Enterprise: Normaler Server vs. HIPAA-freundliche Server

6. März 2026

Zusammenfassen mit:

Wenn Sie erstmals Funktionen nutzen, die HIPAA-Konformität ermöglichen, sollten Sie sich einiger grundlegender Unterschiede bewusst sein:

  • Sicherheit
  • Integrationen
  • Genehmigungs-Workflows
  • Emails
  • Was noch?

Sicherheit

Mit Jotform Enterprise werden Ihre Daten standardmäßig im Ruhezustand verschlüsselt, was für den Schutz von persönlich identifizierbaren Informationen (PII) vorteilhaft ist. Die Enterprise-Lösung ist vollständig von der Jotform-Umgebung isoliert, sodass nichts mit anderen Nutzern geteilt wird. Daten werden automatisch verschlüsselt, während sie geschrieben werden. Jeder Verschlüsselungsschlüssel wird zudem mit Hauptschlüsseln verschlüsselt, die von unserem Hosting-Partner, der Google Cloud Platform, verwaltet werden.

Die Verschlüsselung der ruhenden Datenbank, die verfügbar ist, wenn Sie HIPAA-freundliche Funktionen aktivieren, bietet ein zusätzliches Sicherheitsniveau. Unsere Server erhalten die Rohdaten und verschlüsseln diese beim Schreiben in die Datenbank mit AES256 (jede einzelne Übermittlung hat einen einzigartigen Schlüssel). Jeder einzelne AES256-Schlüssel wird außerdem mit dem öffentlichen Schlüssel des Benutzers (RSA2048) verschlüsselt. Die Schlüssel sind für die Benutzer nahtlos und werden vollständig von Jotform verwaltet.

Kurz gesagt, das reguläre Enterprise-Setup bietet Festplattenverschlüsselung, während HIPAA zusätzlich eine Verschlüsselung der Datenbank hinzufügt.

Integrationen

Im Vergleich zu den über 100 Integrationen, die für nicht-HIPAA-konforme Server verfügbar sind, reduziert sich die Anzahl der verfügbaren Integrationen auf über 60 bei HIPAA-konformen Servern.

Hier sind die verfügbaren Optionen:

  • 2CheckOut
  • ActiveCampaign
  • Afterpay
  • Airtable
  • Apple Pay & Google Pay
  • Asana
  • Authorize.Net
  • AWeber
  • BluePay
  • BlueSnap
  • Box
  • Braintree
  • Campaign Monitor
  • CardConnect
  • Cash App Pay
  • Chargify
  • Clearpay
  • ClickUp
  • Constant Contact
  • CyberSource
  • Dropbox
  • eCheck.Net
  • Egnyte
  • Eway
  • GoCardless
  • Google Calendar
  • Google Drive
  • Google Sheets
  • HubSpot
  • iyzico
  • Keap
  • Keragon
  • Mailchimp
  • MailerLite
  • Make
  • Microsoft Teams
  • Mollie
  • monday.com
  • Moneris
  • OneDrive
  • PagSeguro
  • Payfast
  • PayJunction
  • Paymentwall
  • PayPal Business
  • PayPal Checkout
  • PayPal Invoicing
  • PayPal Personal
  • Paysafe
  • PayU
  • Purchase Order
  • Salesforce
  • SensePass
  • Skrill
  • Slack
  • Square
  • Stripe
  • Stripe ACH
  • Stripe ACH Manual
  • Stripe Checkout
  • Venmo
  • Webhooks
  • WorldPay UK
  • Zapier
  • Zoho CRM
  • Zoom

Dies liegt daran, dass zwei HIPAA-Anforderungen eine durchgehende Datenverschlüsselung und die Nachverfolgbarkeit jedes Zugriffs auf geschützte Gesundheitsinformationen (PHI) zu einer bekannten, eindeutigen Person vorschreiben.

Selbst mit diesen verfügbaren Integrationen bleibt es Ihre rechtliche Verantwortung, HIPAA-konforme Richtlinien einzuhalten. Wenn Sie beispielsweise Ihre Formulareinsendungen mit einer Google-Tabelle integriert haben und diese Tabelle öffentlich im Internet zugänglich gemacht haben, wäre das keine HIPAA-konforme Integration.

Genehmigungs-Workflows

Wie bereits erwähnt, schreiben die HIPAA-Vorschriften vor, dass jeder Zugriff auf PHI (geschützte Gesundheitsinformationen) einer eindeutig identifizierbaren Person mit nachvollziehbaren Anmeldeinformationen zugeordnet werden muss. Dies kann Ihre Arbeitsabläufe beeinflussen oder auch nicht.

Zum Beispiel könnte der Zugriff auf Daten ohne Benutzerkonto, wie das Weiterleiten eines Bearbeitungslinks per E-Mail, nicht mehr funktionieren. Angenommen, Sie erstellen Workflows, bei denen Genehmiger erforderlich sind. In diesem Fall müssen diese Genehmiger eigene Konten haben, um eine Einreichung zu genehmigen oder abzulehnen.

Das Bearbeiten von Einsendungen ist nur für den Formularinhaber oder einen anderen Benutzer mit Zugriff auf die Formulareinsendungen möglich. Jede Bearbeitungsaktion kann nur innerhalb von Jotform durchgeführt werden.

E-Mails

Einer der unsicheren Wege, um PHI-Daten zu teilen, sind E-Mails. 

In HIPAA-kompatiblen Konten können Sie weiterhin Benachrichtigungs- und Autoresponder-E-Mails verwenden, wobei Sie beachten müssen, dass es Ihre rechtliche Verantwortung ist, diese auf eine HIPAA-konforme Weise zu nutzen. Bei Jotform ist es möglich, auszuwählen, welche Formularfelder PHI-Daten erfassen, und diese Felder als’Geschützt zu markieren.

Informationen, die mit geschützten Feldern erfasst werden, sind in E-Mails verborgen. Weitere Informationen zur Verwendung von PHI-Feldern in Formularen finden Sie in diesem Artikel: So setzen Sie PHI-Felder in Ihren Formularen

Ein gutes Beispiel dafür, wie PHI-Daten in E-Mails geschützt werden können, wird unten aufgeführt:

A PHI data protected email

Was noch?

Weitere wichtige Einschränkungen, die erwähnt werden sollten, sind:

  • Datei-Uploads, die mit einem HIPAA-konformen Konto gesammelt werden, sind nur nach dem Einloggen zugänglich. Wenn Sie also erwarten, Dateien über per E-Mail gesendete Dateilinks herunterzuladen, loggen Sie sich bitte in Ihr HIPAA-konformes Konto ein.
  • Wenn Sie HIPAA-freundliche Funktionen aktivieren, aktivieren Sie gleichzeitig die SOC2-Konformität und umgekehrt. Sowohl HIPAA als auch SOC2 erfordern den Betrieb in dieser sichereren Umgebung. Weitere Informationen finden Sie unter SOC2-Konformität.

Kommentar abschicken:

Jotform Avatar
Diese Seite ist durch reCAPTCHA geschützt und es gelten die Google Datenschutzbestimmungen und Nutzungsbedingungen.

Podo Comment Schreiben Sie den ersten Kommentar.
Haben Sie noch Fragen?

Wir sind rund um die Uhr für Sie da, wann immer Sie uns brauchen, Tag und Nacht. Haben Sie eine Frage oder brauchen Sie Hilfe? Unser Team steht Ihnen jederzeit zur Verfügung.

Hilfebereich Kontakt zum Jotform Support