Wahlkampagne & Advocacy-Formulare

Politische Kampagnen, Parteien, Advocacy-Organisationen und Wahlkreis-Service-Büros verarbeiten eine Kategorie personenbezogener Daten mit einer prägenden Eigenschaft: Ein Leck hat reale Folgen für die Personen, die sie geteilt haben. Spender mit arbeitgeberseitig geforderter Offenlegung können Arbeitsplatz-Druck erfahren; Freiwillige für kontroverse Anliegen können Belästigungskampagnen erleben; Petitionsunterschriften wurden historisch instrumentalisiert, um Unterzeichner ins Visier zu nehmen; Wähler, die Hilfe in sensiblen Angelegenheiten suchen (Migration, Sozialleistungen, Familienstreitigkeiten), übergeben Informationen, die sie nie über einen öffentlichen Kanal preisgeben würden. Die Daten sind nach DSGVO-Definition besondere Kategorie — politische Meinungen stehen in Art. 9 neben Gesundheit und ethnischer Herkunft.

Schweizerform wurde genau für solche Kanäle gebaut. Jede Einreichung wird im Browser des Unterstützers verschlüsselt, bevor sie das Gerät verlässt. Wir können Spendenformulare, Freiwilligen-Anmeldungen, Petitionsunterschriften, Anliegen-Erfassung oder Kampagnen-Integritätsmeldungen physisch nicht lesen. Hosting erfolgt in der Schweiz, die vier UI-Sprachen (EN / DE / FR / IT) sind nativ — essentiell für die schweizerische Bundespolitik, mehrsprachige Kantone und europäische Advocacy über Sprachregionen hinweg — und die Aufbewahrung kann so eingestellt werden, dass sie sauber ausläuft, wenn die Kampagne endet oder das Petitionsfenster abläuft. Diese Seite ist für Kampagnen-Manager, Partei-Operations-Leads und Advocacy-Direktoren, die bereits wissen, dass das Standard-SaaS-Formular schlecht zu den Daten passt, die sie verarbeiten.

Warum politische und Advocacy-Arbeit ein überproportionales Datenschutzprofil hat

Politische und Advocacy-Daten liegen am Schnittpunkt mehrerer Kategorien, die jeweils ernsthafte Pflichten tragen — und einer vierten Dimension (reales Vergeltungsrisiko für die Personen hinter den Daten), die gewöhnliche kommerzielle Aufnahme nicht hat:

• Politische Meinung als besondere Kategorie — unter DSGVO Art. 9 und nFADP Art. 5 sind politische Ansichten, Parteizugehörigkeit, Gewerkschaftsmitgliedschaft und Ähnliches ausdrücklich erhöht; die Verarbeitung erfordert eine stärkere Rechtsgrundlage und engere Garantien als gewöhnliche personenbezogene Daten
• Spenderdaten — Name, Adresse, Arbeitgeber, Beruf (oft per Parteifinanzierungs-Offenlegung gefordert), Spendenbetrag, Zahlungsangaben; in einigen Jurisdiktionen machen Offenlegungsschwellen kleine Spender privat und grosse öffentlich, aber die praktische Umsetzung leakt oft beide
• Freiwilligen- und Mitgliederdaten — voller Kontakt, Verfügbarkeit, Fähigkeiten, manchmal frühere politische Beteiligung, manchmal Ausweis zur Mitgliedschafts-Verifikation; die Population der Freiwilligen für jede Sache ist per Definition eine Zielliste für Opposition Research
• Petitionsunterschriften — Name, Adresse, manchmal Unterschriftsbild; Petitionsdaten wurden historisch instrumentalisiert (bemerkenswerte Fälle umfassen Leaks gegen Unterzeichner von LGBTQ+-Initiativen in den USA, Abtreibungs-Petitionen in restriktiven Jurisdiktionen, Anti-Korruptions-Petitionen in autoritären Staaten)
• Anliegen-Anfragen — sensible persönliche Angelegenheiten an einen Parlamentarier oder ein Parteibüro (Migration, Sozialleistungen, Familienstreitigkeiten, Wohnungsnotfälle); das Büro wird informell mit Informationen betraut, die nie über einen öffentlichen Kanal gehen würden
• Kampagnen-Integritäts- und Belästigungsmeldungen — interne Kanäle für Personal, Freiwillige oder Kandidaten, um Ethik-Bedenken, finanzielle Unregelmässigkeiten oder Belästigung zu melden; strukturell ähnlich zu Whistleblower-Kanälen und mit denselben Schutzanforderungen
• Exposition gegenüber ausländischer Einflussnahme — politische Datensätze sind hochwertige Ziele für ausländische Nachrichtendienste, Oppositionskampagnen und gut ausgestattete Gegner; das Bedrohungsmodell ist nicht theoretisch

