HIPAA-Formular-Tools: Wer unterzeichnet ein BAA?
Jede Gesundheitspraxis, die ein Formular-Tool bewertet, trifft auf dieselben zwei Fragen: „Ist es HIPAA-konform?" und „Unterzeichnen sie ein BAA?" — und die Marketingantworten verwischen den Unterschied. Wir vergleichen Google Forms, Microsoft Forms, JotForm, Cognito Forms, Formstack und Schweizerform nach BAA-Verfügbarkeit, Plan-Tier, Verschlüsselungsmodell und einer Frage, die die meisten Seiten auslassen: Kann der Anbieter Ihre PHI technisch überhaupt lesen?
Jede Gesundheitspraxis, die sich nach einem Online-Formular-Tool umsieht, landet bei denselben zwei Fragen. Die erste lautet „Ist es HIPAA-konform?" Die zweite „Unterzeichnen sie ein BAA?" Marketingseiten beantworten beide mit einem selbstbewussten Ja und verwischen dabei stillschweigend die Tatsache, dass dies zwei verschiedene Fragen mit zwei verschiedenen Arten von Antwort sind — eine über einen Rechtsvertrag, eine über eine Eigenschaft Ihres gesamten Compliance-Programms.
Dieser Vergleich entwirrt die beiden und geht dann Anbieter für Anbieter die Formular-Tools durch, die US-Praxen tatsächlich in die engere Wahl nehmen — Google Forms, Microsoft Forms, JotForm, Cognito Forms und Formstack — und zeigt für jedes, ob ein Business Associate Agreement (BAA) verfügbar ist, welches Plan-Tier es verlangt, wie das Verschlüsselungsmodell wirklich aussieht und die Frage, die die meisten Vergleichsseiten ganz auslassen: Kann der Anbieter Ihre Protected Health Information (PHI) technisch überhaupt lesen? Schweizerform steht ebenfalls in der Tabelle, und wir sind ehrlich, wo es genau passt und wo nicht.
Für wen dieser Vergleich gedacht ist
Praxismanager, Compliance-Verantwortliche, IT-Leads und Klinikerinnen, die ein Formular-Tool wählen, das PHI berührt — und alle, die „cognito forms hipaa compliance baa" in eine Suchleiste getippt und eine klare Antwort statt einer Verkaufsseite gewollt haben.
Eine ehrliche Anmerkung vorweg
Schweizerform ist ein in der Schweiz gebauter, in der Schweiz gehosteter Formularbauer mit Zero-Knowledge-Architektur. Wir bieten derzeit kein HIPAA-Business-Associate-Agreement an und sind nicht als HIPAA-Anbieter positioniert. Unsere Positionierung ist europäisch zuerst, rund um das Schweizer nDSG und die DSGVO. Wir nehmen uns in diesen Vergleich auf, weil die architektonische Frage — kann der Anbieter Ihre PHI lesen? — eine ist, auf die wir eine wirklich andere Antwort haben, nicht weil wir ein schlüsselfertiges US-HIPAA-Paket anpreisen. Wo Sie ein BAA brauchen, sagen wir das klar.
Was ein BAA tatsächlich ist (und was nicht)
Ein Business Associate Agreement ist ein Vertrag. Unter HIPAA ist ein Anbieter, der PHI im Auftrag einer Covered Entity erstellt, empfängt, vorhält oder überträgt, ein „Business Associate", und die Covered Entity muss ein BAA mit ihm haben. Das BAA verpflichtet den Anbieter, die Schutzmassnahmen der Security Rule umzusetzen, begrenzt, wie er PHI verwenden und offenlegen darf, verlangt die Meldung von Verletzungen und verlangt, dieselben Pflichten an eigene Subunternehmer weiterzugeben, die PHI berühren.
Was ein BAA nicht ist: kein Zertifikat, keine technische Kontrolle und nicht das, was Sie konform macht. Es gibt keine staatliche Stelle, die einem Produkt ein „HIPAA-konform"-Siegel ausstellt. „HIPAA-konform" ist eine Eigenschaft Ihres gesamten Programms — Ihrer Privacy-Rule-Analyse, Ihrer Security-Rule-Schutzmassnahmen, Ihres Breach-Notification-Plans und ja, Ihrer BAAs — nicht ein Label, das ein Produkt mitliefert. Ein Anbieter kann Ihnen ein vollkommen gültiges BAA aushändigen und Ihr Programm trotzdem nicht-konform lassen, wenn die übrigen Schutzmassnahmen fehlen.
