Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Formstack

Was macht Formstack?

Formstack ist eine US SaaS Plattform für Formulare, Dokumente und Signaturen mit Hauptsitz in Indiana. Formulare werden auf formstack.com gehostet und per iFrame oder JavaScript eingebettet. Einsendungen werden standardmäßig auf US Infrastruktur gespeichert; Enterprise Kunden können EU Datenresidenz in Dublin wählen. Eingebettete Widgets setzen Drittanbieter Cookies, die im EWR eine Einwilligung erfordern.

Formstack wurde 2006 in Indianapolis gegründet und hat sich vom SaaS Formular Builder zur Workplace Plattform entwickelt, die Online Formulare, Dokumentenerstellung, elektronische Signatur und Workflow Automation kombiniert. Zehntausende Unternehmen (Krankenhäuser, Banken, Universitäten) nutzen es als No Code Alternative für Back Office Prozesse.

Was Formstack leistet

Formstack bietet vier Hauptmodule: Forms (Drag and Drop Builder mit bedingter Logik, Zahlungen, Uploads), Documents (Vorlagenbasierte Dokumentenerzeugung), Sign (elektronische Signatur mit Audit Trail) und Workflows (mehrstufige Freigaben). Formulare lassen sich als iFrame, JavaScript oder Vollseite einbetten. Integrationen: Salesforce, HubSpot, Stripe, PayPal, Microsoft 365, Workday, Slack.

Erfasste Daten und Cookies

Das Formstack Embed lädt JavaScript von formstack.com und setzt Drittanbieter Cookies: ga_session, fs_session, _ga (bei aktivierter Analytics) und __cf_bm (Cloudflare). Einsendungen, IP, User Agent, Referrer und Verweildauer werden auf Formstack Servern gespeichert. Verfügbar sind Feldverschlüsselung und granulare Zugriffskontrollen.

DSGVO und ePrivacy Folgen

Formstack handelt als Auftragsverarbeiter nach Art. 28 DSGVO. Betreiber unterzeichnen den DPA, führen Formstack im Verzeichnis und aktivieren die EU Datenresidenz bei Bedarf. Drittanbieter Cookies des Widgets erfordern eine vorherige Einwilligung nach Art. 5(3) ePrivacy. Formstack ist nach dem EU US DPF zertifiziert.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübermittlung und Residenz

Standard Pläne speichern Daten in AWS us east 2 (Ohio). Enterprise Kunden können die EU Data Region (AWS eu west 1, Dublin) anfordern. Gesundheitskunden erhalten optional eine HIPAA isolierte Umgebung mit Business Associate Agreement. Übermittlungen in die USA stützen sich auf das EU US DPF oder auf Standardvertragsklauseln mit ergänzenden Maßnahmen.

Konkrete Compliance Schritte

Widget bis zur Einwilligung blockieren. AVV unterzeichnen und EU Residenz für EU Daten anfordern. Feldverschlüsselung für sensible Felder aktivieren. Aufbewahrungsregeln definieren. Datenschutzhinweis und Consent Feld in jedes Formular einfügen. Formstack mit USA Übermittlungsmechanismus im Verzeichnis und in der Datenschutzerklärung führen.

GDPR consent category

Marketing

Websites using Formstack must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive) for the third party cookies set by the embedded widget. Performance of a contract (Art. 6(1)(b)) for the submitted data, processed by Formstack as a processor on behalf of the website operator.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, TDDDG, LSSI CE, CCPA/CPRA, HIPAA, EU US Data Privacy Framework, PCI DSS (payment forms)

DPIA considerations

Eine DSFA wird empfohlen, wenn Formstack besondere Datenkategorien (Gesundheit, Biometrie), Mitarbeiter oder Finanzdaten erhebt oder mit Zahlungsdienstleistern verbunden ist. Dokumentieren Sie Residenz, Übermittlungsmechanismus, HIPAA BAA (falls einschlägig), eingebettete Cookies und Speicherdauer.

Sample consent text

Diese Seite bindet ein von Formstack LLC (USA) gehostetes Formular ein. Das Widget setzt Drittanbieter Cookies und kann Ihre Einsendung je nach Einstellung an Formstack Server in den USA oder in der EU übermitteln. Mit Ihrer Einwilligung wird das Formstack Widget geladen und Ihre Eingabe gesendet.

