Ist Microsoft Forms verschlüsselt?

Es ist eine berechtigte, häufige Frage, die eine präzise Antwort verdient statt eines Marketing-Spruchs: Ist Microsoft Forms verschlüsselt? Die ehrliche Antwort lautet ja — mit einem wichtigen Sternchen. Microsoft Forms verschlüsselt Ihre Daten gut nach den Massstäben, die die meisten meinen, wenn sie so fragen. Was es nicht leistet, ist Ende-zu-Ende-Verschlüsselung, und genau diese eine architektonische Tatsache entscheidet, wer letztlich die Antworten Ihrer Formulare lesen kann.

Dieser Beitrag zeigt, was Microsoft Forms tatsächlich verschlüsselt, wer Antworten trotz dieser Verschlüsselung sehen kann, wo die Daten physisch liegen, wie das in ein DSGVO-Programm passt, und in welchen konkreten Fällen die Verschlüsselung von Microsoft nicht die ist, die Sie brauchen. Wir haben ein Interesse daran — wir bauen ein Konkurrenzprodukt — und haben uns deshalb bemüht, Microsoft fairen Kredit zu geben, wo er angebracht ist. Der Unterschied, auf den wir immer wieder zurückkommen, ist nicht, ob die Daten verschlüsselt sind, sondern wer die Schlüssel hält.

Ist Microsoft Forms verschlüsselt?

Ja. Microsoft Forms verschlüsselt Daten im Transport mit TLS und Daten im Ruhezustand in Microsoft-365-Rechenzentren. Das ist echte, standardbasierte Sicherheit und ein vernünftiger Standard — Ihre Antworten reisen oder lagern nicht im Klartext. Die Feinheit liegt darin, was diese beiden Schutzmechanismen abdecken und was nicht.

Verschlüsselung im Transport

Wenn ein Befragter ein Microsoft Form ausfüllt, ist die Verbindung zwischen seinem Browser und Microsofts Servern durch TLS geschützt — dieselbe Transportverschlüsselung, die Online-Banking absichert. Niemand zwischen Befragtem und Microsoft kann die Einreichung unterwegs lesen oder verändern. Das ist der Teil von „Verschlüsselung“, den sich die meisten vorstellen, und Microsoft macht ihn richtig.

Verschlüsselung im Ruhezustand

Sobald eine Antwort in Microsoft 365 landet, wird sie im Ruhezustand verschlüsselt gespeichert. Auf Hardware-Ebene schützt das davor, dass jemand physisch eine Disk aus einem Microsoft-Rechenzentrum stiehlt. Einige Microsoft-365-Pläne erlauben zusätzlich Customer Key, bei dem der Kunde einen Wurzelschlüssel beisteuert. Das ist eine sinnvolle Kontrolle — sie verschiebt aber nur, wer die Schlüssel verwaltet, ohne Microsofts Fähigkeit zur Datenverarbeitung zu entfernen. Der Dienst entschlüsselt Antworten weiterhin, um sie anzuzeigen, zu indexieren und Funktionen auszuführen.

Was Verschlüsselung im Transport und im Ruhezustand nicht bedeutet

Beide Schutzmechanismen sind serverseitig. TLS endet bei Microsofts Servern; die Daten liegen dann lesbar im Dienst vor, werden im Klartext verarbeitet und für die Speicherung neu verschlüsselt. Verschlüsselung im Ruhezustand schützt vor Diskdiebstahl, nicht vor Microsofts eigenen laufenden Systemen, nicht vor einem Tenant-Administrator und nicht vor jemandem, mit dem das Formular geteilt wird. Anders gesagt: Microsoft Forms ist verschlüsselt, aber Microsoft — und Menschen in Ihrer Organisation — können die Antworten weiterhin lesen. Das ist so gewollt, und für viele Zwecke genau das, was Sie wollen.

Wer kann Ihre Microsoft-Forms-Antworten sehen?

Mehr Personen, als viele Formularbesitzer annehmen. Im Microsoft-Forms-Modell sind Antworten bewusst so gestaltet, dass sie innerhalb Ihrer Organisation zugänglich sind — diese Zugänglichkeit ist ein Feature, kein Mangel. Die Liste derer, die eine Antwort technisch lesen können, umfasst den Formularbesitzer, alle, mit denen er teilt oder gemeinsam erstellt, Gruppenformular-Mitglieder und Ihre Tenant-Administratoren, mit Microsoft selbst als darunterliegendem Verarbeiter.

