Auftragsverarbeitungsvertrag (AVV / DPA)

Der Kunde ist Verantwortlicher für die durch ihn in Formsly erhobenen personenbezogenen Daten. Formsly fungiert als Auftragsverarbeiter im Sinne des Schweizer Datenschutzgesetzes (DSG).

Mit der Erstellung eines Accounts und der Akzeptanz der AGB schliesst der Kunde diesen AVV digital und rechtsbindend ab.

Gegenstand dieses Vertrages ist die Bereitstellung einer SaaS-Plattform zur Erstellung digitaler Formulare sowie die sichere Erfassung und Speicherung der generierten Eingabedaten. Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Abo-Laufzeit) und endet automatisch mit dessen Kündigung.

• Hosting und Speicherung von Formularen, Antworten und hochgeladenen Dateien
• Authentifizierung und strikte Zugriffskontrolle (Mandantentrennung)
• Bereitstellung von Auswertungen und Dashboards in Echtzeit
• Sicherheitsbetrieb, Fehleranalyse und Support

Welche Daten verarbeitet werden, bestimmt der Kunde durch die Konfiguration seiner Formulare selbst.

• Betroffene Personen: Endkunden, Mandanten, Patienten, Mitarbeiter oder Website-Besucher des Kunden.
• Datenkategorien: Regelmässig Stammdaten (Name), Kontaktdaten (E-Mail, Telefon), Kommunikationsinhalte, hochgeladene Dateien sowie potenziell besonders schützenswerte Personendaten, sofern diese vom Kunden explizit abgefragt werden.

Formsly setzt strenge TOMs um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Ende-zu-Ende-Verschlüsselung (E2E) für sensible Formulardaten. Die Entschlüsselung findet ausschliesslich im Browser des berechtigten Nutzers statt.
• SSL/TLS-Verschlüsselung bei Datenübertragungen sowie Data-at-Rest-Verschlüsselung der Datenbanken.
• Strikte Rollen- und Berechtigungskonzepte zum Schutz vor unbefugtem Zugriff.
• Verzicht auf den Einsatz jeglicher Tracking-Cookies für die Endnutzer der Formulare.
• Logische Mandantentrennung zur sicheren Isolierung von Kundendaten.

Der Anbieter garantiert das Hosting der Kundendaten auf Servern mit Standort in der Schweiz (Zürich). Der Anbieter trifft angemessene technische und organisatorische Massnahmen (TOMs), insbesondere Verschlüsselungstechnologien, um die Daten vor unbefugtem Zugriff zu schützen.

Die gesamte Infrastruktur, bestehend aus Frontend, Backend und Datenbank, wird auf dedizierten Servern von Exoscale (Schweizer Cloud-Anbieter, Teil der A1 Telekom Austria Group) im Rechenzentrum Zürich selbst betrieben (Self-Hosted). Es werden keine US-Cloud-Anbieter für die Verarbeitung von Formulardaten eingesetzt.

Der Kunde stimmt der Beauftragung der folgenden Unterauftragsverarbeiter zur Erbringung der Dienstleistung zu:

• Exoscale (Schweizer Cloud-Anbieter, Teil der A1 Telekom Austria Group)
  Zweck: Dedizierte Server für die gesamte Infrastruktur (Frontend, Backend, Datenbank).
  Verarbeitungsstandort: Schweiz (Zürich).
• Infomaniak Network SA (Schweiz)
  Zweck: Versand von Transaktions- und Benachrichtigungs-E-Mails.
  Verarbeitungsstandort: Schweiz.

Hinweis: Der Zahlungsdienstleister Stripe verarbeitet ausschliesslich die Abrechnungsdaten des Kunden zu Formsly (Verantwortlicher zu Verantwortlicher) und hat keinen Zugriff auf die in Formsly erhobenen Endnutzer-Daten. Er ist daher kein Sub-Processor im Rahmen dieses AVV.

Version dieser AVV-Seite: avv-v2026-02-19

• Exoscale DPA (Hosting-Infrastruktur, Zürich): DPA herunterladen (PDF)
• Stripe DPA (Für Abrechnungszwecke): Link zum DPA

Die Verarbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Kunden (z.B. durch Nutzung der Plattform-Funktionen), soweit gesetzliche Pflichten nicht entgegenstehen. Alle Mitarbeitenden von Formsly sind zur strikten Vertraulichkeit verpflichtet.

Formsly unterstützt den Kunden bei der Erfüllung von Anfragen betroffener Personen (z.B. Auskunft, Löschung) durch Self-Service-Funktionen in der App. Bei Bekanntwerden einer Verletzung des Schutzes von Personendaten (Data Breach) informiert Formsly den Kunden unverzüglich.

Nach Vertragsende werden die Daten nach Weisung des Kunden herausgegeben oder gelöscht. Über die Plattform kann der Kunde zudem automatische Löschfristen (z.B. Löschung von Antworten nach 30 Tagen) selbstständig konfigurieren.

Dieser AVV untersteht schweizerischem Recht. Gerichtsstand ist Zürich, Schweiz, sofern gesetzlich zulässig.

Für Organisationen, die über den digitalen Abschluss hinaus ein manuell unterzeichnetes Dokument benötigen, stellen wir auf Anfrage an legal@formsly.ch ein unterschriftsreifes PDF zur Verfügung. Bitte übermitteln Sie dazu: Firmenname, Anschrift, vertretungsberechtigte Person und Kontakt für Datenschutz.