Behörden- und Bürgerformulare
Anträge, Registrierungen, Beschwerden, öffentliche Vernehmlassungen, Whistleblower-Kanäle — für Gemeinden, Kantone und Bundesstellen, die Bürgerdaten unter öffentlicher Aufsicht verarbeiten. Ende-zu-Ende-verschlüsselt, in der Schweiz gehostet, nDSG- und DSGVO-konform.
Behördenformulare berühren jeden Bereich des Bürgerlebens: An- und Abmeldung, Baubewilligungen, Sozialhilfeanträge, Steuererklärungen, Beschwerden gegen Amtspersonen, Vernehmlassungseingaben, Korruptionsmeldungen. Im Unterschied zur Privatwirtschaft hat die Bürgerin oft keine Wahl — wer eine Parkbewilligung, eine Aufenthaltsbescheinigung oder eine Notfallhilfe will, füllt das Formular aus, das die Behörde vorgibt. Diese Asymmetrie begründet eine Pflicht: Die öffentliche Hand schuldet einen messbar höheren Vertraulichkeitsstandard, gerade weil die Teilnahme nicht freiwillig ist.
Schweizerform wurde für diese Asymmetrie gebaut. Jede Einreichung wird im Browser des Bürgers verschlüsselt, bevor sie das Gerät verlässt. Wir können Sozialhilfeanträge, Beschwerden, Vernehmlassungsantworten oder Whistleblower-Meldungen physisch nicht lesen. Für Schweizer Gemeinden, Kantone und Bundesstellen — und für europäische öffentliche Stellen unter ähnlichen Anforderungen — kombiniert sich diese Eigenschaft mit Schweizer Hosting und einer an nDSG, DSGVO und Verwaltungsrechenschaft ausgerichteten Haltung.
Für wen diese Seite gedacht ist
Gemeindeschreiber, kantonale Departementsleitungen, Bundes-CIOs, Datenschutzbeauftragte des öffentlichen Sektors, Digitalisierungsverantwortliche und Beschaffungsstellen auf kommunaler, regionaler und nationaler Ebene — besonders in Jurisdiktionen, in denen Bürgerdaten durch verfassungs- oder staatsvertragsrechtliche Garantien geschützt sind.
Warum öffentliche Daten einen höheren Massstab verdienen
Bürgerdaten unterscheiden sich qualitativ von Kundendaten. Menschen geben dem Staat preis, was sie einem Unternehmen niemals offenlegen würden: Familienverhältnisse, Migrationsgeschichte, psychische Diagnosen im Zusammenhang mit IV-Anträgen, Schilderungen finanzieller Notlagen, Strafregistereinträge, Beschwerden gegen namentlich genannte Beamte. Sie geben es preis, weil sie müssen. Diese Unfreiwilligkeit verwandelt gewöhnliche Formulardaten in etwas, das einer treuhänderischen Akte näher kommt.
Die meisten Verwaltungen sammeln dieses Material noch immer mit Werkzeugen, die für Marketing-Erfassung gedacht sind — Google Forms, Microsoft Forms, JotForm, SurveyMonkey oder hauseigene Portale auf US-Cloud-Infrastruktur. Diese Werkzeuge speichern Klartext auf Servern, die der Anbieter lesen kann. Anbieter-Mitarbeitende, Subunternehmer, ausländische Behörden unter exterritorialer Rechtshilfe und jeder Angreifer, der die Infrastruktur kompromittiert, sitzen zwischen Bürger und Behörde. Für Behörden mit schriftlichen Transparenzpflichten und verfassungsrechtlichen Datenschutzpflichten ist das zunehmend schwer zu rechtfertigen.
