WeTransfer DSG-konform nutzen: Was Sie beachten müssen – und wann es nicht reicht
Kurzfassung: WeTransfer ist praktisch, weit verbreitet und in vielen Schweizer Büros die Standardlösung für grössere Dateien. Mit dem revidierten Datenschutzgesetz (revDSG) seit September 2023 und der anhaltenden Diskussion um den US CLOUD Act stellt sich aber die Frage, ob der Dienst in seiner Standardnutzung noch zeitgemäss ist. Dieser Artikel erklärt, was rechtlich gilt, wann WeTransfer vertretbar ist – und wann es eine Schweizer Alternative braucht.
Eine typische Szene aus einem Schweizer Architekturbüro: Die Projektleiterin muss einem Ingenieur ein 400 MB grosses Planpaket schicken. Der Mailserver limitiert Anhänge auf 25 MB. Also die reflexartige Lösung: WeTransfer-Link generieren, Mail schreiben, fertig. Gleiche Szene, jeden Tag, in tausenden von Schweizer Büros, Kanzleien und Praxen.
Die Frage, die dabei fast nie gestellt wird: Ist das eigentlich mit Schweizer Datenschutz vereinbar? Die Antwort ist nicht einfach "Ja" oder "Nein" – sie hängt davon ab, was übertragen wird, an wen, und was Ihre Organisation an Compliance dokumentieren muss.
Was genau ist WeTransfer?
WeTransfer ist ein Filesharing-Dienst, der 2009 in den Niederlanden gegründet wurde. Das Geschäftsmodell basiert auf temporären Download-Links: Absender laden Dateien hoch, Empfänger erhalten einen Link per E-Mail und können die Dateien für eine begrenzte Zeit herunterladen. 2020 wurde das Unternehmen an die italienische Bending Spoons Gruppe verkauft. Die technische Infrastruktur läuft auf Amazon Web Services (AWS) mit Servern in Europa und den USA.
Für Nutzer ist WeTransfer attraktiv, weil es so wenig Reibung hat: keine Registrierung nötig, kein App-Download, einfache Bedienung. Genau diese Einfachheit hat den Dienst zum Quasi-Standard für Einmal-Dateitransfers in Europa gemacht.
Das revDSG und was es für Dateitransfers bedeutet
Seit 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz. Für den Versand von Dateien sind vor allem drei Aspekte relevant.
Angemessene Datensicherheit (Art. 8 revDSG)
Verantwortliche müssen die Datensicherheit durch "geeignete technische und organisatorische Massnahmen" gewährleisten. "Angemessen" bedeutet dabei: abhängig vom Risiko der verarbeiteten Daten. Für gewöhnliche Geschäftsunterlagen gilt ein anderer Massstab als für vertrauliche oder datenschutzsensible Informationen.
Auftragsbearbeitung (Art. 9 revDSG)
Sobald Sie einen externen Dienst nutzen, um Personendaten zu verarbeiten, wird dieser Dienst zum sogenannten Auftragsbearbeiter. Sie brauchen einen Vertrag – den Auftragsverarbeitungsvertrag (AVV) – der Sicherheit, Subunternehmer und Meldepflichten regelt. Ohne AVV ist die Auftragsbearbeitung nicht zulässig.
Datenbekanntgabe ins Ausland (Art. 16 revDSG)
Werden Daten in Länder übermittelt, die keinen angemessenen Datenschutz gewährleisten (nach Ansicht des EDÖB), braucht es zusätzliche Garantien. Die USA gelten grundsätzlich als solches Land – mit Ausnahme zertifizierter Anbieter im Rahmen des Swiss-U.S. Data Privacy Framework.
WeTransfer im revDSG-Check: drei Schwachpunkte
1. Kein Schweizer Datenstandort
WeTransfer betreibt seine Infrastruktur auf AWS. Die Server stehen in Europa und – je nach Routing – auch in den USA. Auch wenn Ihre Datei primär in einem EU-Rechenzentrum liegt, bleibt Bending Spoons ein europäisches Unternehmen mit starker US-Infrastrukturabhängigkeit. Ein Anwaltsdokument, eine Patientendiagnose oder die Lohnabrechnung eines Mandanten liegen damit auf Servern, die nicht Schweizer Recht unterstehen.
2. Keine Ende-zu-Ende-Verschlüsselung
WeTransfer verschlüsselt den Übertragungsweg (TLS) und die Daten at-rest auf den Servern. Was es nicht tut: die Daten vor dem Upload auf dem Gerät des Absenders zu verschlüsseln. Das heisst, WeTransfer selbst – und damit theoretisch auch AWS oder behördliche Zugriffe – kann auf die unverschlüsselten Inhalte zugreifen. Für einen reinen Werbefilm ohne Personenbezug ist das irrelevant. Für eine Steuererklärung, einen Arztbericht oder einen Mandantenvertrag ist es das nicht.
3. AVV in der Standardversion eingeschränkt
WeTransfer bietet für zahlende Business-Kunden einen Data Processing Agreement (DPA) nach DSGVO. Für die kostenlose Version existiert kein individueller AVV. Das bedeutet: Wenn Ihre Mitarbeiterin spontan die Gratis-Variante nutzt, bewegt sich Ihre Organisation ohne Auftragsverarbeitungsvertrag – ein klarer revDSG-Verstoss, sobald Personendaten im Spiel sind.
