liste der gesperrten Länder kann sich in Übereinstimmung mit der aktuellen Sanktionslage ändern.

Der Vertrag kommt mit Registrierung und Bestätigung zustande. Zugangsdaten sind vertraulich zu behandeln. Der Kunde ist für alle Aktivitäten über sein Konto verantwortlich.

Kommunikation und Onboarding: Um eine optimale Nutzung der Plattform zu gewährleisten, ist der Versand von systemrelevanten Benachrichtigungen sowie produktbezogenen Onboarding- und Nutzungstipps per E-Mail Teil der Dienstleistung von Formsly. Der Kunde kann den Erhalt von nicht systemrelevanten E-Mails jederzeit über den in der jeweiligen E-Mail enthaltenen Abmeldelink deaktivieren. Weitere Details hierzu regelt die Datenschutzerklärung.

- Rechtmässige Nutzung der Plattform

- Keine Übermittlung rechtswidriger Inhalte

- Einhaltung aller Datenschutzpflichten gegenüber Endnutzern

- Pflege korrekter Kontakt- und Rechnungsdaten

Der Kunde ist datenschutzrechtlich Verantwortlicher für die über seine Formulare erhobenen Inhalte, insbesondere für Informationspflichten, Einwilligungen, Löschkonzepte, Zugriffsberechtigungen und die Wahrung von Betroffenenrechten. Formsly stellt hierzu technische und organisatorische Massnahmen (TOMs) bereit, darunter verschlüsselte Datenverarbeitung, Swiss Hosting, Zugriffsschutz und konfigurierbare Aufbewahrungs- und Löschfristen.

Die Erhebung besonders schützenswerter Personendaten im Sinne von Art. 5 lit. c DSG (insbesondere Gesundheitsdaten, biometrische und genetische Daten) über Formsly-Formulare ist nicht gestattet. Der Kunde ist verpflichtet, seine Formulare entsprechend zu gestalten und sicherzustellen, dass solche Datenkategorien nicht erhoben werden.

Kostenpflichtige Tarife (Solo, Professional, Business) werden gemäss der aktuellen Preisseite monatlich oder jährlich abgerechnet. Zahlungen erfolgen über Stripe. Bei Zahlungsverzug kann der Zugriff auf kostenpflichtige Funktionen eingeschränkt werden.

Soweit in einem Tarif "unbegrenzte Antworten" ausgewiesen sind, gilt dies unter einer Fair-Use-Regelung. Nicht umfasst sind missbräuchliche, automatisierte oder unverhältnismässige Lastspitzen, insbesondere Bot-Traffic, Denial-of-Service-ähnliche Belastungen, künstlich erzeugte Massenanfragen oder sonstige Nutzungen, die Stabilität, Sicherheit oder Verfügbarkeit der Plattform beeinträchtigen.

Formsly ist berechtigt, bei Verdacht auf Missbrauch angemessene technische Schutzmassnahmen zu ergreifen, insbesondere Rate-Limiting, temporäre Drosselung, vorübergehende Sperrung einzelner Formulare oder Konten sowie die Anforderung einer Abstimmung auf ein geeignetes Enterprise-Setup.

Fair Use: Bei einem aussergewöhnlich hohen Volumen (deutlich über 100'000 Antworten/Monat) behalten wir uns vor, Sie zu kontaktieren und gemeinsam eine passende Lösung zu finden.

Der Anbieter garantiert das Hosting der Kundendaten auf Servern mit Standort in der Schweiz (Zürich). Der Anbieter trifft angemessene technische und organisatorische Massnahmen (TOMs), insbesondere Verschlüsselungstechnologien für Übertragung und Speicherung, um die Daten vor unbefugtem Zugriff zu schützen. Infrastruktur-Backups werden täglich erstellt, verschlüsselt aufbewahrt und nach 30 Tagen automatisch gelöscht.

Formsly bemüht sich um hohe Verfügbarkeit, schuldet jedoch keine unterbrechungsfreie Nutzung. Wartungsfenster und sicherheitsbedingte Einschränkungen bleiben vorbehalten.

Für Kundenkonten steht zusätzlich eine Zwei-Faktor-Authentifizierung (2FA) via Passkey (WebAuthn/FIDO2) oder Authenticator-App zur Verfügung, um den Zugriff auf sensible Kontobereiche weiter abzusichern.

Ende-zu-Ende-Verschlüsselung (E2E)

Für Formulare mit aktivierter Ende-zu-Ende-Verschlüsselung wird ein kryptografischer Schlüssel ausschliesslich im Browser des Nutzers erzeugt und mit einem vom Nutzer selbst gewählten Master-Passwort geschützt. Dieses Master-Passwort verlässt den Browser zu keinem Zeitpunkt und wird weder übertragen noch auf Servern des Anbieters gespeichert.