• Der Formularbesitzer — das Konto, das das Formular erstellt hat, sieht jede Antwort im Klartext, wie erwartet
• Mitautoren und Personen, mit denen das Formular geteilt wird — das Teilen eines Formulars zur Zusammenarbeit oder einer Antwort-Arbeitsmappe gewährt diesen Personen Lesezugriff auf die Daten
• Gruppenformulare — ein Formular, das einer Microsoft-365-Gruppe gehört, ist für jedes Mitglied dieser Gruppe zugänglich, was ein grösserer und fluiderer Personenkreis sein kann als ursprünglich beabsichtigt
• Tenant- und globale Administratoren — Microsoft-365-Admins können Forms-Daten organisationsweit verwalten und über Admin- und Compliance-Werkzeuge darauf zugreifen
• Microsoft als Verarbeiter — Microsofts Dienste verarbeiten Antworten im Klartext, um sie darzustellen, zu speichern und Funktionen zu betreiben, und Microsoft kann unter einer rechtmässigen Anordnung zur Herausgabe entschlüsselbarer Daten gezwungen werden

Entscheidend: Diese Zugänglichkeit ist beabsichtigt. Microsoft 365 bringt eDiscovery-, Audit- und Compliance-Werkzeuge mit (Microsoft Purview), gerade damit eine Organisation Inhalte — einschliesslich Forms-Antworten — für rechtliche und Governance-Zwecke durchsuchen, aufbewahren und herausgeben kann. Eine Plattform, die Ihrem Compliance-Team ermöglicht, Inhalte zu finden, ist per Definition eine Plattform, auf der diese Inhalte auffindbar sind. Für interne Umfragen ist das wünschenswert. Für eine Whistleblower-Linie ist es das Gegenteil dessen, was Sie brauchen.

Wo speichert Microsoft Forms Daten?

Microsoft Forms speichert Antwortdaten in Microsoft-365-Rechenzentren, in einer Region, die der Konfiguration Ihres Tenants folgt. Für europäische Kunden hält die EU-Datengrenze die meisten Microsoft-365-Dienstdaten in EU/EFTA-Regionen. Kostenloses Consumer-Forms (ein privates Microsoft-Konto) wird anders geregelt als Arbeits- oder Schul-Forms auf einem verwalteten Tenant.

Microsoft hat stark in regionale Datenresidenz investiert, und die EU-Datengrenze ist eine echte Verbesserung — Residenz auf Disk-Ebene innerhalb Europas ist real und sinnvoll. Aber Datenresidenz betrifft, wo die Bytes liegen, nicht, welchem Rechtssystem der Anbieter unterliegt. Microsoft Corporation ist ein US-Unternehmen, und US-Recht — einschliesslich des CLOUD Act — kann auf Daten von US-Anbietern zugreifen, unabhängig vom physischen Serverstandort. Microsoft hat sich gegen zu weite Anfragen vor Gericht gewehrt und veröffentlicht detaillierte Transparenzberichte, daher ist dies ein sachlicher, ruhiger Punkt und kein Vorwurf: Ein US-Anbieter, der ein EU-Rechenzentrum betreibt, ist rechtlich strukturell anders gestellt als ein Schweizer Anbieter, der ausschliesslich nach Schweizer Recht operiert.

Ist Microsoft Forms DSGVO-konform?

Microsoft Forms lässt sich DSGVO-konform nutzen: über den Microsoft-365-Auftragsverarbeitungsvertrag, Standardvertragsklauseln und Microsofts breites Compliance-Programm (ISO- und SOC-Zertifizierungen, dokumentierte DSGVO-Verpflichtungen) unterstützt das Tool eine rechtmässige Verarbeitung. „DSGVO-konform“ ist allerdings keine Eigenschaft, die ein Formular-Tool allein hat — es ist etwas, das Sie durch die Art Ihres Einsatzes erreichen, und Ihre Pflichten als Verantwortlicher bleiben vollständig bei Ihnen.

Microsofts Compliance-Programm ist stark und sollte klar anerkannt werden: ein robuster AVV, Standardvertragsklauseln für Übermittlungen, anerkannte Zertifizierungen und klare Dokumentation zum Datenumgang. Für sehr viele Verarbeitungstätigkeiten ist das mehr als genug. Die ehrliche Kritik an Microsoft Forms ist nicht, dass Microsoft unsorgfältig wäre — es ist die Zugriffsarchitektur. Weil Microsoft und Ihre Administratoren Antworten lesen können, werden die darin enthaltenen Personendaten von einem US-Verarbeiter verarbeitet, der technisch darauf zugreifen kann. Das verletzt die DSGVO nicht, prägt aber Ihre Pflichten.

