Herausgabeersuchen: was mit Ihren Formulardaten passiert
Wenn ein Gericht, eine Staatsanwaltschaft oder eine Aufsicht eine rechtliche Anordnung an Ihren Formular-Anbieter zustellt, was wird tatsächlich herausgegeben? Wer wird informiert? Und ändert die Architektur des Anbieters die Antwort? Ein konkreter Durchgang durch die Rechtsschutz-Oberfläche für Online-Formulardaten in der Schweiz, der EU und über Grenzen hinweg.
Jedes Unternehmen, das Online-Formulare mit sensiblen Inhalten betreibt, wird irgendwann mit einer Variante dieser Frage konfrontiert: Was passiert, wenn ein Gericht, eine Staatsanwaltschaft, eine Steuerbehörde oder eine ausländische Behörde von unserem Formular-Anbieter die Herausgabe der Einsendungen einer Nutzerin verlangt? Die meisten Unternehmen denken nicht darüber nach, bis es so weit ist. Zu diesem Zeitpunkt ist die architektonische Wahl, die die Antwort bestimmt — was der Anbieter hat und in welcher Form — längst Jahre zuvor gefallen, oft ohne dass auf der Geschäftsseite jemand bemerkte, dass es eine Wahl war.
Dieser Beitrag erklärt, wie Rechtsprozesse gegen einen Formular-Anbieter wirklich ablaufen, was durch Zwang aus dem Anbieter herausgeholt werden kann und was nicht, wie grenzüberschreitende Anordnungen das Bild verkomplizieren und wie Zero-Knowledge-Architektur die Antwort grundlegend verändert. Er ersetzt keine Rechtsberatung — siehe den Hinweis am Ende — aber ist so viel Karte, dass eine Datenschutzbeauftragte, eine Rechtsabteilung oder eine privatspähebewusste Betreiberin das Terrain verstehen kann.
Für wen dieser Beitrag ist
Rechtsabteilungen, Datenschutzbeauftragte, Compliance-Leitungen, CTOs und redaktionell-operative Entscheidungsträger in Schweizer, europäischen und grenzüberschreitenden Organisationen, die sensible Daten über Online-Formulare erheben — und privatsphäre-bewusste Nutzende, die verstehen wollen, was ein Formular-Anbieter darf, muss und nicht kann.
Was „Rechtsprozess“ tatsächlich meint
„Subpoena“ ist ein US-Begriff; anderswo ist die Sprache anders. In der Schweiz kann eine Staatsanwaltschaft eine Editionsverfügung erlassen; ein Gericht einen Durchsuchungs- und Beschlagnahmebefehl; eine Steuerbehörde eine Auskunftsverfügung; ein Zivilgericht kann über Verfahrensanordnungen zur Dokumentenedition zwingen. In EU-Mitgliedstaaten gibt es analoge Instrumente im Strafprozess, Zivilprozess und in sektorspezifischen Gesetzen (Geldwäscherei, Steuer, Telekom). Auf EU-Ebene schaffen Europäische Ermittlungsanordnungen (EEA) und die neue EU-E-Evidence-Verordnung grenzüberschreitende Mechanismen. Die USA erweitern ihre eigene Reichweite ins Ausland über den Stored Communications Act und den CLOUD Act.
Die gemeinsame Gestalt dieser Instrumente ist konsistent genug, dass ein einziges mentales Modell für die meisten genügt:
- Eine öffentliche Stelle — Gericht, Staatsanwaltschaft, Aufsicht, manchmal ein Zivilkläger — erlässt eine formelle Aufforderung an den Formular-Anbieter zu bestimmten Daten über bestimmte Nutzende, Konten, Formulare oder Einsendungen
- Die Anordnung ist durch ein gerichtliches oder quasi-gerichtliches Verfahren unterlegt; der Anbieter kann nicht unbegrenzt verweigern, hat aber meist Grundlagen, sich zu wehren
- Die Anordnung enthält typischerweise eine Schweigeverfügung, die dem Anbieter verbietet, die betroffene Person zumindest für eine definierte Zeit zu informieren
- Der Anbieter gibt heraus, was er hat, in der Form, in der er es hat. Ein seriöser Anbieter wehrt sich gegen überweite Anordnungen, verlangt Einschränkungen und schöpft seine Einwände aus. Ein weniger seriöser kooperiert mit weniger Prüfung
- Was die Tür verlässt, ist exakt das, was die Systeme des Anbieters enthielten — nicht mehr, nicht weniger
Der letzte Punkt ist der wichtigste Satz dieses Beitrags. Alles andere folgt daraus.