Die Ein-Satz-Version
Ein BAA ist eine rechtliche Verteilung von Verantwortung zwischen Ihnen und einem Anbieter. „HIPAA-konform" beschreibt Ihr gesamtes Programm. „Unterzeichnen sie ein BAA?" und „Ist es HIPAA-konform?" sind nicht dieselbe Frage — und ein Anbieter, der die zweite beantwortet, wenn Sie die erste gestellt haben, verdient einen zweiten Blick.
Required vs Addressable Spezifikationen in 60 Sekunden
Die Security Rule teilt ihre Umsetzungsspezifikationen in zwei Arten: „required" und „addressable". Diese einzelne Unterscheidung ist die Quelle von mehr schlechtem HIPAA-Marketing als fast alles andere, daher lohnt es sich, sie klarzustellen, bevor ein Anbieter Ihnen sagt, was er tun muss und was nicht.
- Required bedeutet: Sie müssen es umsetzen. Kein Ermessen.
- Addressable bedeutet NICHT optional. Es bedeutet: die Spezifikation umsetzen ODER dokumentieren, warum sie in Ihrer Umgebung nicht angemessen ist und welche gleichwertige Schutzmassnahme Sie stattdessen vorgesehen haben.
- Verschlüsselung — sowohl in Übertragung als auch in Ruhe — ist eine addressable Spezifikation. Seit der Omnibus Rule 2013 und einer langen Reihe von HHS-Vollzugsfällen behandeln Aufsichten Verschlüsselung als Standarderwartung und haben Stellen sanktioniert, die sie ohne verteidigbare schriftliche Analyse ausliessen.
Wir behandeln die Privacy, Security und Breach Notification Rule deutlich tiefer in unserem Begleitartikel zur HIPAA-konformen Formularerfassung — diese Seite setzt die Grundlagen voraus und fokussiert speziell auf die BAA-und-Verschlüsselungs-Frage. Kurzfassung: Verschlüsselung ist technisch nicht zwingend, aber in der Praxis setzen Sie sie um oder Sie schreiben eine sehr gute Begründung, warum nicht.
Wer ein BAA unterzeichnet — Anbieter für Anbieter
Hier die praktische Realität für die Formular-Tools, die US-Praxen am häufigsten in die engere Wahl nehmen. Für jedes zählen die Fragen: Ist ein BAA verfügbar, auf welchem Plan, wie sieht das Verschlüsselungsmodell aus und wer kann die Klartext-PHI technisch erreichen.
Google Forms / Google Workspace
Google bietet ein BAA, das die zentralen Google-Workspace-Dienste einschliesslich Google Forms abdeckt — aber nur für bezahlte Workspace-Konten, und der Administrator muss das BAA in der Admin-Konsole aktiv prüfen und akzeptieren. Das kostenlose Konsumenten-Google-Forms-Produkt (ein persönliches Gmail-Konto, das einen Gesundheitsfragebogen sammelt) fällt unter kein BAA, Punkt. Das ist der häufigste und teuerste Fehler in diesem ganzen Bereich: Eine Klinik nutzt „Gratis-Google-Forms", nimmt an, dass es bei einem seriösen Unternehmen wie Google schon passen werde, und stellt bei einem Audit fest, dass das Konsumentenprodukt nie BAA-fähig war.
Verschlüsselungsmodell: Google verschlüsselt Daten in Übertragung (TLS) und in Ruhe auf seiner Infrastruktur, und Google hält die Schlüssel. Formularantworten sind für Googles Systeme lesbar. Wer PHI technisch erreichen kann: Googles Infrastruktur und jede Partei, die Google nach US-Recht zwingen kann. Standard-Datenstandort sind die USA, auf Enterprise-Tiers konfigurierbar, aber mit Verarbeitungsspielraum für Google.