Der Nutzer trägt die alleinige Verantwortung für die sichere Aufbewahrung seines Master-Passworts. Bei Verlust des Master-Passworts sind sämtliche mit E2E verschlüsselten Formulardaten unwiederbringlich verloren. Der Anbieter ist technisch nicht in der Lage, verloren gegangene Passwörter wiederherzustellen oder verschlüsselte Daten ohne das Passwort zugänglich zu machen. Ein Anspruch auf Wiederherstellung besteht nicht.

Verbindliche Höchstaufbewahrung bei E2E-Formularen: Antworten auf E2E-verschlüsselte Formulare werden spätestens 180 Tage nach Eingang automatisch und unwiderruflich gelöscht. Diese Höchstfrist ist technisch erzwungen und kann vom Nutzer nicht deaktiviert oder verlängert werden. Eine kürzere, vom Nutzer konfigurierte Aufbewahrungsfrist bleibt davon unberührt. Der Nutzer ist dafür verantwortlich, vor Ablauf der Frist allfällig benötigte Antwortdaten zu exportieren.

Ende-zu-Ende-Verschlüsselung für Dateitransfers

Für den sicheren Dateitransfer mit aktivierter E2E-Verschlüsselung werden Dateien bereits im Browser des Absenders mittels ECIES (Elliptic Curve Integrated Encryption Scheme, P-256) und AES-256-GCM verschlüsselt. Der private Schlüssel wird asymmetrisch für Absender und Empfänger gewrapped. Formsly hat zu keinem Zeitpunkt Zugriff auf den Klartext der übertragenen Dateien.

Der Empfänger eines E2E-verschlüsselten Transfers benötigt ein Formsly-Konto mit aktivierter Ende-zu-Ende-Verschlüsselung, um die Dateien entschlüsseln zu können.

Automatische Löschung von Transfers

Alle über den sicheren Dateitransfer hochgeladenen Dateien werden 7 Tage nach Erstellung automatisch und unwiderruflich gelöscht. Dies umfasst sämtliche Dateien, Metadaten (Betreff, Empfänger, Nachricht), Verschlüsselungsschlüssel und Zugriffsprotokolle. Eine Wiederherstellung nach der Löschung ist technisch nicht möglich.

Soweit Formsly personenbezogene Daten im Auftrag verarbeitet, gilt die AVV/DPA. Der Kunde bleibt Verantwortlicher für die durch ihn erhobenen Formulardaten. Die detaillierten Regelungen zur Auftragsbearbeitung sind in Ziff. 13 dieser AGB geregelt.

9.1 Grundsatz. Formsly haftet dem Kunden für Schäden, die sie ihm in Erfüllung dieses Vertrages durch Vorsatz oder grobe Fahrlässigkeit zufügt, im gesetzlichen Umfang. Für Personenschäden haftet Formsly nach den gesetzlichen Bestimmungen.

9.2 Leichte Fahrlässigkeit – Haftungsbegrenzung.Bei leichter Fahrlässigkeit haftet Formsly ausschliesslich für den unmittelbaren, vertragstypischen und im Zeitpunkt des Vertragsschlusses für Formsly vorhersehbaren Schaden. Die Gesamthaftung pro Schadenfall und pro Vertragsjahr ist begrenzt auf den Betrag, den der Kunde Formsly in den zwölf (12) Monaten vor dem schadensauslösenden Ereignis tatsächlich bezahlt hat, höchstens jedoch CHF 10'000.

9.3 Ausschluss indirekter und mittelbarer Schäden. Soweit gesetzlich zulässig (Art. 100 OR) ist die Haftung von Formsly für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, ausgebliebene Einsparungen, Reputationsschäden, Datenverlustfolgekosten, Geschäftsunterbrechungsschäden, Ansprüche Dritter gegen den Kunden und reine Vermögensschäden ausgeschlossen. Dies gilt nicht bei Vorsatz oder grober Fahrlässigkeit von Formsly.

9.4 Hilfspersonen / Sub-Auftragsbearbeiter. Die Haftung von Formsly für Hilfspersonen und Sub-Auftragsbearbeiter (insbesondere Exoscale AG, Infomaniak Network SA, Stripe Payments Europe Ltd.) ist – soweit nach Art. 101 Abs. 2 und 3 OR zulässig – auf Vorsatz und grobe Fahrlässigkeit von Formsly bei deren Auswahl und Instruktion beschränkt.

