Der vollständige Leitfaden für sichere Datei-Uploads über Online-Formulare

Die meisten Marketingseiten von Formularbauern widmen Datei-Uploads ein paar Sätze — meist über Grössenlimits und unterstützte Dateitypen. Das wird dem, was wirklich passiert, nicht gerecht. Wenn eine Befragte ein ärztliches Zeugnis, einen Ausweisscan, eine Steuererklärung oder einen Vertragsentwurf an ein Online-Formular anhängt, übergibt sie ein deutlich reichhaltigeres Artefakt als eine Textantwort: ein vollständiges Dokument, oft mit Identifikatoren, Unterschriften, Fotos und Metadaten, oft anwaltlich oder medizinisch sensibel und oft nachträglich nicht mehr redigierbar.

Dieser Leitfaden ist eine praktische, dezidierte Tour, was einen Datei-Upload wirklich sicher macht. Er behandelt das Bedrohungsmodell, dem reine Textformulare nicht ausgesetzt sind, den Lebenszyklus, den eine Datei nach dem Klick auf den Upload-Button durchläuft, die architektonischen Entscheidungen, die bestimmen, wie exponiert die Datei tatsächlich ist, und die operative Hygiene, die entscheidet, ob der Upload ein Jahr später noch sicher ist. Am Ende sollten Sie die Datei-Upload-Story jedes Anbieters ehrlich bewerten können — auch unsere.

Warum Dateien sich von Textfeldern unterscheiden

Ein Textfeld erfasst, was die Befragte eintippt. Ein Datei-Upload erfasst, was die Befragte schon hat — und der Unterschied ist grösser, als er aussieht.

• Dichte personenbezogener Daten: Ein einziges PDF kann Name, Geburtsdatum, Adresse, Identifikationsnummern, Unterschriften und Foto auf einmal enthalten. Drei Textfelder erreichen für die Re-Identifikation selten das Niveau eines Ausweisscans.
• Eingebettete Metadaten: Fotos tragen EXIF-Daten — Gerät, Zeitstempel, oft GPS-Koordinaten. PDFs tragen Autor, Software, Bearbeitungsverlauf. Office-Dokumente tragen Track-Changes und frühere Autorennamen. Das meiste ist für die Befragte unsichtbar.
• Format-spezifische Risiken: PDF und Office können aktive Inhalte enthalten (Skripte, Makros). Bilder können Parser-Schwachstellen ausnutzen. Archive können alles enthalten. Das empfangende System muss gegen Parser-Angriffe schützen, denen Textfelder nicht ausgesetzt sind.
• Volumen und Persistenz: Dateien sind 100- bis 10 000-mal grösser als Texteinreichungen. Entsprechend schwerer aus Backups zu löschen, über Systeme zu replizieren und aus Analytik-Caches zu entfernen.
• Rechtliches Gewicht: Ein als PDF hochgeladener unterzeichneter Vertrag ist der Vertrag. Ein gescannter Ausweis ist der Identitätsnachweis. Dateien sind häufig die rechtlich erhebliche Sache, nicht nur deren Beschreibung.

Was mit einer hochgeladenen Datei tatsächlich passiert

Der sauberste Weg, die Datei-Upload-Sicherheit eines Anbieters zu bewerten, ist, den gesamten Lebenszyklus durchzugehen und an jedem Schritt zu fragen: Wer kann die Datei lesen, und was hindert sie daran? Sechs Stufen decken fast alles ab.

Die entscheidende Beobachtung: In einer konventionellen SaaS-Architektur können die Systeme des Anbieters die Datei ab Schritt 3 jederzeit im Klartext lesen. "HTTPS" und "Verschlüsselung at Rest" zusammen schützen gegen Netzwerk-Angreifer und gegen Disk-Diebstahl — aber überhaupt nicht gegen den Anbieter selbst, sein Personal, seine Subunternehmer oder eine Behörde mit rechtmässigem Begehren an den Anbieter.