Microsoft Forms / Microsoft 365
Microsoft schliesst BAA-Bedingungen für seine abgedeckten Dienste über seine Product Terms und das HIPAA Business Associate Agreement ein, das Teil seiner kommerziellen Lizenzierung für berechtigte Microsoft-365- / Office-365-Abos ist. Für Praxen, die bereits auf Microsoft 365 standardisiert sind, kann Microsoft Forms innerhalb eines abgedeckten Tenants in dieses BAA-Rahmenwerk fallen — aber wie immer ist die Berechtigung an die Lizenz und Tenant-Konfiguration gebunden, nicht an das Konsumentenprodukt, und Sie müssen bestätigen, dass der konkrete Dienst im Geltungsbereich ist.
Verschlüsselungsmodell: TLS in Übertragung, Verschlüsselung in Ruhe mit von Microsoft gehaltenen Schlüsseln (kundenverwaltete Schlüsseloptionen existieren bei einigen Diensten, aber die Plattform des Anbieters kann die Daten dennoch verarbeiten). Wer PHI technisch erreichen kann: Microsofts Plattform und Parteien, die sie nach US-Recht zwingen können. Der Datenstandort hängt von den Tenant-Regionseinstellungen ab.
JotForm
JotForm bietet HIPAA-fähige Konten mit einem BAA, verfügbar auf seinen höheren bezahlten Tiers (Silver, Gold und Enterprise, mit HIPAA-Funktionen freigeschaltet ab den oberen Tiers). Wenn Sie den HIPAA-Modus aktivieren, wendet JotForm zusätzliche Kontrollen an und unterzeichnet ein BAA. Das ist ein reales, nutzbares Angebot und eine häufige Wahl für US-Praxen, die Funktionsbreite plus ein BAA wollen.
Verschlüsselungsmodell: TLS in Übertragung und Verschlüsselung in Ruhe, wobei JotForm die Schlüssel hält. Wer PHI technisch erreichen kann: JotForms Server — und damit JotForm-Personal und jede Partei mit Zugriff auf Anwendungsebene oder einer rechtlichen Forderung — können Einreichungen im Klartext lesen. Das BAA verteilt die Verantwortung für diesen Zugriff; es entfernt den Zugriff nicht. Der Datenstandort sind primär die USA, mit EU-Optionen auf höheren Plänen.
Cognito Forms
Cognito Forms ist das Tool, nach dem viele gezielt suchen, wenn sie „cognito forms hipaa compliance baa" eintippen, daher verdient es eine sorgfältige, faire Antwort. Cognito Forms bietet HIPAA-Funktionen und unterzeichnet ein BAA auf seinen höheren Plänen (Pro und höher, mit HIPAA-Freischaltung auf den oberen Tiers). Es hat zudem einen wirklich nützlichen Differenzierer, der den meisten Allzweck-Buildern fehlt: ein „Encrypted Fields"-Feature, mit dem Sie bestimmte Felder als verschlüsselt markieren können, sodass diese Werte verschlüsselt in Ruhe statt im Klartext gespeichert werden.
Das ist ein reales Feature und deutlich besser als Tools, die alles im Klartext speichern. Aber es ist wichtig, genau zu verstehen, was es ist und was nicht. Encrypted Fields ist serverseitige, anbieterverwaltete Verschlüsselung: Cognito hält die Schlüsselinfrastruktur, und Cognitos Server sehen den Klartext während der Einreichungsverarbeitung und entschlüsseln das Feld, wenn Sie als Formularbesitzer die Einreichung ansehen. Es ist keine Ende-zu-Ende-Verschlüsselung. Die ehrliche Antwort auf die Suchanfrage lautet also: Ja, Cognito Forms bietet HIPAA-Funktionen und ein BAA auf höheren Plänen, und seine Encrypted Fields heben das Niveau beim Schutz in Ruhe — aber Cognito kann technisch weiterhin auf PHI zugreifen, weil es die Schlüssel hält. Das BAA verteilt die rechtliche Verantwortung für diesen Zugriff.
Cognito Forms in einer Zeile
Ja zu einem BAA auf höheren Plänen; ja zu einem echten Encrypted-Fields-Feature für Schutz in Ruhe; aber die Schlüssel gehören Cognito, also kann Cognito PHI technisch lesen. „Verschlüsselte Felder" und „der Anbieter kann es nicht lesen" sind unterschiedliche Behauptungen — Cognito bietet die erste, nicht die zweite.
