Ist Google Forms sicher?

„Ist Google Forms sicher?“ ist eine der häufigsten Fragen, bevor jemand etwas Sensibleres als eine Mittagsbestellung darüber erhebt. Die ehrliche Antwort ist differenzierter als ein einfaches Ja oder Nein — und hängt ganz davon ab, was Sie mit „sicher“ meinen und welche Art von Daten Sie erheben.

Dieser Beitrag beantwortet die Fragen, nach denen tatsächlich gesucht wird — sind Google Forms verschlüsselt, wer kann Ihre Antworten lesen, ist es DSGVO-konform, wie steht es zum Schweizer Datenschutz — und endet dort, wo eine Zero-Knowledge-Alternative das Bild ändert. Wir bleiben durchweg fair: Google macht vieles richtig, und es geht nicht darum, Sie von einem guten Werkzeug abzuschrecken, sondern Ihnen zu helfen, zwischen Daten zu unterscheiden, für die Google Forms passt, und solchen, für die es das nicht tut.

Sind Google Forms verschlüsselt?

Ja — aber mit einer wichtigen Einschränkung. Google Forms verschlüsselt Ihre Antworten im Transport mit TLS (derselben Technik hinter dem Schloss im Browser) und verschlüsselt die gespeicherten Daten im Ruhezustand auf Googles Infrastruktur. Was es nicht tut, ist Ende-zu-Ende-Verschlüsselung: Google hält die Schlüssel, also sind die Daten für Googles Systeme lesbar.

Verschlüsselung im Transport (TLS)

Wenn ein Befragter ein Google-Formular absendet, ist die Verbindung zwischen seinem Browser und Googles Servern in einen TLS-Tunnel gehüllt. Niemand im Netzwerk dazwischen — ein Angreifer im öffentlichen WLAN, ein Internetanbieter, ein Firmen-Proxy — kann die Antworten unterwegs lesen. Dieser Teil ist gut gemacht und entspricht dem Standard, den jeder seriöse Webdienst nutzt.

Verschlüsselung im Ruhezustand

Sobald die Antwort ankommt, entschlüsselt Google die TLS-Schicht und speichert die Daten auf seiner Infrastruktur, wo sie im Ruhezustand mit von Google verwalteten Schlüsseln verschlüsselt werden. Das schützt gegen eine enge Bedrohung: Wer physisch eine Festplatte aus einem Google-Rechenzentrum stiehlt, fände unlesbare Bytes. Das ist echter Schutz, und Googles Umsetzung ist solide.

„Sind Google Forms verschlüsselt?“ ist also ein Ja für Transport und Ruhezustand, aber ein Nein für Ende-zu-Ende. Die Antworten liegen in einer Form vor, die Google lesen kann, wann immer seine Systeme es brauchen — für Speicherung, Indexierung, Suche, Spam-Filterung, Missbrauchserkennung oder eine Support-Untersuchung. Genau diese Unterscheidung zählt, sobald die Daten vertraulich sind.

Ist Google Forms sicher?

Aus Sicht der Infrastruktur ist Google Forms sehr sicher. Google betreibt erstklassige Rechenzentren, beschäftigt eines der grössten Security-Engineering-Teams der Welt, patcht aggressiv und wehrt Netzwerkangriffe, Malware und Konto-Übernahmen besser ab als nahezu jede Organisation es selbst könnte. Ist Ihr Bedrohungsmodell „ein zufälliger Hacker bricht in die Server ein“, hält Google Forms ausgezeichnet stand.

Die eigentliche Frage ist nicht, ob die Mauern stark sind, sondern wer bereits drinnen ist. „Sicher“ heisst bei einem Formular weniger, Angreifer fernzuhalten, als vielmehr, wer legitimen Zugriff auf den lesbaren Inhalt hat. Bei Google Forms ist diese Liste länger, als die meisten annehmen:

• Sie als Formularbesitzer und alle, denen Sie Bearbeitungs- oder Lesezugriff auf das Formular gewähren
• Jeder mit Zugriff auf das verknüpfte Google Sheet — das leicht zu weit geteilt wird
• Google-Workspace-Administratoren in der Domain Ihrer Organisation, die auf Inhalte in verwalteten Konten zugreifen können
• Google selbst als Auftragsverarbeiter, der den Dienst betreibt, für betriebliche Zwecke (Speicherung, Missbrauchserkennung, rechtliche Anfragen)

Nichts davon bedeutet, dass Google Ihre Umfrageantworten zum Vergnügen liest. Es bedeutet, dass die Architektur es erlaubt. Sicherheitsfragen für vertrauliche Daten lauten nicht „könnte ein Hacker hineinkommen?“, sondern „wie viele Parteien können das im Normalbetrieb lesen, und bin ich mit allen einverstanden?“ Bei Google Forms ist die Antwort auf die zweite Frage grösser als null — und genau diese Lücke schliesst Ende-zu-Ende-Verschlüsselung.