Technical details

Tracking methodSaaS form, document and signature platform. Forms are hosted on formstack.com and embedded via iframe or JavaScript snippet. Submissions are stored on Formstack servers; the embedding website only loads the form widget.

Server locationOperated by Formstack LLC, headquartered in Fishers, Indiana, United States. EU customers can opt for the Formstack EU data centre hosted in Dublin (AWS eu west 1). HIPAA workloads run on isolated US healthcare infrastructure.

Data transferred outside the EUBy default, all form data is stored on US servers operated by Formstack LLC. EU residency in Dublin can be enabled on enterprise plans. Transfers from EU to US rely on the EU US Data Privacy Framework (Formstack is certified) or on Standard Contractual Clauses with supplementary measures.

Third-party domains contacted

formstack.comwww.formstack.comcdn.formstack.comsubmit.formstack.io

Cookies placed

Name	Type	Duration	Purpose
fs_session	third_party	Session	Session identifier set by formstack.com to track the current form submission state.
ga_session	third_party	Session	Internal session cookie used by Formstack for form analytics and submission attribution.
_ga	third_party	2 years	Google Analytics identifier set on formstack.com when Formstack analytics is enabled.
__cf_bm	third_party	30 minutes	Cloudflare bot management cookie used to distinguish humans from bots on formstack.com.

Formstack setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Formstack?

Das Formstack Embed setzt Drittanbieter Cookies auf formstack.com: ga_session, fs_session, _ga (bei aktivierter Analytics) und __cf_bm (Cloudflare). Alle benötigen im EWR eine vorherige Einwilligung; __cf_bm wird häufig als unbedingt erforderlich für Bot Schutz eingestuft.

Ist eine Einwilligung für Formstack erforderlich?

Ja für das eingebettete Widget. Die Drittanbieter Cookies benötigen eine Einwilligung nach Art. 5(3) ePrivacy. Die Formulardaten selbst können auf Art. 6(1)(b) DSGVO (vorvertraglich) gestützt werden, mit Einwilligung für Marketing Felder.

Was ist die Rechtsgrundlage?

Vertrag oder vorvertragliche Maßnahmen (Art. 6(1)(b)) für Kontakt und Angebotsformulare. Einwilligung (Art. 6(1)(a)) für Cookies und Marketing Felder. Gesundheitsdaten unterliegen in den USA HIPAA mit BAA. Besondere Daten (Art. 9 DSGVO) benötigen ausdrückliche Einwilligung.

Werden Daten in die USA übermittelt?

Standardmäßig ja. Enterprise Kunden können die EU Data Region (Dublin) aktivieren. Andernfalls stützen sich Übermittlungen auf das EU US DPF (Formstack ist zertifiziert) oder auf Standardvertragsklauseln mit ergänzenden Maßnahmen und TIA.

Benötige ich für Formstack eine DSFA?

Empfohlen, wenn Formstack besondere Datenkategorien, Mitarbeiter oder Finanzdaten erfasst oder mit Zahlungen und Signaturen verbunden ist. Die DSFA dokumentiert Residenz, Übermittlungsmechanismus, Verschlüsselung und Betroffenenrechte.

Wie wird Formstack korrekt implementiert?

Widget bis zur Einwilligung blockieren. AVV unterzeichnen. EU Data Region für EU Daten aktivieren. Feldverschlüsselung für sensible Felder einschalten. Datenschutzhinweis und Consent Feld ergänzen. Aufbewahrungsregeln festlegen. Formstack als Unterauftragnehmer dokumentieren.

Welche Alternativen zu Formstack gibt es?

Europäische SaaS: Tally (Belgien), Typeform (Spanien), Formbricks (Open Source). US SaaS: Jotform (mit EU Residenz), SurveyMonkey, Wufoo. Selbst gehostet auf WordPress: Gravity Forms, WPForms, Ninja Forms, Fluent Forms.

Wie aktualisiere ich die Cookie Richtlinie, wenn sich Formstack ändert?

Beobachten Sie die Formstack Unterauftragnehmerliste und das Trust Center. Bei Änderungen von Unterauftragnehmern, Zertifizierungen oder Residenz aktualisieren Sie Cookie Tabelle, Datenschutzerklärung und Verzeichnis und erhöhen die Banner Version.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note