Was der Anbieter tatsächlich herausgeben kann
Der Anbieter kann nur herausgeben, was in seinen Systemen liegt. Bei einem typischen SaaS-Formular-Tool ist das üblicherweise viel: Inhalt jeder Einsendung, Metadaten zu Einreichendem und Zeit, IP-Adressen, die auf das Formular zugriffen, Support-Tickets zum Konto, Admin-Audit-Logs und teils Schlüssel/Konfiguration der vom Anbieter angewandten Ruheverschlüsselung. Nichts davon verlangt, ein kryptographisches System zu brechen — alles liegt in einer Datenbank, die Personal des Anbieters abfragen kann.
Ein Zero-Knowledge-Formular-Anbieter steht strukturell anders. Empfängt der Anbieter niemals Klartext — weil jede Antwort und jeder Anhang im Browser gegen einen öffentlichen Schlüssel verschlüsselt wird, dessen privaten Gegenpart er nicht hält — enthält die Datenbank ausschliesslich Chiffrat. Eine Anordnung kann zugestellt und befolgt werden; was die Tür verlässt, ist Chiffrat ohne Entschlüsselungsmöglichkeit. Die Anordnung ist formal erfüllt; die operative Wirkung auf die Vertraulichkeit ist drastisch reduziert.
| Asset | Generischer Anbieter | Zero-Knowledge-Anbieter |
|---|---|---|
| Inhalt der Einsendung | Klartext — wörtlich | Nur Chiffrat — ohne Access Code nutzlos |
| Hochgeladene Dateien (Verträge, Ausweise, Berichte) | Klartext-Dateien | Nur Chiffrat |
| Einsendungs-Metadaten (Zeitstempel, Formular-IDs) | Vollständig | Vollständig — Metadaten sind üblicherweise nicht Ende-zu-Ende verschlüsselt |
| Konto-Angaben des Einreichenden (Name, E-Mail, Billing) | Falls erhoben | Kommt darauf an — Zero-Knowledge auf Einsendungen impliziert nicht Zero-Knowledge auf Konten |
| IP-Adressen & Gerätemerkmale | Falls aufbewahrt | Hängt von der Aufbewahrungspolicy ab; nicht zwingend durch E2EE geändert |
| Verschlüsselungsschlüssel | Falls vom Anbieter gehalten: herausgegeben. Falls nutzergehalten: nicht vorhanden | Nicht gehalten — nicht herausgebbar |
Zero-Knowledge ist nicht Null-Sichtbarkeit
Zero-Knowledge-Architektur ändert, was eine Anordnung über Einsendungsinhalte herausziehen kann. Sie beseitigt nicht jedes nützliche Signal: IP-Adressen, Konto-Metadaten, Formular-Konfiguration und Zeitpunkte können unter Zwang weiterhin produziert werden. Für die meisten kommerziellen und Compliance-Szenarien zählt der Inhalts-Schutz am meisten; für hochriskante Quellen oder Whistleblower sind gestaffelte Massnahmen (Tor, anonyme Konten, Geräte-Hygiene) mindestens ebenso wichtig wie die Kryptographie des Formular-Anbieters.
Schweizer, EU- und grenzüberschreitender Rechtsprozess
Schweizer Prozess gegen einen Schweizer Anbieter
Stellt eine Schweizer Staatsanwaltschaft oder ein Gericht eine Anordnung gegen einen in der Schweiz ansässigen Anbieter zu, bleibt der Prozess im Schweizer Recht. Grundlagen liegen im StPO, im Steuer- und Verwaltungsrecht und im Zivilprozess. Datenschutzrechte nach nFADP gelten fort; betroffene Personen können je nach Verfahren nachträglich informiert werden. Das Schweizer Recht kennt Privilegien (juristisch, medizinisch, religiös), die den Umfang der Beschlagnahme einschränken. Ein seriöser Schweizer Anbieter prüft Anordnungen auf Überbreite und macht Privilegien geltend, wo einschlägig.
