Wo genau liegen die Daten meiner Kunden?

Ausschliesslich in einem ISO-zertifizierten Rechenzentrum von Exoscale in Zürich, Schweiz. Es findet kein Datentransfer ins Ausland statt.

Haben Formsly-Mitarbeiter Zugriff auf die Formulareingaben?

Nein. Durch die Application-Level Encryption sind die Rohdaten in der Datenbank unleserlich. Die Entschlüsselung erfolgt systemisch nur bei autorisiertem Zugriff durch den Formular-Ersteller.

Werden Tracking-Cookies eingesetzt?

Formsly verzichtet beim Ausfüllen von Formularen durch Endnutzer vollständig auf Tracking-Cookies oder externe Analyse-Skripte.

Sind Gesundheitsdaten (Patientenanamnese) erlaubt?

Ja, sofern Sie als Verantwortlicher die ausdrückliche Einwilligung des Patienten einholen. Formsly stellt dafür einen rechtssicher auditierbaren Consent-Block zur Verfügung.

Bietet Formsly Ende-zu-Ende-Verschlüsselung (E2E)?

Ja. Ab dem Professional-Plan können Formulare mit Ende-zu-Ende-Verschlüsselung aktiviert werden. Dabei werden Antworten bereits im Browser des Einsenders verschlüsselt — Formsly-Server sehen ausschliesslich verschlüsselte Daten und können diese nicht entschlüsseln. Das Master-Passwort verlässt den Browser des Formular-Betreibers nie.

Wie sind Backups abgesichert und wie lange werden sie aufbewahrt?

Backups werden täglich erstellt, vollständig verschlüsselt (AES-256) und ausschliesslich innerhalb der Schweiz auf Exoscale Object Storage aufbewahrt. Nach 30 Tagen werden Backups automatisch und unwiderruflich gelöscht.

Security & Compliance

Sicherheit, die keine Kompromisse kennt.

Enterprise-Grade Sicherheit für sensible Formulardaten — entwickelt für die strengen Anforderungen des Schweizer Datenschutzgesetzes (DSG) und datensensible Branchen wie HR, Treuhand und Gesundheitswesen.

100% Swiss Hosting

Exoscale, Zürich — ISO 27001 / 27017 / 27018 zertifiziert

AES-256 Verschlüsselung

Dreistufig: In Transit, At Rest und auf Applikationsebene

Kein CLOUD Act auf Formulardaten

Formulardaten auf Schweizer Servern — US-Behörden kein Zugriff auf gespeicherte Inhalte möglich

AVV inklusive

Auftragsbearbeitungsvertrag nach Schweizer Recht, digital abschliessbar

Zero Tracking

Keine Drittanbieter-Skripte oder Tracking-Cookies in Formularen

Privacy by Design

DSG-Compliance ohne juristischen Mehraufwand — out of the box

Ende-zu-Ende-Verschlüsselung

Optional: Antworten werden im Browser verschlüsselt — bei aktivierter E2E kann selbst Formsly sie nicht lesen

Infrastruktur und Datenstandort

Das gesamte System (Frontend, Backend und Datenbank) läuft auf dedizierten Servern des Schweizer Providers Exoscale in Zürich. Formulardaten (Payload) verlassen die Schweiz nicht — kein CLOUD-Act-Risiko für gespeicherte Inhalte.

Zum Bot-Schutz setzen wir ALTCHA ein — eine selbst gehostete, datenschutzfreundliche Lösung ohne Tracking-Cookies und ohne externe API-Aufrufe. Die Prüfung läuft vollständig auf unseren Schweizer Servern.

Das Rechenzentrum in Zürich ist nach ISO 27001, ISO 27017 und ISO 27018 zertifiziert und erfüllt FINMA-Rundschreiben-Anforderungen für den Schweizer Finanzsektor.

Nachweise und Details finden Sie direkt bei Exoscale unter exoscale.com/compliance.

3-Schichten-Verschlüsselungsarchitektur

Ihre Daten sind auf jeder Ebene geschützt — von der Übertragung bis zur Speicherung.