Wer kann Ihre Google-Forms-Antworten lesen?

Mehr Menschen und Systeme, als dem Besitzer meist bewusst ist. Über Googles eigene Infrastruktur hinaus entsteht die praktische Exposition daraus, wie Antworten geteilt werden, wie sie sich in Tabellen verbreiten und was passiert, wenn ein Konto kompromittiert wird.

Das Freigabemodell

Antworten sind für alle sichtbar, mit denen das Formular — oder seine Ergebnisse — geteilt wird. Zusammenarbeit ist eine Stärke von Google, bedeutet aber auch, dass Zugriff mit wenigen Klicks gewährt wird und leicht aus dem Blick gerät. Ein mit einer Kollegin geteiltes Formular, die später das Team wechselt, ein Link, der einen Schritt zu weit weitergeleitet wird, eine versehentlich aktive Einstellung „jeder mit dem Link kann ansehen“: Jedes davon erweitert den Kreis derer, die jede Antwort lesen können.

Verknüpfte Tabellen vermehren sich

Die meisten verbinden ein Google-Formular mit einem Google Sheet, um die Ergebnisse auszuwerten. Ab diesem Moment leben die Antworten an einem zweiten Ort mit eigenen, unabhängigen Freigabeeinstellungen. Menschen kopieren das Sheet, laden es als Excel herunter, fügen Bereiche in E-Mails ein, importieren es in andere Tools oder bauen Dashboards darauf. Jede Kopie ist ein neuer Klartext-Behälter derselben vertraulichen Daten, und keine erbt die Zugriffskontrollen des Originals.

Workspace-Administratoren

Lebt Ihr Formular in einem von Ihrer Organisation verwalteten Google-Workspace-Konto (früher G Suite), haben Ihre Workspace-Administratoren mächtige Befugnisse über dieses Konto, einschliesslich des Zugriffs auf verwaltete Inhalte. Das ist für die IT-Administration normal und nötig — bedeutet aber, dass Ihre Antworten für Ihre eigenen Administratoren lesbar sind, was je nach Inhalt angemessen sein kann oder nicht (etwa eine HR-Beschwerde über eine Führungskraft).

Konto-Kompromittierung: das praktische Risiko

Im Alltag ist der wahrscheinlichste Weg, auf dem Google-Forms-Antworten abfliessen, kein Einbruch bei Google, sondern die Kompromittierung eines der menschlichen Konten, die sie lesen können — ein abgephishtes Passwort, ein wiederverwendetes Anmeldedatum, ein vom Laptop gestohlenes Sitzungs-Token, ein fehlender zweiter Faktor. Weil die Daten für jeden, der sich anmelden kann, Klartext sind, übergibt eine Konto-Übernahme dem Angreifer den vollständigen lesbaren Inhalt. Starke Konto-Hygiene (hardwaregestützte Zwei-Faktor-Authentisierung, keine Passwort-Wiederverwendung) ist hier die wichtigste Kontrolle — und sie liegt vollständig bei Ihnen, nicht bei Google.

Ist Google Forms DSGVO-konform?

Google Forms kann DSGVO-konform genutzt werden, aber DSGVO-Konformität ist keine Eigenschaft des Werkzeugs allein — sie hängt davon ab, wie Sie es nutzen, auf welchem Tarif Sie sind und welche Pflichten Sie als Verantwortlicher erfüllen. Google liefert die Bausteine; die Verantwortung, sie richtig zusammenzusetzen, liegt bei Ihnen.

Workspace vs. kostenloser Privatkonto-Tarif

Diese Unterscheidung zählt mehr als fast alles andere. Google Workspace (der kostenpflichtige Geschäftstarif) bringt eine Datenverarbeitungsvereinbarung (DPA) und Standardvertragsklauseln (SCC) mit, die Ihnen die vertragliche Grundlage geben, die die DSGVO für die Nutzung eines Auftragsverarbeiters erwartet. Das kostenlose private Google-Konto kommt nicht mit denselben Geschäfts-Datenverarbeitungsbedingungen. Personenbezogene Daten anderer auf einem kostenlosen Privatkonto zu erheben, ist unter der DSGVO weit schwerer zu verteidigen als dasselbe auf einem Workspace-Konto mit unterzeichneter DPA.