Die meisten politischen und Advocacy-Organisationen handhaben dies heute über generische SaaS-Formular-Tools (Google Forms, Typeform, JotForm), eingebettet auf der Kampagnen-Website, oder über dedizierte politische CRMs, die alles im Klartext auf US-gehosteter Cloud-Infrastruktur speichern. Beide setzen den Arbeitgeber jedes Spenders, den Kontakt jedes Freiwilligen, den Namen jedes Petitions-Unterzeichners und die Bitte jedes Wählers der vollen lesbaren Kopie des Formularanbieters aus. Für eine Datenkategorie, deren Lecks benannte Opfer haben, ist das eine grössere Angriffsfläche, als die meisten Kampagnen-Manager in einem Post-Mortem verteidigen würden.

Was sich mit Zero-Knowledge-Aufnahme in einer Kampagne oder Advocacy-Organisation ändert

Der technische Wechsel ist einfach. Spender-, Freiwilligen-, Unterzeichner- und Wählerdaten werden im Browser des Unterstützers vor der Übertragung verschlüsselt. Der Server speichert Chiffretext. Nur die Kampagne — mit dem Zugangscode der Kampagne — kann die Einreichung entschlüsseln. Der Formularanbieter wird zum Kurier unlesbarer Daten, nicht zum Verwahrer von Spender-Arbeitgebern, Freiwilligen-Kontakten, Petitionsunterschriften oder Wähler-Bitten.

Wo Kampagnen und Advocacy-Organisationen Schweizerform einsetzen

Spendenformulare mit Offenlegungs-Erfassung

Der Hauptanwendungsfall. Ein strukturiertes Spendenformular erfasst Spenderangaben, Arbeitgeber und Beruf, wo per Parteifinanzgesetz gefordert, Spendenbetrag, Zahlungsrouting und Einwilligung für laufende Kommunikation. Die Kampagne gleicht die Spende mit dem Zahlungsdienstleister (Stripe etc.) auf der Kampagnen-Seite ab, ohne dass der Formularanbieter den Arbeitgeber oder die Adresse des Spenders im Klartext sieht.

Freiwilligen-Anmeldung mit Skill-Matching

Freiwilligen-Aufnahme erfasst Kontakt, Verfügbarkeit, Sprachen, Fähigkeiten (Canvassing, Telefon-Banking, Dateneingabe, IT, Recht, Design), frühere Beteiligung und jede für die Rolle erforderliche Background-Check-Einwilligung. Bedingte Logik bringt Folgefragen nur für relevante Skill-Pfade hoch. Die Kampagne ordnet Freiwillige Möglichkeiten zu; der Formularanbieter sieht nie, wer sich wofür freiwillig gemeldet hat.