9.5 Datenverlust durch Verlust von Schlüsseln / Passwörtern des Kunden. Formsly weist den Kunden ausdrücklich darauf hin, dass aufgrund der Ende-zu-Ende-Verschlüsselung (ECIES P-256 / AES-256-GCM, vgl. Ziff. 7) die mit dem Master-Passwort des Kunden verschlüsselten Daten nach Verlust dieses Passworts technisch nicht wiederherstellbar sind. Formsly hat keinen Zugriff auf das Master-Passwort und kann dieses weder zurücksetzen noch rekonstruieren. Die sichere Aufbewahrung des Master-Passworts (inkl. Recovery-Codes) liegt ausschliesslich in der Verantwortung des Kunden. Eine Haftung von Formsly für Datenverluste, die auf den Verlust, die Offenlegung oder die unsachgemässe Verwaltung von kundenseitigen Authentifizierungsmitteln zurückzuführen sind, ist – soweit gesetzlich zulässig – ausgeschlossen.

9.6 Verfügbarkeit / SLA-Disclaimer. Formsly bemüht sich um eine Verfügbarkeit des Dienstes von mindestens 99,5 % im Monatsmittel, gibt diese jedoch nicht als zugesicherte Eigenschaft. Geplante Wartungsfenster (in der Regel ausserhalb üblicher Bürozeiten) sowie Unterbrüche aufgrund höherer Gewalt, Cyberangriffen, Massnahmen Dritter (insb. Sub-Auftragsbearbeiter) und unvorhersehbarer technischer Störungen werden bei der Berechnung nicht berücksichtigt. Eine Haftung für Service-Unterbrüche und daraus entstehende Schäden besteht nur im Rahmen von Ziff. 9.1–9.3.

9.7 Ausschlussfrist. Schadenersatzansprüche gegen Formsly sind innerhalb von zwölf (12) Monaten nach Kenntnis des Schadens und des Schädigers, spätestens aber innerhalb von drei (3) Jahren nach dem schadensauslösenden Ereignis schriftlich geltend zu machen, ansonsten verwirken sie. Die gesetzliche Verjährung bleibt vorbehalten, soweit sie zwingend ist.

10.1 Datenschutz-Verantwortlicher. Der Kunde ist und bleibt Verantwortlicher im Sinne von Art. 5 lit. j revDSG für sämtliche von ihm über Formsly bearbeiteten Personendaten. Er ist verpflichtet, alle datenschutzrechtlichen Pflichten gegenüber den betroffenen Personen einzuhalten, insbesondere die Informations- (Art. 19 revDSG), Auskunfts- (Art. 25 revDSG) und Meldepflichten (Art. 24 revDSG).

10.2 Authentifizierungsmittel. Der Kunde ist verpflichtet, (a) sein Master-Passwort sicher und ausschliesslich an einem von Formsly getrennten, gegen Verlust und unbefugten Zugriff gesicherten Ort aufzubewahren; (b) für seine Benutzerkonten die angebotene Zwei-Faktor-Authentifizierung (WebAuthn/FIDO2 oder Authenticator-App) zu aktivieren; (c) Recovery-Codes auszudrucken und an einem sicheren Ort getrennt vom üblichen Arbeitsplatz aufzubewahren; (d) Zugangsdaten unverzüglich zu ändern, wenn der Verdacht eines unbefugten Zugriffs besteht.

10.3 Inhalte und Rechtmässigkeit. Der Kunde stellt sicher, dass die über Formsly verarbeiteten Daten und Inhalte rechtmässig sind und keine Rechte Dritter (insbesondere Urheber-, Persönlichkeits-, Marken- und Datenschutzrechte) verletzen. Er holt erforderlichenfalls die Einwilligungen der betroffenen Personen ein.

10.4 Schadenmeldung und Mitwirkung. Der Kunde meldet Sicherheitsvorfälle und Mängel unverzüglich nach Kenntnisnahme an security@formsly.ch und unterstützt Formsly bei der Schadenanalyse und -behebung in zumutbarem Umfang.

11.1 Inhalte des Kunden. Der Kunde stellt Formsly von allen Ansprüchen Dritter frei, die aus den vom Kunden über Formsly verarbeiteten oder bereitgestellten Daten und Inhalten resultieren, insbesondere aus Verletzungen von Urheber-, Persönlichkeits-, Datenschutz-, Wettbewerbs- oder Markenrechten. Die Freistellung umfasst angemessene Anwalts- und Gerichtskosten sowie behördliche Bussen, soweit diese auf einem Fehlverhalten des Kunden beruhen.

11.2 Verfahrensrechte. Formsly informiert den Kunden unverzüglich über entsprechende Ansprüche, überlässt ihm in zumutbarem Umfang die Verteidigung und schliesst keinen Vergleich ohne vorherige Zustimmung des Kunden ab, sofern dieser die Freistellung anerkennt.