Die Pflichten des Verantwortlichen bleiben bei Ihnen

Selbst mit einer Workspace-DPA hält die DSGVO eine lange Liste von Pflichten bei Ihnen als Verantwortlichem: eine Rechtsgrundlage für die Erhebung schaffen, den Befragten eine Datenschutzinformation geben, Auskunfts- und Löschanträge erfüllen, Datenminimierung anwenden, ein Verarbeitungsverzeichnis führen und beurteilen, ob die Daten sensibel genug für eine Datenschutz-Folgenabschätzung sind. Nichts davon erledigt sich durch ein Häkchen in Google Forms.

Die Frage des Datentransfers

Google-Forms-Daten werden auf Google Cloud gehostet, standardmässig überwiegend in den USA (Workspace-Enterprise-Tarife bieten einige Datenregions-Optionen). Der Transfer personenbezogener EU-Daten in die USA wird durch Mechanismen wie das EU-US Data Privacy Framework und SCC geregelt, und die Rechtslage hat sich hier im letzten Jahrzehnt mehrfach verschoben. Für sensible Daten ist die Tatsache, dass der Inhalt für einen US-Auftragsverarbeiter lesbar — und unter US-Recht wie dem CLOUD Act erreichbar — ist, ein wesentlicher Teil der Compliance-Analyse, keine Fussnote.

Google Forms und Schweizer Datenschutz (nDSG)

Für Schweizer Unternehmen ist die Analyse der DSGVO ähnlich, verläuft aber über das revidierte Bundesgesetz über den Datenschutz (nDSG/revDSG, in Kraft seit September 2023). Die Schweiz ist eine eigene Jurisdiktion mit eigener Aufsichtsbehörde, und viele Schweizer Organisationen — und ihre Kunden — haben eine klare Präferenz oder eine vertragliche Anforderung, dass personenbezogene Daten auf Schweizer Boden unter Schweizer Recht bleiben.

• Datenstandort: Google-Forms-Daten werden überwiegend ausserhalb der Schweiz auf Google Cloud gehostet. Der grenzüberschreitende Transfer in die USA berührt die nDSG-Regeln zu Transfers in Länder mit angemessenem Schutz und zu vertraglichen Absicherungen.
• Besonders schützenswerte Personendaten: Das nDSG misst sensiblen Kategorien (Gesundheit, religiöse oder politische Ansichten, Daten der Sozialhilfe, Biometrie und mehr) besonderes Gewicht bei. Diese über ein Werkzeug zu erheben, bei dem ein US-Auftragsverarbeiter den Inhalt lesen kann, erhöht die Anforderungen an Dokumentation und Rechtfertigung.
• Kunden- und Branchenerwartungen: Schweizer Arztpraxen, Kanzleien, Finanzberater und öffentliche Stellen sehen sich häufig Kunden- oder Aufsichtserwartungen an Schweizer Hosting gegenüber, die ein US-gehostetes, anbieter-lesbares Werkzeug schlicht nicht erfüllen kann, ungeachtet aller Unterlagen.

Wie bei der DSGVO ist Google Forms unter dem nDSG nicht automatisch nicht-konform — aber die Kombination aus US-Hosting und einem Anbieter, der den Klartext lesen kann, macht es zu einer schlechten Wahl für genau die Datenkategorien, die das Schweizer Vertraulichkeitsrecht am meisten betreffen. Für diese beseitigt es die schwierigsten Fragen, bevor sie gestellt werden, wenn die Daten für jeden Anbieter unlesbar und physisch in der Schweiz bleiben.

Wann Google Forms völlig in Ordnung ist

Es sei klar gesagt: Für einen grossen Teil alltäglicher Formulare ist Google Forms eine ausgezeichnete, ausreichend sichere Wahl, und schwergewichtige Verschlüsselung wäre überzogen. Seine Sicherheit ist mehr als angemessen, wenn der Inhalt unkritisch ist und Sie mit dem Zugriffsmodell einverstanden sind. Gut geeignet sind:

• Event-Antworten, Anmeldelisten und Mittags- oder Catering-Bestellungen
• Interne Teamumfragen und beiläufiges Feedback ohne echte Personendaten
• Anonyme, nicht-sensible Umfragen und Quizze
• Schul- und Bildungseinsatz über Google Classroom
• Schnelle Wegwerf-Koordinationsformulare innerhalb einer vertrauten Gruppe
• Alles, wo der Inhalt keinen Schaden anrichtet, wenn eine Kollegin, ein Administrator oder der Anbieter ihn lesen könnte

Dafür ist Google Forms schnell, kostenlos, vertraut und gut gegen die tatsächlich relevanten Bedrohungen abgesichert. Der Fehler ist nicht, Google Forms zu nutzen — sondern es über den Punkt hinaus zu nutzen, an dem „Google kann das lesen, und alle, mit denen wir es teilen, auch“ keine akzeptable Antwort mehr ist.