- Eine Einwohnerin beantragt Notfallhilfe und legt Einkommen, Haushaltszusammensetzung und gesundheitsbezogene Behinderungsdetails offen; die lesbare Akte liegt auf einem US-gehosteten Server, bevor eine Sachbearbeiterin sie überhaupt gesehen hat
- Ein Bürger erhebt formell Beschwerde gegen einen namentlich genannten Polizisten; die Datenbank des Anbieters enthält die Identität des Beschwerdeführers im Klartext neben dem Vorwurf
- Eine Whistleblowerin meldet Beschaffungsbetrug über ein Behördenformular; der Bericht — und die IP und das Gerät der Meldenden — liegen lesbar auf Drittinfrastruktur
- Eine Vernehmlassung sammelt Meinungen zu einer umstrittenen Zoneneinteilung; Namen, Adressen und politische Positionen der Antwortenden werden im Klartext unter ausländischer Jurisdiktion gespeichert
Der Rechenschaftsaspekt
Öffentliche Stellen unterstehen Öffentlichkeitsgesetzen, parlamentarischer Aufsicht, Ombudsstellen und gerichtlicher Kontrolle. Jeder dieser Mechanismen wird einfacher, wenn die Behörde glaubhaft belegen kann, dass kein Dritter — auch nicht der Formularanbieter — sensible Bürgereingaben hätte lesen können. Zero-Knowledge-Architektur macht aus einer defensiven Fussnote eine strukturelle Antwort.
Was sich mit Zero-Knowledge-Formularen in der Verwaltung ändert
Die technische Umstellung ist einfach. Formulardaten werden im Browser des Bürgers vor der Übertragung verschlüsselt. Der Server speichert Chiffretext. Nur die Behörde — mit ihrem Zugangscode — kann die Einreichung entschlüsseln. Der Anbieter wird zum Kurier unlesbarer Daten, nicht zu deren Verwahrer.
Bürgerin füllt das Formular aus
Sie öffnet einen öffentlichen Link (oder einen tokenisierten für eingeschränkte Kanäle), füllt die Felder aus und hängt erforderliche Dokumente an — Wohnsitznachweise, Ausweiskopien, Atteste, Fotos. Alles wird im Browser vor der Übertragung verschlüsselt: Namen, Adressen, Freitextfelder und Dateiinhalte.
Übertragung und Speicherung
Die verschlüsselte Nutzlast reist über HTTPS in Schweizer Rechenzentren. Der Server speichert ausschliesslich Chiffretext — es gibt nirgends auf unserer Infrastruktur eine Klartextkopie der Eingabe, und kein ausländischer Subunternehmer kann gezwungen werden, eine herauszugeben.
Behörde ruft die Einreichung ab
Berechtigte Sachbearbeiter (Sachbearbeiterin, Registrar, DSB) öffnen die Einreichung im Browser. Der Zugangscode der Behörde entschlüsselt die Daten auf dem Gerät. Lesen, Triage und Fallbearbeitung erfolgen behördenseitig, innerhalb des institutionellen Perimeters.
Aufbewahrung, Übergabe und Löschung
Einreichungen können archiviert, in das Geschäftsverwaltungssystem exportiert oder gemäss gesetzlicher Aufbewahrungsfristen gelöscht werden. Da wir keine Schlüssel halten, ist die Löschung kryptographisch endgültig — es gibt serverseitig keine wiederherstellbare Klartextkopie.
Wo öffentliche Stellen Schweizerform einsetzen
Bürgereingaben, Bewilligungen und Anmeldungen
An- und Abmeldungen, Baubewilligungen, Parkbewilligungen, Gewerbebewilligungen, Eheschliessungen, Zivilstandsänderungen — hochfrequente Formulare, die Identitäts-, Adress-, Familien- und manchmal Finanzinformationen aggregieren. Eine clientseitige Verschlüsselung lässt dieses Mosaik in der Behörde, nicht beim Anbieter.
Sozialhilfe und Notfallhilfe
Arbeitslosenleistungen, Wohnhilfe, IV-Leistungen, Notfall-Härtefonds, Kinderschutzbeiträge. Diese Formulare erfassen tief private finanzielle und medizinische Informationen von Menschen in fragilen Lebenslagen. Zero-Knowledge-Aufnahme bedeutet, dass die Verletzlichkeit der Bürgerin nur den Sachbearbeitenden sichtbar ist, die das Dossier tatsächlich entscheiden.
Beschwerden, Eingaben und Ombudsstellen
Beschwerden gegen Behörden, Beamte oder die Polizei; Eingaben zur Dienstleistungsqualität; Ombudsmann-Meldungen — Kommunikation, in der die Beschwerdeführerin strukturell schwächer ist als die Institution, die sie herausfordert. Anbieterlesbare Speicherung fügt einen Dritten hinzu, dem die Beschwerdeführerin nie zugestimmt hat. Zero-Knowledge-Architektur entfernt diesen Dritten.