Formstack
Formstack ist eine compliance-fokussierte Enterprise-Workflow-Plattform (Formulare, Dokumente, E-Signatur), die einen HIPAA-konformen Plan mit einem BAA auf ihren höheren Tiers bietet. Für Mid-Market- und Enterprise-Teams, die Formulare plus Dokumentenerzeugung und E-Sign bei einem Anbieter mit BAA wollen, ist es eine standardmässige, glaubwürdige Wahl.
Verschlüsselungsmodell: TLS in Übertragung und Verschlüsselung in Ruhe, wobei Formstack die Schlüssel hält. Wer PHI technisch erreichen kann: Formstacks Infrastruktur, sein autorisiertes Personal, Integrationen und jede Partei mit einer rechtlichen Forderung können die Klartextdaten technisch erreichen. Auch hier verteilt das BAA Verantwortung; es ändert nicht die Tatsache, dass die Systeme des Anbieters die Daten lesen können. Der Datenstandort sind primär die USA.
Die Vergleichstabelle
Lesen Sie die letzten beiden Spalten zusammen. „BAA verfügbar" sagt Ihnen, ob ein Anbieter rechtliche Verantwortung für PHI übernimmt. „Anbieter kann PHI technisch lesen?" sagt Ihnen, ob diese Verantwortung das Einzige ist, das zwischen den Daten Ihrer Patienten und dem Personal des Anbieters steht. Das sind verschiedene Achsen, und der Unterschied ist der ganze Punkt dieser Seite.
| Anbieter | BAA verfügbar? | Erforderliches Tier | Verschlüsselungsmodell | Anbieter kann PHI technisch lesen? | Standard-Datenstandort |
|---|---|---|---|---|---|
| Google Forms / Workspace | Ja — nur bezahltes Workspace (Admin muss akzeptieren); Gratis-Google-Forms NICHT abgedeckt | Bezahlte Workspace-Editionen | TLS + in Ruhe, von Google gehaltene Schlüssel | Ja | USA (Regionsoptionen auf Enterprise) |
| Microsoft Forms / 365 | Ja — über Product Terms / DPA für abgedeckte Abos | Berechtigte kommerzielle M365 / O365 | TLS + in Ruhe, von Microsoft gehaltene Schlüssel | Ja | Je nach Tenant-Region |
| JotForm | Ja | Höhere bezahlte Tiers (Silver / Gold / Enterprise) | TLS + in Ruhe, von JotForm gehaltene Schlüssel | Ja | USA (EU auf höheren Plänen) |
| Cognito Forms | Ja | Höhere Pläne (Pro und höher) | TLS + in Ruhe; optionale „Encrypted Fields" pro Feld, anbietergehaltene Schlüssel | Ja — Schlüssel bei Cognito | USA |
| Formstack | Ja | Höheres / HIPAA-Tier | TLS + in Ruhe, von Formstack gehaltene Schlüssel | Ja | USA |
| Schweizerform | Nein — nicht angeboten, nicht als HIPAA-Anbieter positioniert | entfällt | Zero-Knowledge-Ende-zu-Ende-Verschlüsselung (AES-256-GCM, RSA-OAEP-2048), jeder Plan | Nein — Anbieter hält keine Schlüssel, kann nicht entschlüsseln | Schweiz (Infomaniak) |
Beachten Sie das Muster in der vorletzten Spalte: Jeder etablierte BAA-unterzeichnende Anbieter antwortet „ja, der Anbieter kann PHI technisch lesen." Das ist kein Mangel dieser Produkte — es ist schlicht, wie konventionelle Verschlüsselung mit anbietergehaltenen Schlüsseln funktioniert. Das BAA ist die Kontrolle, die diesen Zugriff regelt. Das einzige „Nein" in dieser Spalte gehört der Architektur, die gar keine Schlüssel hält.
Ein BAA ist keine Verschlüsselungsstrategie
Das ist der Abschnitt, auf den die Vergleichstabelle eigentlich zeigt. Ein BAA und Ende-zu-Ende-Verschlüsselung (E2EE) reduzieren beide Risiko, aber sie erledigen völlig unterschiedliche Aufgaben und sind kein Ersatz füreinander.