Wann Sie mehr als Google Forms brauchen

Die Linie ist die Sensitivität. Sobald ein Formular Daten erhebt, deren Offenlegung echten Schaden anrichten würde — für eine Person, für Ihre Pflichten oder für Ihren Ruf — reicht das anbieter-lesbare Modell nicht mehr. Typische Beispiele:

• Gesundheitsdaten: Patientenaufnahme, Symptomfragebögen, Anamnese, psychologisches Screening
• Juristische Daten: Mandantenaufnahme, Falldetails, alles unter Berufsgeheimnis
• HR-Daten: Beschwerden, Whistleblower-Meldungen, Disziplinarfälle, Lohn- und Konfliktinformationen
• Finanzdaten: Bankverbindungen, KYC-Dokumente, Versicherungsansprüche, Steuerinformationen
• Alle Daten, bei denen Befragte alarmiert wären zu erfahren, dass der Plattformanbieter ihre Antworten lesen kann

Hier lautet der richtige Vergleich nicht „ist Google Forms sicher?“, sondern „wer kann diesen Inhalt lesen, und ist diese Liste kurz genug?“ Die folgende Tabelle bildet den Unterschied zwischen Googles Modell — starkes TLS plus Verschlüsselung im Ruhezustand, mit dem Anbieter als Schlüsselhalter — und einem Ende-zu-Ende-verschlüsselten Modell ab, bei dem kein Anbieter den Inhalt überhaupt lesen kann.

Beachten Sie die letzte Zeile. Ende-zu-Ende-Verschlüsselung ist keine Magie: Kompromittiert ein Angreifer das eigene Konto und den Schlüssel des Formularbesitzers, kann er lesen, was der Besitzer lesen kann. Was E2EE beseitigt, ist jede Partei dazwischen — den Anbieter, sein Personal, seine anderen Systeme, Administratoren und jeden, mit dem die verknüpften Daten zu weit geteilt wurden. Für vertrauliche Daten ist es der ganze Sinn, die Liste der Lesenden auf „nur den Besitzer“ zu verkleinern.

Die Zero-Knowledge-Alternative

Schweizerform ist speziell für die Formulare gebaut, bei denen „der Anbieter kann das lesen“ keine akzeptable Antwort ist. Es ist ein in der Schweiz entwickelter, datenschutzorientierter Formular-Builder mit grundlegend anderer Architektur: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung, bei der der Betreiber keine technische Möglichkeit hat, irgendeine Einsendung zu lesen.

Der praktische Effekt: Die Bedrohungen in der rechten Spalte der obigen Tabelle werden durch die Architektur beantwortet, nicht durch Vertrauen. Eine Vorladung ergibt Chiffrat. Ein Vorfall ergibt Chiffrat. Ein Administrator, eine zu weit geteilte Tabelle oder eine neugierige Person im Engineering existiert schlicht nicht als Pfad zu Ihren Daten, weil der lesbare Inhalt nie die Browser von Besitzer und Befragtem verlässt.

Um klar zu sein: Das ist keine Behauptung, Schweizerform sei in jeder Hinsicht „sicherer“ als Google — Googles Infrastruktur-Sicherheit ist exzellent und nichts, was ein kleinerer Anbieter übertrumpft. Es ist eine Aussage über eine andere Eigenschaft: den Zugriff. Google kann Ihre Google-Forms-Antworten lesen; Schweizerform kann Ihre Einsendungen nicht lesen. Für vertrauliche Daten ist dieser eine Unterschied entscheidend.

Das Fazit: Ist Google Forms sicher?

Ja, Google Forms ist sicher — für die richtige Art von Daten. Es verschlüsselt im Transport und im Ruhezustand, läuft auf exzellenter Infrastruktur und ist für Event-Antworten, interne Umfragen und nicht-sensible Erhebungen mehr als sicher genug. Was es nicht ist, ist Ende-zu-Ende-verschlüsselt, was bedeutet, dass Google, Ihre Administratoren und alle, mit denen die Antworten geteilt werden, den Inhalt lesen können.

Der ehrliche Test ist daher einfach. Erhebt Ihr Formular Gesundheits-, Rechts-, HR-, Finanz- oder anderweitig vertrauliche Informationen, lautet die Frage nicht „sind Google Forms verschlüsselt?“ — sondern „ist jeder, der diese Antworten lesen kann, jemand, dem ich sie anvertraue?“ Wenn diese Antwort nein lautet, brauchen Sie ein Werkzeug, das der Anbieter überhaupt nicht lesen kann.