EU-Prozess gegen einen EU-Anbieter
Innerhalb der EU steuern mitgliedstaatliche Straf-, Steuer- und Zivilverfahren den Herausgabezwang. Für grenzüberschreitende Strafverfahren erlauben Europäische Ermittlungsanordnungen (EEA) einer Behörde, Beweise in einem anderen Mitgliedstaat anzufordern. Die kommende EU-E-Evidence-Verordnung ((EU) 2023/1543) straffnt grenzüberschreitende Anfragen für elektronische Beweise — einschliesslich direkter Produktions- und Sicherungsanordnungen an Dienstleister in anderen Mitgliedstaaten.
US-Reichweite ins Ausland: CLOUD Act
Der US-CLOUD-Act (2018) dehnt US-Rechtsprozesse ausdrücklich auf Daten US-basierter Dienstleister aus — unabhängig davon, wo die Daten liegen, einschliesslich EU und Schweiz. Eine US-Staatsanwaltschaft kann einem US-inkorporierten Formular-Anbieter einen Warrant zustellen und die Herausgabe der Formulardaten einer Schweizer Nutzerin erzwingen, selbst wenn die Daten in einem Schweizer Rechenzentrum liegen. Der CLOUD Act schuf auch einen Rahmen für Exekutivabkommen, unter dem bestimmte ausländische Behörden US-Anbietern direkt Anordnungen zustellen dürfen; UK und Australien haben solche Abkommen in Kraft.
Die praktische Folge für Schweizer Unternehmen ist klar: Ist Ihr Formular-Anbieter in den USA inkorporiert oder eine US-mehrheitseigene Tochter, liegt die Datenmenge im CLOUD-Act-Bereich — egal wo sie physisch gespeichert ist, egal ob die Nutzerin Schweizerin, Deutsche oder Französin ist. EU-/Schweizer Datenschutz hebt US-Jurisdiktion über einen US-Anbieter nicht auf; er betrifft nur, was der Anbieter nach Schweizer/EU-Recht tun darf und ob er ein Recht brechen muss, um dem anderen zu folgen.
Schweiz ↔ Ausland: Rechtshilfe
Eine ausländische Behörde, die Daten eines Schweizer Anbieters ohne CLOUD Act erlangen will (weil der Anbieter nicht US-eigen ist), hat vor allem einen Weg: ein Rechtshilfegesuch nach IRSG oder ein Steuer-Informationsabkommen. Schweizer Behörden prüfen das Gesuch, informieren in vielen Fällen die betroffene Person und erzwingen erst dann die Herausgabe. Dieser Prozess ist langsamer, kontrollierter und für die Betroffene schützender als eine direkte nationale Anordnung.
Die Jurisdiktion des Anbieters zählt mehr als die Geografie der Daten
Wo der Server physisch steht, ist nicht die Hauptfrage. Die Hauptfrage ist, welches Land die Firma zwingen kann, die den Server betreibt. Ein US-inkorporierter Anbieter mit Schweizer Rechenzentren ist weiterhin US-Rechtsprozessen ausgesetzt. Ein Schweizer Anbieter mit Schweizer Rechenzentren ist primär Schweizer Recht unterworfen; ausländische Anfragen müssen über Rechtshilfe laufen, was der Betroffenen mehr prozessuale Rechte gibt.
Was der betroffenen Person passiert
Wenn eine Anordnung die Einsendungen einer Nutzerin betrifft, erfährt sie im Moment der Zustellung typischerweise nichts. Die meisten Instrumente enthalten eine Schweigepflicht, die den Anbieter für eine definierte Zeit daran hindert, die Person zu informieren — oft gerichtlich verlängerbar. Das dient der Integrität der Ermittlung und ist zugleich der Grund, warum „Ich vertraue meinem Anbieter, mir das zu sagen“ meist keine verteidigbare Haltung ist — selbst wohlmeinende Anbieter dürfen es oft gesetzlich nicht.
Nach Ablauf der Schweigefrist informieren privatsphäre-starke Anbieter Betroffene. Einige publizieren jährliche Transparenzberichte mit aggregierten Zahlen. Schweizer Recht und viele EU-Rechte verlangen in den meisten Fällen irgendeine Form der nachträglichen Benachrichtigung, sobald die Ermittlungssperre das zulässt. Nichts davon schützt rückwirkend Daten, die während der Frist in Klartext herausgegeben wurden.