Ein BAA ist eine rechtliche Verteilung von Verantwortung. Wenn eine Verletzung passiert, bestimmt das BAA, wer wen benachrichtigen muss, wer welche Pflichten trägt und wie die Haftung zwischen Covered Entity und Business Associate geteilt wird. Es ist ein Papierinstrument. Es tut von sich aus nichts, um die Verletzung zu verhindern oder die offengelegten Daten unlesbar zu machen. Jeder etablierte Anbieter, der ein BAA unterzeichnet, kann technisch auf PHI zugreifen — seine Verschlüsselung in Ruhe nutzt Schlüssel, die der Anbieter hält, was bedeutet, dass die Systeme, das Personal und die Integrationen des Anbieters sowie jeder, der ihn rechtlich zwingen kann, im Prinzip den Klartext erreichen können. Das BAA sagt „wir versprechen, mit diesem Zugriff verantwortungsvoll umzugehen und Ihnen zu sagen, wenn etwas schiefgeht."
Ende-zu-Ende-Verschlüsselung ist eine architektonische Kontrolle. Mit echter Zero-Knowledge-E2EE werden die Daten auf dem Gerät des Befragten verschlüsselt, bevor sie den Anbieter je erreichen, und der Anbieter hält nie die Schlüssel. Bei einer Verletzung erhält ein Angreifer — oder eine Vorladung — Chiffretext ohne Entschlüsselungspfad. Der Unterschied ist der Unterschied zwischen „darf lesbare PHI halten und ist vertraglich verpflichtet, gut damit umzugehen" und „kann lesbare PHI gar nicht halten".
Ein BAA entscheidet, wer verantwortlich ist, wenn lesbare PHI offengelegt wird. Ende-zu-Ende-Verschlüsselung entscheidet, ob es überhaupt lesbare PHI zum Offenlegen gibt. Die stärksten Programme wählen nicht zwischen beiden — sie verstehen, welche davon jedes Tool tatsächlich liefert.
| Im Verletzungsszenario | Was ein BAA tut | Was E2EE tut |
|---|---|---|
| Verhindert, dass die Daten lesbar sind | Nein — es ist ein Vertrag, keine Kontrolle | Ja — offengelegte Daten sind nur Chiffretext |
| Verteilt rechtliche Verantwortung | Ja — das ist sein ganzer Zweck | Nein — es ist eine technische Eigenschaft, kein Vertrag |
| Regelt den erlaubten Zugriff des Anbieters | Ja — vertraglich | Entfernt den Zugriff — Anbieter hält keine Schlüssel |
| Beeinflusst die Breach-Notification-Analyse | Definiert, wer wen benachrichtigt | Nach NIST verschlüsselte Daten fallen ggf. ausserhalb „unsecured" PHI |
| Antwort auf „kann der Anbieter PHI lesen?" | Ja, aber sie versprechen, gut damit umzugehen | Nein — strukturell nicht möglich |
Ordnungsgemäss verschlüsselte PHI, die verletzt wird, fällt unter HHS-Verschlüsselungsleitlinien ggf. ausserhalb der Kategorie „unsecured PHI", was die Meldepflicht ändern kann. Dieser Safe-Harbour-Vorteil ist genau dann am stärksten, wenn der Anbieter die Daten nicht entschlüsseln kann — also im E2EE-Fall, nicht im Fall anbietergehaltener Schlüssel.
Wo Schweizerform ehrlich passt
Zeit, über unser eigenes Produkt direkt zu sein, denn der ganze Wert dieser Seite hängt davon ab. Schweizerform bietet kein HIPAA-Business-Associate-Agreement an und ist nicht als HIPAA-Anbieter positioniert. Wenn Ihre Beschaffungs-Checkliste eine harte Zeile hat, die „Anbieter muss ein BAA unterzeichnen" lautet, erfüllt Schweizerform diese Zeile heute nicht, und wir tun nicht so, als wäre es anders.
Was Schweizerform hat, ist die architektonische Eigenschaft, um die es in der ganzen Spalte „Anbieter kann PHI technisch lesen?" geht. Jede Einreichung — einschliesslich Dateianhängen — wird im Browser des Befragten mit AES-256-GCM verschlüsselt, wobei der Schlüssel pro Einreichung mit dem öffentlichen RSA-OAEP-2048-Schlüssel des Formulars umhüllt wird. Der private Schlüssel des Besitzers ist durch einen Master Key geschützt, der aus seinem Access Code abgeleitet wird und das Gerät nie verlässt. Unsere Server, ausschliesslich in der Schweiz bei Infomaniak gehostet, speichern nur Chiffretext. Wir halten keine Schlüssel. Wir können Einreichungen nicht entschlüsseln — nicht für Support, nicht für Analytik, nicht unter einer Schweizer rechtlichen Anfrage. Das ändert das Risikogespräch: Es gibt auf unserer Seite keine lesbare PHI, über die ein BAA Verantwortung verteilen müsste, weil es auf unserer Seite überhaupt keine lesbare PHI gibt.