Häufige Fehler im Umgang mit Datei-Uploads

1. TLS so vermarkten, als wäre es Ende-zu-Ende-Verschlüsselung

Fast jedes Formularprodukt behauptet "alle Dateien werden in Übertragung und Ruhe verschlüsselt". Beides ist meist wahr und keines ist, was sich Befragte vorstellen. Übertragungsverschlüsselung schützt Bytes zwischen Browser und Server. Verschlüsselung at Rest schützt vor Disk-Diebstahl. Keines hindert den Anbieter am Lesen. Wenn die Marketingaussage suggeriert, dass der Anbieter Ihre Atteste nicht lesen kann, suchen Sie die Worte "Ende-zu-Ende" und "Zero-Knowledge" — und eine Erklärung, wo die Schlüssel liegen. Fehlen sie, kann der Anbieter die Dateien lesen.

2. MIME-Type-Prüfungen als Sicherheit behandeln

Viele Produkte beschränken Uploads auf "sichere" Typen — PDF, JPG, PNG. Die Prüfung basiert oft auf Dateierweiterung oder browser-deklariertem MIME-Type, beide trivial fälschbar. Echte Typvalidierung erfordert Inspektion der Magic Bytes serverseitig und Ablehnung bei Diskrepanzen. Selbst dann kann ein Datei, die wirklich ein PDF ist, bösartigen Inhalt tragen. Typprüfungen reduzieren die Angriffsfläche, ersetzen aber nicht das Sandboxen von Parsern und die dauerhafte Behandlung hochgeladener Dateien als nicht vertrauenswürdig.

3. Lockere oder unsichtbare Aufbewahrung

Die meisten Formularanbieter behalten Dateien, solange das Konto besteht, ohne automatischen Verfall. Ein 2024 für eine eintägige Veranstaltung hochgeladenes ärztliches Zeugnis kann 2027 noch auf den Disks des Anbieters liegen, wenn der Formularbesitzer es nicht explizit gelöscht hat. Schlimmer: UI-Löschungen propagieren selten in Backups; die Datei kann nach Entfernung des Live-Datensatzes monatelang in Offline-Kopien weiterleben.

4. AV-Scanning als Datenschutzversprechen

Viele Anbieter beschreiben AV-Scanning von Uploads als Sicherheitsfunktion. Das ist sie — aber nur gegen bekannte Malware. Sie verlangt zudem, dass der Anbieter die Datei liest. AV-Scanning und Ende-zu-Ende-Verschlüsselung schliessen sich aus: das eine fordert Klartext-Zugriff, das andere verbietet ihn. Wählen Sie das Bedrohungsmodell, das Sie wirklich kümmert. Für vertrauliche Dokumente ist das Gerät der Datei-Eigentümerin der richtige Ort für AV-Scanning, vor dem Upload.

5. Öffentliche Vorschau-Links

Manche Produkte erzeugen aus Bequemlichkeit Share-Links für hochgeladene Dateien — "schicken Sie das Ihrer Sachbearbeiterin". Diese Links sind oft unauthentifizierte Tokens mit langer Gültigkeit, gelegentlich von Suchmaschinen indexierbar, falls versehentlich exponiert. Ein über einen solchen Link verschicktes ärztliches Zeugnis ist einen Fehler vom offenen Web entfernt.

6. Metadaten unangetastet

Die meisten Anbieter entfernen weder EXIF aus Bildern noch versteckte Metadaten aus Dokumenten. Befragte können nicht wissen, was Telefon oder Textverarbeitung in die Datei eingebettet hat. Der Anbieter empfängt, speichert und exportiert die Metadaten zusammen mit dem sichtbaren Inhalt.

Wie ein wirklich sicherer Datei-Upload aussieht

Wenn man von "der Formularanbieter darf diese Datei nicht lesen können" ausgeht — der richtige Ausgangspunkt für medizinische, juristische, finanzielle, HR- und bürgerseitige Daten — muss die Architektur ziemlich konkret aussehen.

• Verschlüsselung im Browser der Befragten vor dem Upload, mit einem Schlüssel, der die Kontrolle des Formularbesitzers nie verlässt
• Übertragung ausschliesslich von Chiffretext — der Server des Anbieters sieht ab Beginn des Uploads verschlüsselte Bytes
• Speicherung ausschliesslich von Chiffretext — auf keiner Stufe hält die Anbieterinfrastruktur eine Klartextkopie
• Entschlüsselung ausschliesslich im Browser des Formularbesitzers mit dessen Zugangscode
• Keine serverseitige Vorschau-Erzeugung, OCR, AV-Scanning oder Transcodierung — diese Operationen brauchen Klartext, den der Anbieter nicht hat
• Kryptographisch endgültige Löschung — sobald der Formularbesitzer löscht, existiert nirgendwo wiederherstellbarer Klartext, weil keine andere Partei je den Schlüssel hatte

Wie man ein sicheres Datei-Upload-Formular in der Praxis aufsetzt

Egal ob mit Schweizerform oder einem anderen Tool, das operative Muster, das einen verteidigbaren Datei-Upload-Workflow ergibt, ist im Kern dasselbe.