Petitionsunterschriften-Sammlung

Petitionsformulare erfassen Name, Adresse, Bürgerschafts- oder Aufenthaltsstatus (wo für die rechtliche Wirkung der Petition erforderlich), Unterschrift und Einwilligung für Folgekommunikation. Die Kampagne nutzt die Daten zur Verifikation und Einreichung bei der zuständigen Behörde; der Formularanbieter sieht nur Chiffretext. Für Petitionen zu kontroversen Themen ist das nicht theoretischer Datenschutz — es ist der Schutz, der entscheidet, ob marginalisierte Unterstützer überhaupt unterschreiben.

Anliegen-Erfassung von Wahlkreis-Anfragen

Parlamentarische Büros, Gemeinderäte und Partei-Wahlkreis-Teams erhalten Hilfeanfragen zu Migration, Sozialleistungen, Wohnungsnotfällen, Familienstreitigkeiten und anderen sensiblen Angelegenheiten. Das Aufnahmeformular erfasst Kontakt, Situation und Einwilligung für Folge-Kommunikation des Wählers; verschlüsselte Aufnahme bedeutet, dass das Büro den Fall an den richtigen Sachbearbeiter leiten kann, ohne dass der Formularanbieter die Umstände des Wählers liest.

Parteimitglieder-Aufnahme und Beiträge

Neumitglieder-Anträge, Mitgliedschafts-Erneuerungen und Beitragseinzug erfassen dieselbe Art von Identitäts- und Zahlungsdaten wie ein Kleinunternehmen — plus Parteizugehörigkeit als Art. 9 besondere Kategorie. Ein einheitliches verschlüsseltes Aufnahmeformular ersetzt die E-Mail-PDF- und Klemmbrett-Prozesse, die die meisten lokalen Parteisektionen noch nutzen.

Event-RSVP für geschlossene oder sensible Veranstaltungen

Geschlossene Spender-Briefings, Kandidaten-Strategiesitzungen, Mitglieder-exklusive Treffen und ähnliche Veranstaltungen erzeugen eine Gästeliste, die selbst sensibel ist. Ein verschlüsseltes RSVP-Formular gibt der Kampagne einen sauberen Anwesenheits-Datensatz, ohne die Teilnehmerliste dem SaaS-Formularanbieter offenzulegen.

Kampagnen-Integritäts- und Belästigungsmeldungen

Interne Kanäle für Personal, Freiwillige, Kandidaten oder Mitglieder, um Ethik-Bedenken, finanzielle Unregelmässigkeiten, Belästigung oder Richtlinienverletzungen zu melden. Die strukturellen und Schutzanforderungen spiegeln Unternehmens-Whistleblower-Kanäle wider (vgl. EU-Richtlinie 2019/1937, wo anwendbar). Verschlüsselung, die der Kampagnen-Anbieter nicht lesen kann, ist die angemessene Haltung.

Empfehlungs- und Koalitions-Partner-Aufnahme

Wenn Kampagnen Empfehlungen von öffentlichen Persönlichkeiten, zivilgesellschaftlichen Organisationen oder Koalitionspartnern sammeln, erfasst die Aufnahme die Identität des Empfehlers, den Umfang der Empfehlung und etwaige Bedingungen. Für Empfehlungen, die politisches Risiko für den Empfehler tragen, entspricht ein verschlüsselter Aufnahmekanal der Diskretion, die die Beziehung erfordert.

Was Unterstützer, Aufsichten und Auditoren tatsächlich sehen

Drei Zielgruppen merken den Unterschied zwischen einem generischen SaaS-Formular und einem Zero-Knowledge-Aufnahmeformular: die Unterstützer, die ihre Identität, Überzeugungen und Zahlungsdaten übergeben; die Datenschutz- oder Wahlbehörde, die die Kampagne beaufsichtigt; und der interne Compliance- oder externe Auditor, der die Kampagnen-Prozesse gegen Parteifinanz- und Wahlregeln testet.

