Auftragsbearbeitungsvertrag (AVV / DPA)

Der Kunde ist Verantwortlicher für die durch ihn in Formsly erhobenen personenbezogenen Daten. Formsly fungiert als Auftragsbearbeiter im Sinne des Schweizer Datenschutzgesetzes (DSG).

Mit der Erstellung eines Accounts und der ausdrücklichen Akzeptanz von AVV, AGB und Datenschutzerklärung per Checkbox schliesst der Kunde diesen AVV digital und rechtsbindend ab.

Gegenstand dieses Vertrages ist die Bereitstellung einer SaaS-Plattform zur Erstellung digitaler Formulare, der sichere Dateitransfer-Dienst sowie die sichere Erfassung und Speicherung der generierten Eingabedaten. Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages über die Nutzung der Plattform und endet mit dessen Beendigung. Die blosse Kündigung eines kostenpflichtigen Abonnements mit Wechsel in einen kostenlosen Tarif beendet diesen Vertrag nicht.

• Hosting und Speicherung von Formularen, Antworten und hochgeladenen Dateien
• Ende-zu-Ende-verschlüsselter Dateitransfer zwischen registrierten Nutzern, einschliesslich temporärer Speicherung und automatischer Löschung nach 7 Tagen
• Authentifizierung und strikte Zugriffskontrolle (Mandantentrennung)
• Bereitstellung von Auswertungen und Dashboards in Echtzeit
• Sicherheitsbetrieb, Fehleranalyse und Support

Welche Daten bearbeitet werden, bestimmt der Kunde durch die Konfiguration seiner Formulare selbst.

• Betroffene Personen: Endkunden, Mandanten, Patienten, Mitarbeiter oder Website-Besucher des Kunden.
• Datenkategorien: Regelmässig Stammdaten (Name), Kontaktdaten (E-Mail, Telefon), Kommunikationsinhalte, hochgeladene Dateien, Transferdateien (vom Kunden über den sicheren Dateitransfer versandte Dokumente) sowie – je nach Formularzweck – besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG beziehungsweise besondere Datenkategorien nach anwendbarem Datenschutzrecht.

Die Zulässigkeit der jeweiligen Erhebung liegt in der Verantwortung des Kunden als Verantwortlicher.

Formsly setzt strenge TOMs um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Serverseitige Verschlüsselung sensibler Antwortdaten auf Anwendungsebene (Application-Level Encryption).
• Optionale echte Ende-zu-Ende-Verschlüsselung (E2EE) für Formulare mit erhöhten Vertraulichkeitsanforderungen; bei aktivierter E2EE werden Inhalte bereits im Browser des Endnutzers verschlüsselt.
• Ende-zu-Ende-Verschlüsselung für den sicheren Dateitransfer mittels ECIES (Elliptic Curve Integrated Encryption Scheme, P-256) und AES-256-GCM. Transferdateien werden bereits im Browser des Absenders verschlüsselt; Formsly hat zu keinem Zeitpunkt Zugriff auf den Klartext. Transferdateien werden nach 7 Tagen automatisch und unwiderruflich gelöscht.
• Zwei-Faktor-Authentifizierung für Kundenkonten mit Passkeys (WebAuthn/FIDO2) oder Authenticator-App.
• Transportverschlüsselung (SSL/TLS) bei allen Datenübertragungen durch das Internet.
• Application-Level Encryption (AES-256-GCM): Formulardaten werden vor dem Schreiben in die Datenbank auf Applikationsebene verschlüsselt — ein reiner Datenbankzugriff liefert nur unlesbaren Ciphertext.
• Regelmässige, verschlüsselte Backups (Snapshots und Datenbank-Dumps) zur Sicherstellung der Verfügbarkeit. Infrastruktur-Backups werden nach 30 Tagen automatisch und unwiderruflich gelöscht.
• Führung von Zugriffs- und Audit-Logs zur Nachvollziehbarkeit von Systemzugriffen.
• Strikte Rollen- und Berechtigungskonzepte sowie logische Mandantentrennung zur sicheren Isolierung von Kundendaten.
• Self-Hosted Bot- und Spam-Schutz (ALTCHA) mit Verifikation auf Formsly-Servern in der Schweiz; ohne externe API-Aufrufe und ohne Datenübermittlung an Dritte.
• Verzicht auf den Einsatz jeglicher Tracking-Cookies für die Endnutzer der Formulare.