In Transit — TLS 1.2 / 1.3

Absicherung aller Datenströme zwischen Browser, Server und Datenbank durch moderne TLS-Protokolle.

At Rest — Application-Level Encryption (AES-256-GCM)

Alle Formulardaten werden vor dem Schreiben in die Datenbank auf Applikationsebene mit AES-256-GCM verschlüsselt. Die Verschlüsselung erfolgt im Anwendungsserver — ein reiner Datenbankzugriff liefert nur unlesbaren Ciphertext.

Application-Level Encryption (ALE) — der entscheidende Schritt

Bevor sensible Formulardaten die Applikationsebene verlassen und in die Datenbank geschrieben werden, werden sie mit einem serverspezifischen Key verschlüsselt. Die kryptografische Trennung von Applikation und Datenbank schützt selbst bei theoretischen Datenbank-Leaks.

Ende-zu-Ende-Verschlüsselung (E2E) — Zero-Knowledge für maximale Vertraulichkeit

ab Professional

Die optionale höchste Sicherheitsstufe: Antworten werden bereits im Browser des Einsenders mit dem öffentlichen Schlüssel des Formular-Betreibers verschlüsselt — bevor sie den Server erreichen. Formsly sieht ausschliesslich verschlüsselten Ciphertext.

Privacy by Design und DSG-Compliance

Einwilligungs-Protokollierung (Consent): Für besonders schützenswerte Gesundheitsdaten bietet Formsly spezielle Consent-Blöcke an. Die ausdrückliche Zustimmung (Art. 6 Abs. 7 lit. a DSG) wird manipulationssicher samt Zeitstempel und Vertragstext in der Datenbank auditiert.

Automatisierte Löschkonzepte: Konfigurierbare Cleanup-Prozesse löschen Formulardaten nach Ablauf der eingestellten Frist automatisch aus der Datenbank. Verschlüsselte Infrastruktur-Backups werden separat nach 30 Tagen unwiderruflich gelöscht.

Auftragsbearbeitungsvertrag (AVV): Ein juristisch geprüfter AVV (gemäss Schweizer Recht) ist in jedem Plan standardmässig und digital abschliessbar integriert — ohne Aufpreis oder Wartezeit.

Ende-zu-Ende-Verschlüsselung (E2E)

ab Professional-Plan

Die stärkste verfügbare Sicherheitsstufe — kryptografisch überprüfbar, nicht nur eine Marketing-Aussage.

Wie E2E funktioniert

Bei aktivierter E2E-Verschlüsselung wird im Browser des Betreibers ein asymmetrisches Schlüsselpaar generiert. Der öffentliche Schlüssel wird auf dem Formsly-Server gespeichert, der private Schlüssel bleibt lokal — gesichert mit einem Master-Passwort, das Formsly nie kennt. Jede Einreichung wird im Browser des Einsenders mit dem öffentlichen Schlüssel verschlüsselt. Nur der Betreiber mit seinem Master-Passwort kann die Antworten entschlüsseln.

Was das in der Praxis bedeutet

Bei aktivierter E2E können Formsly-Mitarbeitende verschlüsselte Antworten nie lesen — technisch ausgeschlossen, nicht nur versprochen
Bei einem hypothetischen Datenbank-Leak sind E2E-Antworten für Angreifer wertloser Ciphertext
Webhooks und E-Mail-Integrationen sind bei E2E deaktiviert — Daten verlassen die verschlüsselte Datenbank nicht

Geeignet für

Anwaltskanzleien, Arztpraxen, Hinweisgeber-Systeme (Whistleblowing), HR-sensible Umfragen und alle Szenarien, in denen selbst der Hosting-Anbieter keinen Zugriff auf Inhalte haben darf.