• Die Pflichten als Verantwortlicher bleiben bei Ihnen: Rechtsgrundlage, Transparenz gegenüber Befragten, Betroffenenrechte, Aufbewahrung und Minimierung liegen bei Ihnen, nicht bei Microsoft
• Die Übermittlungsanalyse gilt weiterhin: Auch mit der EU-Datengrenze gehört die US-Jurisdiktion des Anbieters zu einer ehrlichen Folgenabschätzung der Übermittlung
• Besondere Kategorien (Artikel 9 — Gesundheit usw.) erhöhen die Anforderungen, und ein Verarbeiter, der die Daten lesen kann, ist ein Faktor, den Sie abwägen müssen
• Consumer- vs. Arbeits-/Schul-Konten unterscheiden sich: kostenloses privates Forms unterliegt nicht den Tenant-Vereinbarungen Ihrer Organisation und sollte nicht für organisatorische Personendaten genutzt werden

Microsoft Forms vs. ein Ende-zu-Ende-verschlüsseltes Formular-Tool

Am klarsten wird der Unterschied, wenn man beide Tools gegen dieselben Bedrohungen hält. Microsoft Forms' Transport- und Ruheverschlüsselung wehrt einige davon gut ab und andere bauartbedingt gar nicht. Ein Ende-zu-Ende-verschlüsseltes Tool — bei dem Einreichungen im Browser des Befragten verschlüsselt werden und der Anbieter nur Chiffretext speichert — verschiebt die Linie genau bei den Bedrohungen, die den Anbieter und die Personen mit Tenant-Zugriff betreffen.

Lesen Sie die mittleren drei Zeilen genau — sie sind die ganze Geschichte. Microsoft Forms ist exzellent gegen den Netzwerkangreifer und vernünftig gegen gelegentlichen Diskdiebstahl. Es ist bauartbedingt vollständig zugänglich für den Anbieter, für Administratoren und für erzwungene rechtliche Verfahren. Ein E2EE-Tool kehrt diese drei Zeilen um: Der Anbieter hält keinen Schlüssel, also laufen Personal, Vorfall, Admins und Vorladungen alle in Chiffretext. Der Trade-off: E2EE-Tools können keine anbieterseitigen Funktionen bieten, die das Lesen der Daten erfordern (serverseitige Antwortsuche, serverseitige Auto-Bewertung, tiefe Arbeitsmappen-Analytics) — genau deshalb existieren beide Modelle.

Wann Microsoft Forms das richtige Tool ist

Oft. Für einen grossen Teil alltäglicher Formulare ist Microsoft Forms nicht nur ausreichend, sondern die kluge Wahl — besonders wenn Ihre Organisation ohnehin auf Microsoft 365 läuft und die Daten schlicht nicht sensibel sind. Zero-Knowledge-Kryptografie wäre hier überzogen.

• Interne Umfragen, Team-Retros und Mitarbeiterabstimmungen, bei denen Antworten innerhalb der Organisation sichtbar sein sollen
• Quizze und Schulungstests, bei denen Microsofts Auto-Bewertung ein wirklich starkes serverseitiges Feature ist
• Event-Anmeldungen, Anmeldelisten und leichte Registrierungen ohne sensiblen Inhalt
• Wenig sensible Feedback- und Zufriedenheitsumfragen von Personen innerhalb Ihres Tenants
• Workflows, die von tiefer Excel-, Teams-, SharePoint- und Power-Automate-Integration profitieren
• Jeder Fall, in dem es Ihnen recht ist, dass Tenant-Admins und Microsoft als Verarbeiter die Daten lesen können

Wenn Ihre ehrliche Antwort auf „Würde es etwas ausmachen, wenn ein Administrator oder Microsoft diese Antworten lesen könnte?“ ein „Nein“ ist, dann ist Microsoft Forms' Verschlüsselung genau die richtige Menge Verschlüsselung. Komfort, Integration und Null Grenzkosten innerhalb von M365 sind echte Vorteile, und keine gute Sicherheitspraxis verlangt, dass Sie für mehr Schutz zahlen, als die Daten rechtfertigen.

Wann Sie mehr brauchen

Das Bild ändert sich in dem Moment, in dem das Formular Daten erfasst, bei denen die falsche Person, die sie liest, echten Schaden anrichtet. In diesen Fällen ist genau die Eigenschaft, die Microsoft Forms bequem macht — dass die Daten innerhalb Ihrer Organisation und durch den Anbieter lesbar sind — die Eigenschaft, die es disqualifiziert. „Der Admin kann es lesen“ ist hier kein Fehler; es ist eine Designentscheidung, die den Anwendungsfall seiner Natur nach zunichtemacht.