Hinweis: Im Standardbetrieb erfolgt die Entschlüsselung serverseitig für berechtigte Verarbeitungsschritte. Wird die optionale E2EE-Funktion aktiviert, verarbeitet Formsly ausschliesslich verschlüsselte Inhalte; die Verantwortung für die sichere Aufbewahrung des privaten Entschlüsselungsschlüssels liegt in diesem Fall beim Kunden.

Die vollständige TOM-Dokumentation ist öffentlich einsehbar unter formsly.ch/sicherheit#tom.

Der Anbieter garantiert das Hosting der Kundendaten auf Servern mit Standort in der Schweiz (Zürich). Der Anbieter trifft angemessene technische und organisatorische Massnahmen (TOMs), insbesondere Verschlüsselungstechnologien, um die Daten vor unbefugtem Zugriff zu schützen.

Die gesamte Infrastruktur, bestehend aus Frontend, Backend und Datenbank, wird auf dedizierten Servern von Exoscale (Schweizer Cloud-Anbieter, Teil der A1 Telekom Austria Group) im Rechenzentrum Zürich selbst betrieben (Self-Hosted). Es werden keine US-Cloud-Anbieter für die Speicherung von Formulardaten eingesetzt.

Der Kunde stimmt der Beauftragung der folgenden Unterauftragsbearbeiter zur Erbringung der Kern-Dienstleistung zu:

• Exoscale (Schweizer Cloud-Anbieter, Teil der A1 Telekom Austria Group)
  Zweck: Dedizierte Server für die gesamte Infrastruktur (Frontend, Backend, Datenbank) und Backups.
  Bearbeitungsstandort: Schweiz (Zürich).
• Infomaniak Network SA (Schweiz)
  Zweck: Versand von Transaktions- und Benachrichtigungs-E-Mails.
  Bearbeitungsstandort: Schweiz – E-Mails werden ausschliesslich über Server in der Schweiz versendet.
  Hinweis: Über Infomaniak werden Benachrichtigungs-E-Mails (z.B. «Neue Einreichung erhalten») sowie Bestätigungsmails versandt. Formularantwortinhalte sind nur dann enthalten, wenn der Formular-Betreiber die Option «Antworten in Benachrichtigung einschliessen» aktiviert hat.

Hinweis: Der Zahlungsdienstleister Stripe verarbeitet ausschliesslich die Abrechnungsdaten des Kunden zu Formsly (Verantwortlicher zu Verantwortlicher) und hat keinen Zugriff auf die in Formsly erhobenen Endnutzer-Daten. Er ist daher kein Sub-Processor im Rahmen dieses AVV.

Kern-Infrastruktur (Unterauftragsbearbeiter):

• Exoscale DPA (Hosting-Infrastruktur, Zürich): DPA herunterladen (PDF)
• Infomaniak DPA (E-Mail-Infrastruktur): DPA herunterladen (PDF)

Die Bearbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Kunden (z.B. durch Nutzung der Plattform-Funktionen), soweit gesetzliche Pflichten nicht entgegenstehen. Alle Mitarbeitenden von Formsly sind zur strikten Vertraulichkeit verpflichtet.

Bei Formularen mit aktivierter Ende-zu-Ende-Verschlüsselung (E2EE) ist Formsly technisch nicht in der Lage, auf die Inhalte der übermittelten Antworten zuzugreifen. Die Entschlüsselung erfolgt ausschliesslich im Browser des Kunden mittels dessen privatem Schlüssel. Formsly speichert, verarbeitet und übermittelt in diesem Fall ausschliesslich verschlüsselte Daten, deren Inhalt für Formsly und sämtliche Dritte – einschliesslich Unterauftragsbearbeitern und Behörden – nicht einsehbar ist.

Betroffenenrechte

Formsly unterstützt den Kunden bei der Erfüllung von Anfragen betroffener Personen (z.B. Auskunft, Löschung, Berichtigung, Datenherausgabe) primär durch Self-Service-Funktionen in der Plattform. Sofern die Self-Service-Funktionen für die Erfüllung einer Anfrage nicht ausreichen, kann der Kunde sich an privacy@formsly.ch wenden. Formsly beantwortet solche Anfragen innerhalb von 10 Arbeitstagen.