Was Zero-Knowledge für die Nutzerin ändert
In einer Zero-Knowledge-Architektur ist der Einsendungsinhalt unabhängig von den Benachrichtigungspraktiken des Anbieters gegen Herausgabe geschützt. Auch bei offener Schweigefrist, auch wenn die Person nie davon erfährt, auch wenn der Anbieter vollständig kooperiert: Die Behörde erhält Chiffrat. Für eine Nutzerin, der Vertraulichkeit wichtig ist — Whistleblower, Patientin, Mandantin, politische Geflüchtete — ist das die entscheidende Garantie, weil sie nicht vom Personal, den Verfahren oder den Rechtsmitteln des Anbieters abhängt.
Was Zero-Knowledge nicht leistet
Ehrlichkeit über Grenzen ist wichtig, sonst gleitet die Argumentation ins Marketing ab. Zero-Knowledge hat bestimmte Eigenschaften und bestimmte Lücken.
- Es verbirgt keine Metadaten. Formular-IDs, Zeitstempel, Payload-Grössen und IP-Adressen des Hosters können weiterhin Gegenstand von Rechtsprozessen sein
- Es deckt keine Konto-Daten ab — E-Mail des Formular-Inhabers, Billing, Abo-Informationen — ausser der Anbieter wendet vergleichbare Kontrollen auf diese Systeme an
- Es verhindert keine zukunftsgerichteten Anordnungen. Ein Gericht kann einen Anbieter verpflichten, ein Formular zu ändern, zusätzliche Felder zu protokollieren oder gezielt ein neues Payload an einen bestimmten Browser auszuliefern. Jurisdiktionen variieren in der Zulässigkeit, aber Verschlüsselung vergangener Daten blockiert das nicht
- Es schützt nicht gegen Kompromittierung des Schlüsselhalters — ist der Access Code selbst kompromittiert, vorgeladen oder unter Zwang erlangt, kann Chiffrat entschlüsselt werden
- Es ersetzt keine Opsec für hochriskante Nutzende. Eine Whistleblowerin, die über ein Arbeitsgerät im Firmennetz einreicht, ist über dieses Gerät und Netz weiter identifizierbar — unabhängig davon, wie stark die Formular-Verschlüsselung ist
Die ehrliche Formulierung lautet: Zero-Knowledge-Architektur stellt sicher, dass der Anbieter nicht zur Herausgabe lesbarer Einsendungsinhalte gezwungen werden kann, weil er sie nicht hat. Das ist ein signifikanter, spezifischer Schutz — kein universeller Schild gegen staatliche Macht.
Checkliste: Prüfung der Rechtsprozess-Position Ihres Anbieters
Jurisdiktion des Anbieters klären
Wo ist die operative Gesellschaft inkorporiert? Wer ist die Muttergesellschaft? Eine US-Mutter bedeutet CLOUD-Act-Reichweite unabhängig vom Speicherort.
Technische Herausgabefähigkeit erfragen
„Können Sie unsere Einsendungen lesen?“ ist die Kernfrage. Zero-Knowledge: „Nein, nur Chiffrat.“ Generisch: „Ja, auf unseren Produktionssystemen.“
Law-Enforcement-Policy und Transparenzbericht lesen
Seriöse Anbieter publizieren beides. Achten: akzeptierte Anordnungsarten, Prüfprozess, Benachrichtigungspraxis, aggregierte Zahlen, Widerspruchs-/Anfechtungs-Haltung.
Metadaten-Oberfläche verstehen
Auch bei starker Inhaltsverschlüsselung: welche Metadaten werden behalten (Zeitstempel, IPs, User-Agents, Formular-Struktur) und wie lange? Kurze Aufbewahrung ist realer Schutz.
Risikoprofil Ihrer Nutzenden abbilden
Quellen, Whistleblower, Asylsuchende, Dissidenten brauchen gestaffelten Schutz jenseits der Architektur eines einzelnen Anbieters. Für die meisten kommerziellen Formulare genügt Inhalts-E2EE plus Schweizer/EU-Anbieter.