Whistleblower- und Korruptionsmeldungen
Beschaffungsbetrugsmeldungen, Interessenskonflikt-Offenlegungen, interne Fehlverhaltensmeldungen, Anti-Korruptions-Hotlines unter EU-Whistleblower-Richtlinie oder analogen Schweizer Rahmenbedingungen. Diese Kanäle existieren gerade, weil Meldende Repressalien fürchten. Ein Formularanbieter, der die Meldung lesen kann — und der unter ausländischer Rechtshilfe stehen kann — ist eine Schwäche, die der Kanal sich nicht leisten kann.
Vernehmlassungen und Bürgerbeteiligung
Vernehmlassungen, öffentliche Anhörungen, partizipative Budgetierung, Initiative- und Referendumsunterschriften. Identität, Adresse und politische Position der Antwortenden sind in jeder partizipativen Demokratie sensibel. Verschlüsselte Aufnahme schützt freie Meinungsäusserung auf der technischen Ebene, nicht nur in der Datenschutzerklärung.
Öffentlichkeitsanfragen und Akteneinsicht
Akteneinsichtsgesuche nach BGÖ, Anfragen nach Informationszugangsrechten, Archivanfragen — auch von Journalisten und Forscherinnen, deren Recherchen für die Institutionen, an die sie sich richten, von Interesse sein können. Verschlüsselung des Anliegens selbst verhindert, dass der Formularanbieter erfährt, was gefragt wird und von wem.
Was Bürger, Auditoren und Aufsichten tatsächlich sehen
Drei Publikumsgruppen bemerken den Unterschied zwischen einem generischen Formular und einer Zero-Knowledge-Aufnahme: die Bürgerinnen und Bürger, die einreichen; die Datenschutzbehörden und Ombudsstellen, die beaufsichtigen; und die Kontrollausschüsse oder Finanzkontrolle, die regelmässig Behördensysteme und Beschaffungen prüfen.
| Perspektive | Generisches Formular-Tool | Schweizerform |
|---|---|---|
| Bürgerin reicht Sozialhilfeantrag ein | "Meine finanziellen und medizinischen Daten liegen bei [Tool] — mir wird gesagt, das sei sicher" | "Das Formular der Behörde verschlüsselt meine Eingabe im Browser; nur die Behörde kann sie lesen" |
| Whistleblower meldet Beschaffungsbetrug | Klartext bei Drittanbieter, potenziell vorlade- oder rechtshilfefähig | Nur Chiffretext beim Anbieter; die Behörde hält die Schlüssel |
| Kantonale oder nationale DSB-Prüfung | Muss die vollständige lesbare Kopie und die Subunternehmerkette über mehrere Jurisdiktionen prüfen | Anbieter hält keine lesbare Kopie — Analyse fällt auf die Behörde zurück |
| Finanzkontrolle / Aufsichtskommission | Bürgerakten liegen in Anbietersystemen ausserhalb der direkten Kontrolle der Behörde | Bürgerakten liegen ausserhalb der Behörde nur in verschlüsselter Form |
Funktionen, die für die öffentliche Hand zählen
- Ende-zu-Ende-Verschlüsselung in jedem Formular, Tarif und jeder Einreichung — kein bezahltes Upgrade für den Schutz von Bürgerdaten
- Schweizer Hosting in Schweizer Rechenzentren — direkte Antwort auf verfassungsrechtliche und beschaffungspolitische Fragen, wo Bürgerdaten liegen
- Verschlüsselte Datei-Uploads bis 25 MB pro Datei und 250 MB pro Einreichung — deckt Ausweis-Scans, Wohnsitznachweise, Atteste, Baupläne
- Native EN / DE / FR / IT — jedes Etikett, jeder Fehler und jede Bestätigung in der Amtssprache des Bürgers, nicht maschinell übersetzt
- Passwortgeschützte und tokenisierte Formulare für eingeschränkte Kanäle (Whistleblower-Eingang, interne Beschwerden, namentliche Vernehmlassungen)
- Antwortgrenzen, Zeitfenster und harte Stichtage für Vernehmlassungs- und Antragsperioden