Meldung von Sicherheitsvorfällen (Data Breach)

Bei Bekanntwerden einer Verletzung des Schutzes von Personendaten informiert Formsly den Kunden innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls. Die Meldung enthält mindestens folgende Angaben, soweit zum Zeitpunkt der Meldung bekannt:

• Art der Verletzung und betroffene Datenkategorien
• Anzahl und Kategorien der voraussichtlich betroffenen Personen
• Wahrscheinliche Folgen der Verletzung
• Bereits ergriffene und geplante Massnahmen zur Behebung und Schadensbegrenzung

Sollten zum Zeitpunkt der Erstmeldung nicht alle Angaben vorliegen, werden diese nachgereicht, sobald sie verfügbar sind. Die Meldepflicht des Kunden als Verantwortlicher gegenüber dem EDÖB und den betroffenen Personen gemäss Art. 24 DSG bleibt unberührt.

Der Kunde hat jederzeit die Möglichkeit, seine Formulardaten über die Export-Funktionen der Plattform selbstständig herunterzuladen.

Löschung des Accounts: Löscht der Kunde seinen Account in den Einstellungen, gilt dies als ausdrückliche Weisung zur sofortigen und unwiderruflichen Löschung aller zugehörigen Formulardaten auf den produktiven Systemen. Die blosse Kündigung eines kostenpflichtigen Abonnements führt lediglich zu einem Wechsel in den kostenlosen Tarif; hierbei werden keine Daten gelöscht. Ausgenommen von der sofortigen Löschung sind lediglich systemseitige Backups, die nach ihrem regulären Rotationszyklus von maximal 30 Tagen automatisch überschrieben werden.

Automatische Löschfristen: Über die Plattform kann der Kunde zudem automatische Löschfristen (z.B. Löschung von Antworten nach 30 Tagen) für einzelne Formulare konfigurieren.

Dateitransfers: Über den sicheren Dateitransfer hochgeladene Dateien werden nach 7 Tagen automatisch und unwiderruflich vom Server gelöscht — einschliesslich aller Dateien, Metadaten, Verschlüsselungsschlüssel und Zugriffsprotokolle. Eine vorzeitige manuelle Löschung durch den Absender ist jederzeit möglich. Abgelaufene Transfers können nicht wiederhergestellt werden.

Inaktivität: Bei Inaktivität von kostenlosen Konten (Free-Tier) über einen Zeitraum von 90 Tagen behält sich Formsly das Recht vor, die Dienstleistung nach vorgängiger Ankündigung und Einräumung einer Exportfrist ordentlich zu kündigen und die zugehörigen Daten unwiderruflich zu löschen.

Die Haftung von Formsly als Auftragsbearbeiter ist – soweit gesetzlich zulässig – auf den Betrag begrenzt, den der Kunde in den 12 Monaten vor dem haftungsbegründenden Ereignis tatsächlich an Formsly entrichtet hat, mindestens jedoch CHF 100.

Diese Begrenzung gilt nicht bei Vorsatz oder grober Fahrlässigkeit seitens Formsly sowie nicht für Ansprüche, deren Haftungsbeschränkung nach zwingendem schweizerischem Recht unzulässig ist.

Bei Formularen mit aktivierter Ende-zu-Ende-Verschlüsselung (E2EE) kann Formsly den Inhalt der gespeicherten Daten weder einsehen noch wiederherstellen. Der Kunde trägt die alleinige Verantwortung für die sichere Aufbewahrung seines Entschlüsselungsschlüssels. Formsly haftet nicht für den Verlust des Zugangs zu E2EE-verschlüsselten Daten infolge eines verlorenen Schlüssels.

Dieser AVV untersteht schweizerischem Recht. Gerichtsstand ist Zürich, Schweiz, sofern gesetzlich zulässig.

Für Organisationen, die über den digitalen Abschluss hinaus ein manuell unterzeichnetes Dokument benötigen, stellen wir auf Anfrage an legal@formsly.ch ein unterschriftsreifes PDF zur Verfügung. Bitte übermitteln Sie dazu: Firmenname, Anschrift, vertretungsberechtigte Person und Kontakt für Datenschutz.

Version dieser AVV-Seite: avv-v2026-04-01