• HR-Untersuchungen und Beschwerden — bei denen die beschuldigte Person ein Tenant-Administrator sein oder einen verwalten könnte
• Whistleblower- und Ethik-Meldungen — bei denen die Sicherheit des Meldenden davon abhängt, dass kein Insider ihn identifizieren kann
• Gesundheits- und Patientendaten — besondere Kategorien, bei denen die Lesbarkeit durch den Verarbeiter ein substanzielles Risiko ist
• Juristische Mandantenaufnahme und vertrauliche Offenlegungen — geschützte Informationen, die nicht in einer IT-Abteilung auffindbar sein sollten
• Finanz-KYC, Identifikationsnummern und Kontodaten — hochbrisante Daten, attraktiv für externe wie interne Bedrohungen
• Vorstands-, M&A- und vertrauliche Strategiethemen — bei denen das Publikum eng begrenzt sein muss, nicht der ganze Tenant
• Externe vertrauliche Erfassung — Patienten, Mandanten, Quellen und Bewerber, die nicht in Ihrem Tenant sind und ihm nicht vertrauen müssen sollten

Die Zero-Knowledge-Alternative

Schweizerform ist genau für die Formulare gebaut, die auf der anderen Seite dieser Linie liegen. Die Architektur beginnt mit einer einzigen Entscheidung: Jede Einreichung wird im Browser des Befragten verschlüsselt, bevor sie unsere Server überhaupt erreicht, und wir speichern nur Chiffretext. Wir sind kein Verarbeiter, der verspricht, nicht hinzusehen — wir sind ein Verarbeiter, der nicht hinsehen kann.

• Zero-Knowledge-Ende-zu-Ende-Verschlüsselung: Einreichungen einschliesslich Dateianhängen werden im Browser mit AES-256-GCM verschlüsselt; der Schlüssel pro Einreichung wird mit dem öffentlichen RSA-OAEP-2048-Schlüssel des Formulars umhüllt, und die Schlüsselkette ist durch den Zugangscode des Besitzers geschützt (PBKDF2, 100'000 Iterationen)
• Anbieter kann Antworten nicht lesen: Unsere Server erhalten nur Chiffretext, sodass Personal, ein Vorfall oder eine rechtmässige Anordnung nichts Lesbares ergibt — auch unter Vorladung
• Schweizer Hosting durchgehend: Server, MySQL, S3-kompatibler Speicher und E-Mail laufen bei Infomaniak in der Schweiz, ohne US- oder EU-Anbieter im Datenpfad
• Sauberes Frontend: kein Third-Party-JavaScript, keine Tracker, nur First-Party-Analytics — die Einreichseite leakt Felder an niemanden
• Für die Arbeit gebaut: 25 Fragetypen einschliesslich verschlüsselter Datei-Uploads (25 MB pro Datei), Passwortschutz, Terminplanung und vollständig mehrsprachige öffentliche Formulare in EN, DE, FR und IT — mit CHF-Preisen und einem kostenlosen Tarif mit derselben Verschlüsselung wie jeder bezahlte

Zur Klarheit über den Umfang: Schweizerform ist um den Schweizer nDSG und DSGVO-konformen Umgang herum gebaut. Es ist nicht HIPAA-zertifiziert und wir bieten keinen BAA, sodass US-Gesundheitseinrichtungen mit genau dieser Anforderung das berücksichtigen sollten. Und es ist ein anderer Tooltyp als Microsoft Forms — es versucht nicht, Excel-Auto-Bewertung oder Power-Automate-Flows zu ersetzen, denn diese Funktionen erfordern, dass der Server die Daten liest, was genau das eine ist, was wir bewusst aufgegeben haben.

Wenn Sie den Direktvergleich in voller Tiefe wollen — Features, Jurisdiktion, Preismodell und Migrationsschritte — gibt es auf dieser Website einen eigenen Vergleich Schweizerform vs. Microsoft Forms, der weiter geht, als dieser Artikel kann. Die Kurzfassung ist die, um die dieser ganze Beitrag kreist: Microsoft Forms behalten für das, worin es wirklich gut ist, und ein Zero-Knowledge-Tool für die Formulare nutzen, bei denen die Antwort auf „Wer kann das lesen?“ „nur ich“ sein muss.

Das Fazit

Ist Microsoft Forms verschlüsselt? Ja — im Transport und im Ruhezustand, kompetent, und diese Grundlage schlägt die Alternative ungeschützter Daten klar. Für interne Umfragen, Quizze, Anmeldungen und wenig sensible Daten innerhalb einer M365-Organisation ist diese Verschlüsselung die richtige Menge, und Microsoft Forms ist eine völlig gute Antwort.

Die Frage, die für sensible Daten wirklich zählt, ist nicht, ob die Daten verschlüsselt sind, sondern wer die Schlüssel hält. Bei Microsoft Forms hält Microsoft sie, und Ihre Administratoren können Antworten lesen — bauartbedingt, im Dienst legitimer Unternehmens-Governance. Wenn diese Lesbarkeit zum Risiko statt zum Feature wird — HR, Gesundheit, Recht, Whistleblower, Finanzen, externe vertrauliche Erfassung — brauchen Sie Ende-zu-Ende-Verschlüsselung, bei der kein Anbieter und kein Admin lesen kann, was Ihre Befragten einreichen. Das ist der ganze Unterschied, klar gesagt.