- Audit-Logs für Admin-Aktionen und Einsicht in Einreichungen — Dokumentation für Ombudsstellen, Finanzkontrolle und ISMS-Audits
- Keine Drittanbieter-Tracker auf öffentlichen Formularen — der Browser des Bürgers pingt keine Marketing-Analytik mit dem Inhalt seines Antrags an
- Klare, in einfacher Sprache verfasste Datenschutzhinweise, die Bürger in ihrer eigenen Amtssprache lesen können — verlangt durch nDSG-/DSGVO-Transparenzpflichten und gute Verwaltungspraxis
Häufige Einwände — und realistische Antworten
"Unsere Behörde nutzt bereits Microsoft 365 / Google Workspace im Public-Sector-Tarif"
Anbietergeführte Public-Sector-Tarife (Microsoft 365 Government, Google Workspace for Public Sector) unterzeichnen Auftragsverarbeitungszusätze, akzeptieren strengere Vertragsbedingungen und bieten teils regionalen Hosting-Standort. Sie verschlüsseln Formulardaten jedoch nicht so, dass der Anbieter sie nicht lesen kann. Der Anbieter hält weiterhin Klartext-Einreichungen, kann unter ausländischer Rechtshilfe zur Herausgabe gezwungen werden, und Mitarbeitende und Subunternehmer haben technischen Zugriff. Zero-Knowledge-Formulare schliessen diese Lücke unabhängig vom gewählten Tarif.
"Wir brauchen Open-Data- und Öffentlichkeitskompatibilität — Verschlüsselung scheint Transparenz zu bekämpfen"
Das tut sie nicht. Bürgereingaben sind in jedem Verwaltungsrecht standardmässig vertraulich — Öffentlichkeitsgesetze gelten für Behördenentscheide und aggregierte Daten, nicht für die persönlichen Eingaben einzelner Antragsteller und Beschwerdeführerinnen. Verschlüsselung schützt die Bürger-seitige Eingabe. Behörden bleiben frei und verpflichtet, ihre Entscheide, Statistiken und aggregierten Vernehmlassungsergebnisse über vollständig getrennte Kanäle zu publizieren.
"Was passiert, wenn ein Sachbearbeiter den Zugangscode verliert?"
Das ist der ehrliche Trade-off der Zero-Knowledge-Architektur. Wir unterstützen einen Recovery-Key-Ablauf: ein zweiter Schlüssel, der vorab eingerichtet und separat aufbewahrt wird — typischerweise in einem versiegelten Umschlag bei der Registratur oder beim DSB. Die meisten öffentlichen Stellen behandeln den Zugangscode wie den Generalschlüssel zum Aktenarchiv: formales Verfahren, mehrere vertrauenswürdige Hüter, regelmässige Überprüfung.
"Wir brauchen eine Integration mit unserer Geschäftsverwaltung"
Berechtigte Sachbearbeiter entschlüsseln Einreichungen im Browser und exportieren dann über Standardkanäle (CSV, strukturierte Weiterleitung, manuelle Übergabe über zugelassene Schnittstellen) in das Geschäftsverwaltungssystem. Der Sinn der Zero-Knowledge-Schicht ist, dass die Entschlüsselung behördenseitig erfolgt; einmal entschlüsselt, fliessen die Daten wie jede andere Eingabe in Ihre bestehenden Pipelines. Viele Behörden nutzen Schweizerform speziell für die bürgerseitige Aufnahmestufe und übergeben dann an tiefere interne Systeme zur Bearbeitung.
"Wir sind an nationale Beschaffungsregeln gebunden — können wir einen Schweizer Privatanbieter nutzen?"
Beschaffungsrahmen in der Schweiz und der EU erlauben in der Regel Standard-SaaS, sofern Sicherheit, Hosting-Standort und Auftragsverarbeitungsbedingungen belegbar sind. Schweizer Hosting, Zero-Knowledge-Architektur und der Standard-Auftragsverarbeitungsvertrag von Schweizerform sind so gestaltet, dass sie im üblichen Beschaffungsdossier bewertbar sind. Wie bei jeder Lieferantenwahl bleiben Beschaffung und DSB der Behörde die entscheidende Stelle.
