Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Jotform

Was macht Jotform?

Jotform ist ein SaaS Formular Builder von Jotform Inc. aus San Francisco. Formulare werden per iFrame oder JavaScript Widget eingebettet; Einsendungen werden auf Jotform Servern gespeichert. Standardmäßig liegen Daten in den USA. Die Editionen EU und HIPAA bieten europäische bzw. gesundheitsspezifische Datenresidenz. Eingebettete Widgets setzen Drittanbieter Cookies, die im EWR eine Einwilligung erfordern.

Jotform, 2006 von Aytekin Tank in San Francisco gegründet, ist mit über 25 Millionen Nutzern einer der größten SaaS Formular Builder weltweit. Formulare werden auf jotform.com erstellt und gehostet und per iFrame oder leichtem JavaScript Widget in Kundenseiten eingebettet. Einsendungen werden im Auftrag des Website Betreibers von Jotform verarbeitet und gespeichert.

Was Jotform leistet

Jotform bietet einen Drag and Drop Builder, mehr als zehntausend Vorlagen, bedingte Logik, Zahlungen (Stripe, PayPal, Square, Authorize.Net), elektronische Signatur, Datei Uploads, Freigabe Workflows, PDF Erzeugung und eine REST API. Formulare lassen sich als iFrame, JavaScript Widget, Vollseite oder per Link, QR Code und Kiosk verteilen. Verfügbare Compliance Optionen: HIPAA, DSGVO, PCI DSS Level 1, SOC 2 Type II.

Erfasste Daten und Cookies

Das eingebettete Widget lädt JavaScript von cdn.jotfor.ms und sendet an api.jotform.com. Im Drittanbieterkontext jotform.com gesetzte Cookies sind u. a. JOTFORM_SESSION, JFcid, _ga (bei aktiver Jotform Analytics) und __cf_bm (Cloudflare). Diese Cookies erfordern im EWR eine vorherige Einwilligung nach Art. 5(3) ePrivacy. Einsendungen, IP, User Agent und Referer URL werden auf Jotform Servern gespeichert.

DSGVO und ePrivacy Folgen

Jotform handelt als Auftragsverarbeiter nach Art. 28 DSGVO. Der Betreiber muss das Jotform Data Processing Addendum unterzeichnen, Jotform im Verzeichnis als Unterauftragnehmer führen und bei sensiblen Daten die europäische Datenresidenz aktivieren. Ohne EU Residenz stützen sich Übermittlungen auf das EU US DPF (Jotform ist zertifiziert) oder auf Standardvertragsklauseln.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübermittlung und Residenzoptionen

Standard Pläne speichern Daten in den USA. Die Option Jotform Enterprise EU Data Residency speichert Einsendungen in Frankfurt (AWS eu central 1) und liefert die Widgets über ein europäisches CDN aus. HIPAA Konten sind in einer US Gesundheitsumgebung isoliert. Dokumentieren Sie die gewählte Residenz, den Übermittlungsmechanismus sowie die Verschlüsselung im Ruhezustand und während der Übertragung.

Konkrete Compliance Schritte

Blockieren Sie das Jotform Widget bis zur Einwilligung in der Kategorie Marketing oder Statistik. Schließen Sie den Jotform AVV ab. Aktivieren Sie EU Datenresidenz, wenn relevant. Verschlüsseln Sie Felder mit personenbezogenen Daten. Definieren Sie eine Aufbewahrungsfrist bei Jotform. Dokumentieren Sie Jotform als Auftragsverarbeiter und den US Übermittlungsmechanismus im Verzeichnis und in der Datenschutzerklärung.

GDPR consent category

Marketing

Websites using Jotform must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive) for the third party cookies set by the embedded widget. Performance of a contract (Art. 6(1)(b)) for the submitted data, processed by Jotform as a processor on behalf of the website operator.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, TDDDG, LSSI CE, CCPA/CPRA, HIPAA (US healthcare), EU US Data Privacy Framework

DPIA considerations

Eine DSFA wird empfohlen, wenn Jotform besondere Datenkategorien, Gesundheitsdaten oder umfangreiche personenbezogene Daten erhebt. Dokumentieren Sie Datenresidenz, Übermittlungsmechanismus (EU US DPF oder SCCs), Speicherdauer bei Jotform und eingebettete Cookies im Verarbeitungsverzeichnis.

Sample consent text

Diese Seite bindet ein von Jotform Inc. (USA) gehostetes Formular ein. Das Widget setzt Drittanbieter Cookies (JOTFORM_SESSION) und kann Ihre Einsendung je nach Datenresidenzeinstellung an Jotform Server in den USA oder in der EU übermitteln. Mit Ihrer Einwilligung wird das Jotform Widget geladen und Ihre Eingabe gesendet.