Funktionen, die für politische und Advocacy-Organisationen wichtig sind

• Ende-zu-Ende-Verschlüsselung auf jedem Formular — Art. 9 besondere Kategorie und Spender-Offenlegung standardmässig geschützt, kein bezahltes Upgrade nötig
• Schweizer Hosting in Schweizer Rechenzentren — direkte Antwort darauf, wo politische-Meinungs-Daten liegen, besonders wichtig für Bedrohungsmodellierung gegen ausländische Einflussnahme
• Verschlüsselte Datei-Uploads — deckt Ausweis für Petitions-Verifikation, unterschriebene Pledge-Karten, Kandidaten-Dokumentation, Empfehlungsschreiben
• Native EN / DE / FR / IT — jede Beschriftung, Fehlermeldung und Bestätigung in der Sprache des Unterstützers; essentiell für die schweizerische Bundespolitik, mehrsprachige Kantone (BE, FR, GR, VS) und EU-Advocacy über Sprachen hinweg
• Bedingte Logik — Arbeitgeber-Offenlegungsfelder nur über der Schwelle zeigen, Ausweis-Verifikationsfelder nur wenn die Petition es verlangt, Sprachpräferenz, die den Rest des Formulars formt
• Definierte Aufbewahrung pro Formular — Aufbewahrung so einstellen, dass sie bei Kampagnen-Schluss, Petitions-Frist oder Wahl-Zertifizierung abläuft; das System setzt durch, was die SOP angibt
• Audit-Logging von Administrator-Aktionen und Einreichungs-Zugriffen — Dokumentation für Aufsichtsanfragen, Wahlkommissions-Audits und interne Post-Mortems
• Mehrere Administratoren mit rollenbasiertem Zugriff — Trennung von Spender-Daten, Freiwilligen-Daten und Anliegen-Anfragen, jeweils nur für das relevante Team sichtbar
• Mobile-First-Unterstützer-Erfahrung — die meisten Unterstützer-Conversions passieren auf Telefonen, oft unmittelbar nach einem Kandidatenauftritt, einem Social-Media-Post oder einem Canvassing-Gespräch
• Keine Drittanbieter-Tracker auf öffentlichen Formularen — der Browser des Unterstützers pingt keine Marketing-Analytics mit seiner politischen Meinung, seinem Spendenbetrag oder seiner Petitionsunterschrift an

Häufige Einwände — und realistische Antworten

„Unser politisches Tech-CRM handhabt das bereits"

Die meisten politischen CRMs (NationBuilder, NGP VAN, Action Network, ECanvasser usw.) sind Systems of Record für das Beziehungsmanagement der Kampagne, nicht Zero-Knowledge-Aufnahmeschichten. Sie verschlüsseln typisch in der Übertragung und im Ruhezustand, aber der Anbieter hält weiterhin eine lesbare Kopie jedes Spender-Arbeitgebers, jedes Freiwilligen-Kontakts und jedes Petitions-Unterzeichners. Schweizerform ist eine spezialisierte Aufnahmeschicht, die vor jedem CRM sitzen kann — verschlüsselte Aufnahme, dann Export des kampagnenseitig entschlüsselten Datensatzes in das System of Record.

„Offenlegungsregeln verlangen ohnehin die Veröffentlichung von Spenderdaten"

Offenlegungsregeln verlangen typisch Veröffentlichung über definierten Schwellen (variiert nach Jurisdiktion und Wahlart). Unter diesen Schwellen sind Spenderdaten privat und unterliegen Standard-Datenschutzregeln; darüber sind nur die offengelegten Felder öffentlich — nicht die volle Adresse, Zahlungsangaben oder Routing-Informationen des Spenders. Verschlüsselte Aufnahme gibt einen einzigen verteidigbaren Speicher; man entschlüsselt und veröffentlicht, was Offenlegung verlangt, und schützt den Rest. Die Offenlegungspflicht verlangt nicht, dass der Formularanbieter den gesamten Spender-Datensatz lesen kann.

„Was, wenn wir den Zugangscode verlieren?"