Formsly haftet nicht für die Nichterfüllung oder verzögerte Erfüllung ihrer vertraglichen Pflichten, wenn diese auf Ereignisse höherer Gewalt zurückzuführen ist. Als höhere Gewalt gelten unvorhersehbare, ausserhalb des Einflussbereichs von Formsly liegende und mit zumutbaren Massnahmen nicht abwendbare Ereignisse, insbesondere: Naturkatastrophen, Pandemien, Krieg, Terroranschläge, behördliche Anordnungen, grossflächige Internet- oder Stromausfälle, DDoS-Angriffe ungewöhnlichen Ausmasses, Ausfälle wesentlicher Sub-Auftragsbearbeiter (insb. Exoscale, Infomaniak, Stripe), sofern Formsly hierfür nicht selbst einzustehen hat. Während der Dauer höherer Gewalt sind die Pflichten beider Parteien suspendiert. Dauert das Ereignis länger als 30 Tage, kann jede Partei den Vertrag ausserordentlich kündigen.

13.1 Auftragsbearbeitung. Soweit Formsly im Rahmen der Dienstleistungserbringung Personendaten bearbeitet, die der Kunde in den Dienst eingibt oder über den Dienst verarbeitet, erfolgt dies ausschliesslich als Auftragsbearbeiterin im Sinne von Art. 9 revDSG / Art. 28 DSGVO im Auftrag und nach Weisung des Kunden.

13.2 Sub-Auftragsbearbeiter (allgemeine Genehmigung). Der Kunde erteilt Formsly hiermit die allgemeine Genehmigung im Sinne von Art. 9 Abs. 3 revDSG zum Beizug folgender Sub-Auftragsbearbeiter: (a) Exoscale AG, Lausanne (Hosting/Storage, CH); (b) Infomaniak Network SA, Genf (E-Mail/SMTP, CH); (c) Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung, IRL/EU). Formsly informiert den Kunden mindestens 30 Tage im Voraus per E-Mail und auf formsly.ch/subprocessors über beabsichtigte Änderungen oder Hinzunahmen. Der Kunde kann der Änderung innert 30 Tagen aus wichtigen datenschutzrechtlichen Gründen widersprechen; im Konfliktfall steht beiden Parteien ein ausserordentliches Kündigungsrecht zu.

13.3 TOMs. Formsly trifft die in Ziff. 7 beschriebenen technischen und organisatorischen Massnahmen zur Datensicherheit nach Art. 8 revDSG / Art. 32 DSGVO. Diese werden regelmässig überprüft und an den Stand der Technik angepasst.

13.4 Verletzung der Datensicherheit. Erkennt Formsly eine Verletzung der Datensicherheit, informiert sie den Kunden unverzüglich, in der Regel innert 48 Stunden, und unterstützt ihn bei seinen eigenen Meldepflichten nach Art. 24 revDSG / Art. 33 DSGVO.

Sollte eine Bestimmung dieser AGB ganz oder teilweise unwirksam oder undurchsetzbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Eine unwirksame Klausel wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Klausel im gesetzlich zulässigen Rahmen am nächsten kommt; insbesondere wird eine zu weit gefasste Haftungsbeschränkung auf das gesetzlich zulässige Mass reduziert.

Formsly behält sich das Recht vor, Abonnements jederzeit mit einer Frist von 30 Tagen ordentlich zu kündigen. Im Falle einer Kündigung wird den Nutzern innerhalb dieser Frist die Möglichkeit eingeräumt, ihre gesammelten Daten über das Dashboard zu exportieren. Nach Ablauf der Frist ist Formsly berechtigt, das Nutzerkonto und alle darin enthaltenen Daten unwiderruflich zu löschen.

Kostenpflichtige Tarife laufen gemäss gebuchter Abrechnungsperiode und verlängern sich automatisch, sofern nicht fristgerecht gekündigt wird. Bei ordentlicher Kündigung durch Formsly wird dem Kunden der anteilige Betrag für die verbleibende, bereits bezahlte Vertragslaufzeit zurückerstattet.

Formsly behält sich das Recht vor, diese AGB jederzeit zu ändern. Die jeweils aktuelle und verbindliche Fassung der AGB wird auf der Website von Formsly publiziert.

Bei wesentlichen Änderungen, die sich nachteilig auf bestehende vertragliche Pflichten auswirken, werden registrierte Nutzer in geeigneter Weise (z. B. per E-Mail oder im Dashboard) vorab informiert.

Es gilt schweizerisches Recht unter Ausschluss kollisionsrechtlicher Normen. Zwingende Verbraucherschutzrechte bleiben unberührt. Gerichtsstand ist Zürich, Schweiz, sofern gesetzlich zulässig.