Technical details

Tracking methodSaaS form builder embedded via iframe or JavaScript widget. Forms are hosted on jotform.com servers; submissions are sent directly to Jotform and stored on Jotform infrastructure. The embedding website only loads the form widget and an optional CDN tracker.

Server locationJotform Inc., San Francisco, United States. EU customers can opt for the European data residency option (Frankfurt, AWS eu central 1) for an additional fee. HIPAA customers use a separate isolated environment.

Data transferred outside the EUBy default, all form submissions and visitor metadata are stored on Jotform US servers in San Francisco. EU customers can activate the EU data residency (Frankfurt) to keep data inside the EEA. Without that option, transfers require the EU US Data Privacy Framework, Standard Contractual Clauses or other Chapter V GDPR safeguards.

Third-party domains contacted

jotform.comjotfor.mscdn.jotfor.msapi.jotform.comsubmit.jotform.comeu.jotform.com

Cookies placed

Name	Type	Duration	Purpose
JOTFORM_SESSION	third_party	Session	Session identifier used by the Jotform widget to keep track of the current form instance.
JFcid	third_party	1 year	Unique visitor identifier used by Jotform for analytics and conversion attribution.
__cf_bm	third_party	30 minutes	Cloudflare bot management cookie used to distinguish humans from automated traffic on jotform.com.
_ga	third_party	2 years	Google Analytics identifier set on jotform.com when Jotform Analytics is enabled on the account.

Jotform setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Jotform?

Im Drittanbieterkontext jotform.com setzt das Widget JOTFORM_SESSION (Sitzung), JFcid (Besucher Kennung, ein Jahr), _ga und _gid (bei aktiver Jotform Analytics) und __cf_bm (Cloudflare Bot Management, 30 Minuten). Alle erfordern im EWR eine vorherige Einwilligung, mit Ausnahme von __cf_bm, das oft als unbedingt erforderlich eingestuft wird.

Ist eine Einwilligung für Jotform erforderlich?

Ja. Das Jotform Widget lädt Drittanbieter JavaScript und setzt Drittanbieter Cookies, sodass eine vorherige Einwilligung nach Art. 5(3) ePrivacy notwendig ist. Die Einsendung selbst wird auf Art. 6(1)(b) DSGVO gestützt (vorvertraglich), Marketing Felder zusätzlich auf Einwilligung.

Was ist die Rechtsgrundlage?

Einsendung: Art. 6(1)(b) DSGVO (vorvertraglich). Drittanbieter Cookies und Widget: Art. 6(1)(a) Einwilligung. Besondere Daten (Art. 9): ausdrückliche Einwilligung plus zusätzliche vertragliche Sicherung (z. B. HIPAA BAA für Gesundheit).

Werden Daten in die USA übermittelt?

Standardmäßig ja: Jotform speichert Formulare und Einsendungen in den USA. Mit EU Data Residency in Jotform Enterprise werden Daten in Frankfurt gespeichert. Ohne EU Residenz stützen sich Übermittlungen auf das EU US DPF (Jotform ist zertifiziert) oder auf SCCs plus TIA.

Benötige ich für Jotform eine DSFA?

Empfohlen, wenn Jotform besondere Datenkategorien (Gesundheit, Biometrie, Finanzen), Recruiting mit automatisierter Entscheidung oder große Mengen verarbeitet. Die DSFA umfasst Residenz, Übermittlungsmechanismus, eingebettete Cookies und Aufbewahrung.

Wie wird Jotform korrekt implementiert?

Widget bis zur Einwilligung blockieren. Jotform AVV unterzeichnen. EU Residenz aktivieren, wenn relevant. Sensible Felder verschlüsseln. Aufbewahrungsregel definieren. Marketing Felder als Opt In gestalten. Anti Spam Funktionen und reCAPTCHA Alternativen wie Cloudflare Turnstile nutzen. Jotform im Verzeichnis als Auftragsverarbeiter führen.

Welche Alternativen zu Jotform gibt es?

Europäische SaaS: Tally (Belgien), Typeform (Spanien), Formbricks (Open Source, EU Hosting). US SaaS: SurveyMonkey, Wufoo, Google Forms, Microsoft Forms. Selbst gehostet auf WordPress: Gravity Forms, WPForms, Ninja Forms, Fluent Forms, Contact Form 7.

Wie aktualisiere ich die Cookie Richtlinie, wenn sich Jotform ändert?

Beobachten Sie die Jotform Unterauftragnehmerliste und den DPF Status. Bei Änderungen von AVV, Residenz oder Unterauftragnehmern aktualisieren Sie Cookie Tabelle, Datenschutzerklärung und Verarbeitungsverzeichnis und erhöhen die Banner Version.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note