Eigene Verantwortlichen-Position dokumentieren
Sie als Formular-Inhaber erhalten manchmal selbst Anordnungen. Ein Playbook dafür — inkl. Pflicht zur Anfechtung überweiter Anordnungen und zur Betroffenenbenachrichtigung, wo rechtlich zulässig — lohnt sich.
Wie Schweizerform in dieses Bild passt
Schweizerform ist in der Schweiz inkorporiert, hostet Einsendungs-Payloads auf Schweizer Infrastruktur und wendet Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jede Einsendung an. Konkret:
- Einsendungsinhalt und hochgeladene Dateien werden im Browser der Einreichenden vor dem Verlassen des Geräts verschlüsselt — mit Schlüsseln, die nur der Formular-Inhaber hält. Wir können sie nicht lesen
- Eine uns zugestellte Anordnung auf Einsendungsinhalt können wir nur mit Chiffrat beantworten; wir halten den Access Code nicht und können ihn nicht herausgeben
- Schweizer Unternehmensjurisdiktion hält uns ausserhalb des CLOUD-Act-Bereichs; ausländische Behörden müssen über Rechtshilfe und Schweizer Prüfung gehen
- Wir publizieren klare Aussagen dazu, was wir bei Rechtsprozess produzieren können und was nicht, und wir wehren uns gegen überweite Anordnungen, wo Schweizer Recht es erlaubt
- Metadaten-Aufbewahrung ist standardmässig minimiert; was wir behalten, ist in unserer Datenverarbeitungs-Policy dokumentiert
Das macht uns — oder jeden Anbieter — nicht zur Garantie gegen jede Form staatlicher Macht. Es bedeutet auf der spezifischen Achse „Was verlässt die Tür bei einer Anordnung?“ Folgendes: Unsere Fähigkeit, Inhalte Ihrer Nutzenden herauszugeben, ist kryptographisch begrenzt — nicht durch unseren Goodwill.
Das Fazit
Rechtsprozesse gegen Formular-Anbieter sind Routine, leise und für die betroffenen Nutzenden fast nie sichtbar. Ob dieser Prozess mit Klartext-Einsendungen endet, die die Schwelle des Anbieter-Büros überschreiten, oder mit nutzlosem Chiffrat, entscheidet nicht die Sprache der Datenschutzerklärung, sondern die Architektur des Anbieters — und welche Jurisdiktion den leichtesten Weg hat, diese Architektur zu zwingen.
Wenn der Inhalt, den Ihre Nutzenden einreichen, sensibel genug ist, dass Sie ihn nicht in einer Verfahrensakte sehen möchten, lautet die Prüffrage nicht, ob Ihr Anbieter „Datenschutz wichtig findet“. Sie lautet, ob der Anbieter die Einsendung physisch lesen kann und ob er in einer Jurisdiktion sitzt, in der diese Lesbarkeit eine einzige innerstaatliche Anordnung von der Zustellung an Dritte entfernt ist. Alles andere folgt aus diesen zwei Tatsachen.
Schweizerform ist so gebaut, dass eine Anordnung gegen uns Chiffrat, nicht Inhalt zurückgibt. Zero-Knowledge-Ende-zu-Ende-Verschlüsselung auf jedem Formular, Schweizer Hosting, Schweizer Unternehmensjurisdiktion und volle EN- / DE- / FR- / IT-Unterstützung — ohne Kreditkarte im kostenlosen Tarif.
Hinweis: Dieser Artikel ist allgemeine Information und Marketinginhalt, keine Rechtsberatung. Bezugnahmen auf StPO, IRSG, nFADP, EU-Strafprozessrahmen, EEA, EU-E-Evidence-Verordnung, US Stored Communications Act und US CLOUD Act sind konzeptionell zusammengefasst und unterliegen jurisdiktionsspezifischer Auslegung, Rechtsprechung, bilateralen Abkommen und künftigen Gesetzesänderungen. Konkrete Situationen — Umfang einer Anordnung, Privilegien, grenzüberschreitende Konflikte — verlangen massgeschneiderte Beratung. Ziehen Sie qualifizierte Schweizer und ausländische Rechtsberatung bei, bevor Sie auf Basis eines einzelnen Beitrags — auch dieses — Rechtsprozess- oder Beschaffungsentscheidungen treffen.