Applikations- und Zugriffssicherheit

Multi-Faktor-Authentifizierung (MFA): Für Administrator-Accounts verfügbar und empfohlen — wahlweise mit Passkeys (WebAuthn/FIDO2) oder Authenticator-App.
Rate-Limiting & Bot-Protection: Striktes Rate-Limiting sowie ALTCHA (cookielos, trackingfrei, selbst gehostet) für Formular-Einreichungen schützen vor DDoS und Spam.
2FA für Antworten: Optional kann vor dem Öffnen von Einreichungen eine erneute Bestätigung per Passkey oder mit 6-stelligem Code verlangt werden — Schutz auch bei kurzzeitigem unbefugtem Zugriff auf einen entsperrten Browser.
Row-Level Security (RLS): Datenbankregeln auf Zeilenebene verhindern unautorisierten mandantenübergreifenden Zugriff — auch bei Applikationsfehlern.
Audit-Logs: Detaillierte, unveränderliche Protokolle für sicherheitsrelevante Systemereignisse — für interne Reviews und externe Audits.

Technische und Organisatorische Massnahmen (TOMs)

Gemäss Art. 8 nDSG. Stand: März 2026.

Zutrittskontrolle

Physischer Serverstandort ausschliesslich im ISO 27001/27017/27018-zertifizierten Rechenzentrum von Exoscale in Zürich, Schweiz. Kein eigener physischer Serverzugang durch Formsly-Mitarbeitende — Betrieb über dedizierte virtuelle Maschinen.

Zugangskontrolle

Zugang zur Produktionsinfrastruktur nur über individuelle, passwortgeschützte Accounts mit Zwei-Faktor-Authentifizierung (2FA). Keine gemeinsam genutzten Credentials. Regelmässige Überprüfung der Zugriffsrechte.

Zugriffskontrolle

Row-Level Security (RLS) auf Datenbankebene verhindert mandantenübergreifende Datenzugriffe auch bei Applikationsfehlern. Rollenbasierte Berechtigungskonzepte. Formulardaten sind mit Application-Level Encryption verschlüsselt — nur autorisierte Prozesse können entschlüsseln.

Verschlüsselung

Dreistufig: TLS 1.2/1.3 für Transportverschlüsselung, AES-256 für Datenverschlüsselung auf Speicherebene (at rest), AES-256-GCM auf Applikationsebene (Application-Level Encryption). Optional: echte Ende-zu-Ende-Verschlüsselung (E2E/Zero-Knowledge) — bei aktivierter E2E hat Formsly technisch keinen Zugriff auf Klartextdaten.

Weitergabekontrolle

Formulardaten (Payload) verlassen die Schweiz nicht. Keine Weitergabe an Dritte ohne Weisung des Kunden. Optionale Webhook-Integrationen erfolgen ausschliesslich auf explizite Konfiguration des Kunden. Bei aktivierter E2E sind Webhooks und E-Mail-Integrationen technisch deaktiviert.

Eingabekontrolle

Audit-Logs für sicherheitsrelevante Systemereignisse (inkl. E2E-Zugriffe). Einreichungszeitpunkte und Consent-Angaben werden manipulationssicher mit Zeitstempel gespeichert.

Verfügbarkeitskontrolle

Tägliche verschlüsselte Datenbank-Backups, gespeichert auf Exoscale Object Storage in der Schweiz. Automatische Löschung nach 30 Tagen. Monitoring der Infrastruktur. Konfigurierbare automatische Datenlöschfristen pro Formular.

Trennungskontrolle

Strikte logische Mandantentrennung auf Datenbankebene (RLS). Kunden haben keinen Zugriff auf Daten anderer Kunden — auch bei Applikationsfehlern technisch ausgeschlossen.

Auftragskontrolle

Bearbeitung ausschliesslich auf dokumentierte Weisung des Kunden (Nutzung der Plattformfunktionen). Subauftragsverarbeiter sind im AVV deklariert. AVV nach Schweizer Recht mit jedem Kunden standardmässig abgeschlossen.

Häufige Fragen

Bereit für Formulare, die Ihre Daten wirklich schützen?

Starten Sie kostenlos und erleben Sie, wie einfach rechtssichere Formulare sein können — ohne Kompromisse beim Datenschutz.

Kostenlos starten Pläne vergleichen