Die ehrliche Schweizerform-Position
Für US-Covered-Entities: Eine Zero-Knowledge-Architektur bedeutet, dass der Anbieter nie lesbare PHI besitzt, was eine spürbar andere Risikoposition ist als ein BAA-Modell mit anbietergehaltenen Schlüsseln. Aber das ist ein architektonisches Argument, kein schlüsselfertiges HIPAA-Paket, und ein BAA kann für Sie weiterhin eine harte Beschaffungsanforderung sein. Wenn ja, sollten Sie Anbieter evaluieren, die ein BAA als Teil ihres Kernprodukts anbieten, und diese Entscheidung mit Ihrer eigenen HIPAA-Compliance-Beratung treffen. Uns ist eine klare Wahl lieber als eine spätere Überraschung.
Es gibt auch ein zweites Publikum, das diese Seite nicht verlieren sollte. Für Gesundheits- und gesundheitsnahe Organisationen ausserhalb der USA — in der Schweiz, der EU und dem weiteren EWR — ist HIPAA schlicht nicht der massgebliche Rahmen. Die relevanten Regimes sind das Schweizer nDSG und die DSGVO (einschliesslich der Artikel-9-Regeln für besondere Kategorien von Gesundheitsdaten). Das ist Heimterrain für Schweizerform: Schweizer Hosting, Schweizer Jurisdiktion ausserhalb der Reichweite des US CLOUD Act, keine US-Subprozessoren im Einreichungs-Datenpfad und Zero-Knowledge-Verschlüsselung auf jedem Plan einschliesslich des Gratis-Tiers. Für diese Käufer ist die BAA-Frage ein Ablenkungsmanöver, und die Verschlüsselungs-und-Souveränitäts-Frage ist die, die zählt.
Ein Entscheidungsrahmen
Führen Sie diese fünf Schritte der Reihe nach aus, und die Anbieterfrage beantwortet sich meist von selbst.
Bestimmen Sie, ob Sie Covered Entity oder Business Associate sind
HIPAA gilt nur, wenn Sie eine US-Covered-Entity (die meisten Anbieter, Versicherer, Clearingstellen) oder ein Business Associate für eine solche sind. Eine Schweizer Klinik oder eine EU-Forschungsgruppe untersteht dem nDSG und der DSGVO, nicht HIPAA. Bringen Sie das zuerst in Ordnung; es entscheidet, ob die BAA-Frage Sie überhaupt betrifft.
Klassifizieren Sie die Formulardaten
Ist das, was das Formular erfasst, tatsächlich PHI (individuell identifizierbare Gesundheitsinformation, erstellt oder empfangen in Ihrer abgedeckten Eigenschaft), oder allgemeine personenbezogene Daten, oder nicht identifizierbar? Wenden Sie hier gleich Minimum-Necessary an: Streichen Sie Felder, die aus Gewohnheit statt Notwendigkeit existieren. Die Klassifizierung setzt die Messlatte für alles Weitere.
Entscheiden Sie Ihren Weg: BAA-erforderlich oder E2EE-bevorzugt
Wenn Sie eine US-Covered-Entity sind, die PHI verarbeitet, ist ein BAA mit jedem Anbieter, der diese PHI berührt, nicht verhandelbar — das ist der BAA-erforderliche Weg und verweist Sie auf Google Workspace, Microsoft 365, JotForm, Cognito Forms oder Formstack im passenden Tier. Wenn Ihre Priorität ist, dass kein Anbieter die Daten überhaupt lesen kann — häufig bei Whistleblower-, grenzüberschreitenden oder souveränitätsgetriebenen Workloads — ist das der E2EE-bevorzugte Weg und verweist Sie auf eine Zero-Knowledge-Architektur.