Erste Schritte in einer öffentlichen Stelle
Pilot mit einem bürgerseitigen Formular
Die meisten Behörden beginnen mit einem einzelnen wichtigen Formular — typischerweise eine Beschwerdeaufnahme, ein Sozialhilfeantrag oder ein Whistleblower-Kanal. Der Gratis-Tarif (1 Formular, 25 Einreichungen/Monat) reicht aus, um den Workflow ohne Beschaffung zu validieren.
Auftragsverarbeitung dokumentieren
Schweizerform in das Verzeichnis der Verarbeitungstätigkeiten der Behörde aufnehmen. Schweizer Hosting, Zero-Knowledge-Architektur und Abwesenheit von US-Subunternehmern festhalten. Für Datenschutzbeauftragte vereinfacht das typischerweise die Datenschutz-Folgenabschätzung im Vergleich zu US-gehosteten bürgerseitigen Werkzeugen.
Hüter im Zugangscode schulen
Zwei oder drei Hüter benennen (Departementsleitung, DSB, IT-Leitung). Recovery-Key-Verfahren analog zu anderen kritischen Anmeldeinformationen der Behörde etablieren und mit der internen Informationssicherheitsrichtlinie abstimmen.
Über das Bürgerservice-Portfolio ausrollen
Sobald sich der Pilot bewährt hat, heben kostenpflichtige Tarife Formular- und Einreichungsgrenzen auf. Behörden migrieren typischerweise zuerst Beschwerdekanäle, Notfallhilfeanträge, Vernehmlassungen und Whistleblower-Eingang — die Kanäle, in denen die Asymmetrie zwischen Bürger und Staat am schärfsten ist.
Aufbewahrung an Gesetz anpassen
Aufbewahrungsfristen im öffentlichen Sektor folgen dem Archivgesetz, nicht der Bequemlichkeit des Anbieters. Einreichungslöschung verwenden, um den gesetzlichen Plan durchzusetzen, sobald Daten in das Archiv überführt sind. Da wir keine Schlüssel halten, ist die Löschung kryptographisch endgültig.
Das Wesentliche
Öffentliche Stellen verwalten die unfreiwilligste Form der Datenoffenlegung der modernen Gesellschaft: Informationen, die Bürger dem Staat geben, weil sie müssen — oft in Momenten der Verletzlichkeit oder des Risikos. Ein Formular-Tool, das diese Eingaben lesen kann, schafft eine vermeidbare Schwäche in der Rechenschaftsposition der Behörde — und eine unnötige Erklärung gegenüber Bürgern, Ombudsstellen, Finanzkontrolle und Aufsichtskommissionen.
Schweizerform bietet eine direkte Antwort: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung in jedem Formular, Schweizer Hosting, native viersprachige Unterstützung und eine Haltung, die auf den erhöhten Erwartungen der öffentlichen Datenverarbeitung aufgebaut ist. Kein bezahltes Upgrade für Schutz. Keine US-Cloud-Abhängigkeit für bürgerseitige Aufnahme. Keine lesbare Drittkopie von Beschwerdeakten, Notfallhilfeanträgen oder Whistleblower-Meldungen auf einem Server, den die Behörde nicht kontrollieren kann.
Beginnen Sie mit einem einzelnen bürgerseitigen Formular im Gratis-Tarif. Schweizer Hosting, Zero-Knowledge-Verschlüsselung, native EN / DE / FR / IT — keine Kreditkarte erforderlich.
Haftungsausschluss: Diese Seite ist allgemeine Information und Marketinginhalt, keine Rechts-, Aufsichts- oder Beschaffungsberatung. Verweise auf nDSG, DSGVO, BGÖ/Transparenzrahmen und öffentliche Rechenschaftsmechanismen sind konzeptionell zusammengefasst und unterliegen jurisdiktionaler Auslegung. Verantwortung für Bürgerdatenschutz und Beschaffungskonformität verbleibt bei der öffentlichen Stelle und ihrem DSB. Konsultieren Sie eine qualifizierte Datenschutz- oder Verwaltungsrechtsspezialistin in Ihrer Jurisdiktion, bevor Sie sich auf eine hier enthaltene Zusammenfassung für Konformitäts- oder Beschaffungsentscheidungen stützen.