Häufige reale Szenarien

Atteste und klinische Dokumente

Sportveranstaltungen, Versicherungsfälle, Schullager, Personalprüfungen — alle verlangen routinemässig Atteste. Das sind Gesundheitsdaten unter nDSG und DSGVO, oft mit konkreten Befunden, gelegentlich mit sensiblen Diagnosen. Verschlüsselung im Browser vor dem Upload ist die verhältnismässige technische Antwort; sie ist nicht optional, sobald man akzeptiert, dass der Formularanbieter klinisches Material nicht lesen sollte.

Ausweise und Identitätsverifikation

Onboarding-Flows, KYC-Prozesse, Behördenanträge. Ausweisscans kombinieren typischerweise Foto, vollständigen Namen, Geburtsdatum, Dokumentennummer und Unterschrift in einem Bild. Sie sind katastrophal wertvoll für Identitätsdiebstahl und trivial OCR-bar. Ende-zu-Ende-Verschlüsselung verkleinert den lesbaren Fussabdruck auf die Institution, die die Verifikation tatsächlich braucht.

Verträge, Steuererklärungen und Finanzdokumente

Rechtsclient-Intake, Treuhand-Onboarding, Hypothekenanträge, Stipendienanträge. Diese Dateien kombinieren finanzielle, berufliche und manchmal persönliche Informationen in Formaten, die für Archivierung statt Datenschutz entworfen wurden. Der Formularanbieter hat im Inhalt nichts zu suchen; Verschlüsselung hält den Inhalt in der Beziehung, in die er gehört.

Whistleblower- und journalistisches Material

Interne Dokumente, Screenshots, Aufzeichnungen, die an eine Hotline oder Compliance-Stelle gegeben werden. Die Provenienz der Datei ist Teil ihres Beweiswerts, und jedes Leck kann die Quelle identifizieren oder gefährden. Zero-Knowledge-Datei-Upload ist hier kein Nice-to-have, sondern die tragende Eigenschaft, die den Kanal überhaupt sinnvoll macht.

Fotos und Bilder, die harmlos aussehen

Eventanmeldungen verlangen häufig ein Foto. Versicherungsmeldungen verlangen Schadenfotos. Charity-Walk-Formulare verlangen Spendendatenporträts. "Es ist nur ein Foto" verfehlt den Metadaten-Punkt: GPS-Koordinaten, Geräteseriennummer, Aufnahmezeitstempel, manchmal Gesichtserkennungs-Embeddings, falls das Gerät vorverarbeitet hat. Verschlüsselter Upload schützt den sichtbaren Inhalt; Metadaten-Stripping (wo unterstützt) den Rest. Beides zählt; keines geschieht in den meisten Form-Tools automatisch.

Verschlüsselung allein ist nicht die ganze Geschichte

Selbst mit Ende-zu-Ende-Verschlüsselung beim Upload wird die Datei beim Entschlüsseln in den Händen des Formularbesitzers zu Klartext. Ab dann gilt gewöhnliche Informationssicherheits-Disziplin: Wo entschlüsselte Kopien gespeichert werden, wer sie sehen kann, wie sie weitergeleitet werden, wann sie gelöscht werden. Ein Zero-Knowledge-Upload entfernt den Anbieter aus dem Bedrohungsmodell — er befreit den Formularbesitzer nicht von dessen eigenem.