Das ist der ehrliche Trade-off der Zero-Knowledge-Architektur. Wir unterstützen einen Wiederherstellungsschlüssel-Flow: einen zweiten Schlüssel, der vorab eingerichtet und separat verwahrt wird (typisch beim Kampagnen-Kassier oder zwischen Kampagnen-Manager und einem leitenden Funktionär aufgeteilt). Die meisten Kampagnen behandeln den Zugangscode mit derselben prozessualen Strenge wie die Kampagnen-Bankkonto-Berechtigungen — formales Verfahren, zwei vertraute Verwahrer, regelmässige Überprüfung und eine geplante Übergabe bei Kampagnen-Schluss.

„Wird das Formular die Conversion verlangsamen?"

Tut es nicht in messbarer Praxis. Verschlüsselung passiert während der Einreichung im Browser, deutlich unter einer Sekunde. Spender, Freiwillige und Unterzeichner sehen ein sauberes, strukturiertes Formular, füllen es aus und reichen ein. Das Unterstützer-Vertrauenssignal sichtbarer Verschlüsselung (besonders bei Formularen für kontroverse Anliegen) tendiert dazu, die Conversion zu verbessern statt zu drücken.

„Was ist mit Stripe und Zahlungsabwicklung?"

Spendenformulare können auf Standardweise mit Stripe integriert werden — der Zahlungsdienstleister-Flow erfolgt direkt zwischen Unterstützer und Stripe (der Formularanbieter sieht die Kartendaten nie), und die Spenden-Metadaten werden in der verschlüsselten Einreichung erfasst. Die Abstimmung zwischen Stripe und der verschlüsselten Einreichung erfolgt kampagnenseitig nach der Entschlüsselung, genau wie in jedem anderen Zahlungsformular-Workflow.

„Unsere Unterstützer sind Aktivisten — sie erwarten, dass alles auf ihren Telefonen funktioniert"

Die Formulare sind Mobile-First konzipiert. Spender können eine Spende auf einem Telefon in unter einer Minute abschliessen; Freiwillige können sich in noch kürzerer Zeit anmelden; Petitions-Unterzeichner können das Formular während eines einzelnen Strassen-Gesprächs ausfüllen. Mobile Erfahrung ist nicht der Trade-off; der Trade-off (sofern es einen gibt) ist die Disziplin des Kampagnen-Personals, den Zugangscode und Wiederherstellungsschlüssel zu Beginn ordentlich einzurichten.

Erste Schritte in einer Kampagne oder Advocacy-Organisation

Das Fazit

Politische und Advocacy-Organisationen verarbeiten eine Datenkategorie — politische Meinungen, Spender-Offenlegung, Freiwilligen-Engagement, Petitionsunterschriften, Wähler-Bitten — bei der Lecks benannte Opfer haben. Die Standardpraxis, alles über generische SaaS-Formulare oder US-gehostete politische Tech-CRMs laufen zu lassen, hinterlässt eine lesbare Kopie auf jeder Stufe und behandelt Art. 9 besondere Kategorie mit derselben Haltung wie einen Marketing-Newsletter. Diese Lücke ist in Ordnung, bis sie es nicht ist — und wenn sie es nicht ist, landen die Konsequenzen bei den Unterstützern, die dem Kanal vertrauten.

Schweizerform bietet eine direkte Antwort auf der Aufnahmeschicht: Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting, native Vier-Sprachen-Unterstützung, verschlüsselte Datei-Uploads, dimensioniert für die Dokumente, die Kampagnen tatsächlich austauschen, und Aufbewahrung, konfigurierbar, um bei Kampagnen-Schluss oder Petitions-Frist sauber auszulaufen. Das Kampagnen-CRM bleibt das System of Record für das, was Offenlegungs- und Wahlregeln verlangen. Die Aufnahmeschicht wird zu etwas, das der Kampagnen-Manager sauber verteidigen kann — gegenüber der Datenschutzbehörde, der Wahlkommission und den Unterstützern, die vom Kanal abhängen.