Verifizieren Sie Anbieterbehauptungen schriftlich
Akzeptieren Sie kein Marketing-Abzeichen. Für einen BAA-Weg: Bestätigen Sie, dass das BAA das konkrete Produkt und Plan-Tier abdeckt, das Sie nutzen werden (Gratis-Google-Forms ist die klassische Falle), und lassen Sie es ausführen, bevor echte Einreichungen fliessen. Für einen E2EE-Weg: Bestätigen Sie, dass die Schlüssel wirklich clientseitig gehalten werden und der Anbieter nicht entschlüsseln kann — „verschlüsselte Felder" mit anbietergehaltenen Schlüsseln ist nicht dieselbe Behauptung wie Zero-Knowledge.
Dokumentieren Sie die Entscheidung
Schreiben Sie auf, welchen Weg Sie gewählt haben und warum, welcher Rahmen gilt (HIPAA, nDSG, DSGVO), was der Anbieter unterzeichnet hat oder was die Architektur garantiert und wie die Datenklassifizierung das stützt. Wenn eine Aufsicht oder ein Auditor je fragt, ist die dokumentierte Begründung das, was aus einer verteidigbaren Wahl eine nachweisbare macht.
Das Fazit
„Ist es HIPAA-konform?" und „Unterzeichnen sie ein BAA?" sind zwei Fragen, und die ehrliche Mainstream-Antwort ist über Google Workspace, Microsoft 365, JotForm, Cognito Forms und Formstack hinweg konsistent: Ja, ein BAA ist auf dem passenden bezahlten oder Enterprise-Tier verfügbar, und ja, der Anbieter kann Ihre PHI weiterhin technisch lesen, weil so Verschlüsselung mit anbietergehaltenen Schlüsseln funktioniert. Das BAA ist die Kontrolle, die diesen Zugriff regelt. Für US-Covered-Entities ist dieses Modell gut eingespielt und oft genau richtig — verifizieren Sie nur, dass es das konkrete Produkt und den Plan abdeckt, den Sie tatsächlich nutzen.
Der Punkt, für den diese Seite existiert, ist: Ein BAA ist keine Verschlüsselungsstrategie. Es verteilt Verantwortung für lesbare PHI; es macht die PHI nicht unlesbar. Ende-zu-Ende-Zero-Knowledge-Verschlüsselung ist die architektonische Alternative — der Anbieter kann PHI gar nicht lesen — und das ist eine wirklich andere Position, auch wenn sie im Fall von Schweizerform ohne BAA kommt und kein schlüsselfertiges US-HIPAA-Paket ist. Wählen Sie den Weg, der Ihren Pflichten entspricht, verifizieren Sie die Behauptung schriftlich und dokumentieren Sie warum.
Wenn Sie eine US-Covered-Entity sind, die ein BAA braucht, wählen Sie einen Anbieter, dessen Kernprodukt eines anbietet, und bestätigen Sie, dass es Ihren Plan abdeckt. Wenn Ihre Priorität ist, dass kein Anbieter — nicht einmal wir — die Daten lesen kann, sind Schweizerforms Zero-Knowledge-Architektur, Schweizer Hosting und natives EN / DE / FR / IT einen näheren Blick wert, besonders für nDSG- und DSGVO-regulierte Gesundheits-Workloads ausserhalb der USA.
Haftungsausschluss: Dieser Vergleich ist allgemeine Information und Marketinginhalt, keine rechtliche, regulatorische oder Compliance-Beratung. Wettbewerbsdetails zu Google, Microsoft, JotForm, Cognito Forms und Formstack (BAA-Verfügbarkeit, Plan-Tiers, HIPAA-Funktionen, Verschlüsselungsverhalten, Datenstandort) geben öffentlich verfügbare Informationen zum Zeitpunkt der Erstellung wieder und können sich ändern — prüfen Sie aktuelle Details direkt bei jedem Anbieter, bevor Sie Beschaffungs- oder Compliance-Entscheidungen treffen. Schweizerform bietet kein HIPAA-BAA an und ist nicht als HIPAA-Anbieter positioniert. US-HIPAA-Programmentscheidungen sollten von qualifizierter US-Healthcare-Compliance-Beratung geprüft werden. Alle Produkt- und Firmennamen sind Marken ihrer jeweiligen Inhaber und werden hier ausschliesslich zum sachlichen Vergleich genannt.