• Nur entschlüsseln, wenn Sie auf die Datei reagieren müssen. Einreichungen bis dahin verschlüsselt in der Plattform halten.
• Permanente entschlüsselte lokale Kopien vermeiden. Datei verarbeiten, ins System of Record überführen und die lokale Kopie loslassen.
• Keine entschlüsselten Dateien per E-Mail weiterleiten. E-Mail ist selten Ende-zu-Ende-verschlüsselt, fast nie beim Empfänger verschlüsselt, und die weitergeleitete Kopie unterliegt nicht mehr Ihrer Aufbewahrungspolitik.
• Ausdrucke wie Dateien behandeln. Ein gedrucktes Attest-PDF ist dieselben Daten; Schrank, Schublade und Aktenvernichter sind Teil des Workflows.
• Alle Zugriffsberechtigten — auch temporäres Personal und Freiwillige — vor dem Erhalt des Zugangscodes auf die Löschregel briefen, nicht danach.

Wo Datei-Uploads unter nDSG, DSGVO und sektoralen Regeln stehen

Dateien haben keine separate Kategorie — sie erben die Kategorie der Daten, die sie enthalten. Ein PDF mit Diagnose ist Gesundheitsdatum. Ein Scan mit Ausweisnummer ist Identitätsdatum. Eine Lohntabelle ist HR-Datum. Daraus folgen die Konsequenzen:

• Rechtsgrundlage gilt weiter. Eine Einwilligungs- oder Interessenabwägungsanalyse, die die Erhebung einer Textantwort rechtfertigt, muss auch die Datei rechtfertigen — einschliesslich aller beiläufigen Felder darin.
• Datenminimierung gilt. "Laden Sie Ihren letzten Lohnausweis hoch" erhebt vermutlich mehr als nötig. "Laden Sie Seite 1 hoch" oder "redigierte Version, die nur X zeigt" ist verhältnismässiger.
• Aufbewahrung gilt. Dateien erben den Aufbewahrungsplan der enthaltenen Daten, nicht den leichteren Plan des Formulardatensatzes.
• Meldepflicht bei Verletzungen gilt. Ein Vorfall, der ein einziges hochgeladenes Attest betrifft, kann je nach Datenkategorie dieselben Meldepflichten auslösen wie tausend Texteinreichungen.
• Datenschutz-Folgenabschätzungen gelten. Ist der Datei-Upload die Hochrisiko-Komponente, sollte die DSFA das festhalten und die Verschlüsselungsgeschichte die zentrale Schutzmassnahme sein.

Eine kurze Checkliste vor Öffnung eines Datei-Upload-Formulars

1. Können Sie in einem Satz sagen, warum jede Datei nötig ist und welche Entscheidung sie stützt?
2. Akzeptieren Sie nur die nötigen Dateitypen, mit klar genannten Grössenlimits?
3. Wird die Datei im Browser der Befragten vor dem Upload verschlüsselt?
4. Wird die Datei ausschliesslich als Chiffretext gespeichert, mit Schlüsseln in Ihrer Organisation statt beim Anbieter?
5. Haben Sie zwei oder mehr Zugangscode-Hüter und ein getestetes Recovery-Verfahren?
6. Ist die Aufbewahrungsfrist dokumentiert, kommuniziert und im Kalender?
7. Ist die Löschprozedur schriftlich festgehalten, einschliesslich Backups und entschlüsselter lokaler Kopien?
8. Haben Sie den gesamten Workflow vor Eröffnung selbst mit einer Test-Datei durchlaufen?

Das Wesentliche

Datei-Uploads bündeln Risiko in einer Weise, in der Textfelder es nicht tun. Ein einziges angehängtes Dokument kann mehr Identifikatoren, mehr sensiblen Inhalt und mehr nachgelagertes rechtliches Gewicht tragen als eine ganze Seite getippter Antworten. Die Standardarchitektur grosser Formularanbieter — TLS in Übertragung, Verschlüsselung at Rest, anbieterseitige Verarbeitung — reicht für viele Workloads und ist gefährlich dünn für medizinische, juristische, finanzielle, HR- und bürgerseitige Daten.

Ende-zu-Ende-Zero-Knowledge-Upload verschiebt die Vertrauensgrenze zurück zu der Institution, die sie immer hätte halten sollen. Es ist kein Nice-to-have für vertrauliche Workflows, sondern die Eigenschaft, die solche Workflows verteidigbar macht. Kombiniert mit disziplinierter Aufbewahrung, gezielter Löschung und minimaler Datenerhebung wird das Datei-Upload-Feld — die exponierteste Fläche des Formulars — zu einer, mit der Auditor, Befragte und DSB gleichermassen leben können.