Wann WeTransfer (noch) vertretbar ist
Nicht jede Datei ist gleich sensibel. Bei nüchterner Betrachtung gibt es Szenarien, in denen WeTransfer akzeptabel bleibt.
- Öffentliche oder quasi-öffentliche Inhalte: Marketing-Videos, Pressebilder, öffentlich zugängliche Dokumente.
- Interne, unsensible Arbeitsdateien: Moodboards, CAD-Exporte für Entwürfe ohne Personenbezug.
- B2B-Dokumente ohne Personendaten und ohne Geschäftsgeheimnisse: Produktdatenblätter, Anleitungen.
Wann WeTransfer klar nicht mehr reicht
Umgekehrt gibt es Einsatzfelder, in denen WeTransfer in der Standardversion nicht mehr die richtige Wahl ist.
Anwaltliche Mandatsunterlagen
Verträge, Gerichtsunterlagen, Due-Diligence-Dokumente. US- und EU-Clouds sind hier problematisch, weil extraterritoriale Zugriffe möglich sind.
Finanzdaten und Lohnunterlagen
Jahresabschlüsse, Steuererklärungen, Lohnausweise – Treuepflicht von Treuhändern und Steuerberatern.
Personalakten und HR-Daten
Bewerbungsunterlagen, Arbeitszeugnisse, Beurteilungen: personenbezogene Daten mit hohem Schutzbedarf.
Der CLOUD Act – und warum "EU-Server" nicht automatisch reichen
Ein oft genanntes Gegenargument: "WeTransfer nutzt doch EU-Server, dann ist das doch DSGVO/DSG-konform." Die Antwort ist juristisch differenzierter.
Der US CLOUD Act von 2018 erlaubt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen – unabhängig vom Speicherort. Das greift bei AWS, Google Cloud, Azure und anderen US-Infrastruktur-Anbietern. Selbst wenn WeTransfer als EU-Dienst formal datenschutzkonform ist, sitzt ein Teil seiner Infrastruktur im Reichweitenbereich des CLOUD Acts.
In der Datenschutzdiskussion wird betont, dass für vertrauliche Daten und Personendaten eine reine "EU-Server"-Zusicherung bei US-Anbietern nicht ausreichend sein kann. Als sicherere Lösung gilt eine Infrastruktur ausserhalb der US-Jurisdiktion – oder eine Verschlüsselungsarchitektur, die den Anbieter strukturell vom Zugriff ausschliesst.
Die Schweizer Alternativen im Vergleich
Angaben zu Drittanbietern nach öffentlich verfügbaren Informationen (Stand: April 2026). Ohne Gewähr für Vollständigkeit oder Aktualität.
| Anbieter | Hosting | E2E | AVV | Zielgruppe |
|---|---|---|---|---|
| WeTransfer (Pro) | EU/USA (AWS) | Nein | Ja (DSGVO) | Einmal-Transfers, Kreativbranche |
| SwissTransfer | CH (Infomaniak) | Nein | Prüfen | Einmal-Transfers, Privatnutzer |
| Proton Drive | CH | Ja | Ja | Privacy-bewusste Einzelnutzer |
| Tresorit | CH/EU | Ja | Ja | Grosse Enterprises, IT-Teams |
| VaultDrop | CH (Zürich) | Ja | Ja (CH-Recht) | KMU, Praxen, Kanzleien, Treuhänder |
| kDrive (Infomaniak) | CH | Nein | Ja | Allgemeine Dateispeicherung |
Praktische Checkliste für die Entscheidung
- 1
Welche Daten gehen raus?
Öffentlich, intern, vertraulich – welche Kategorie?
- 2
Wer ist der Empfänger und wo sitzt er?
Interner Kollege, Schweizer Partner, internationale Gegenseite?
- 3
Haben Sie einen AVV mit dem genutzten Dienst?
Wenn nein und Personendaten im Spiel sind: revDSG-Problem.
- 4
Würden Sie die gleichen Daten auf eine Postkarte schreiben?
Wenn nein: unverschlüsselte Übertragung ist keine passende Metapher für den Transport.
- 5
Können Sie im Ernstfall belegen, wann was an wen gegangen ist?
Der revDSG-Art. 24 verlangt im Fall einer Datenpanne Meldung binnen 72 Stunden.
Häufige Einwände und Realitätscheck
“WeTransfer löscht doch alles nach 7 Tagen, das ist doch sicher genug.”
Die Löschung ist ein Datenminimierungs-Aspekt, aber sie ändert nichts an der fehlenden Ende-zu-Ende-Verschlüsselung und am AWS-Hosting während der Speicherdauer.
“Die Gratis-Version reicht für uns, wir brauchen keinen AVV.”
Sobald Personendaten transferiert werden, ist der AVV Pflicht. Die Gratis-Version ohne AVV ist für geschäftliche Personendatenverarbeitung nicht zulässig.
“Unsere Kunden nutzen WeTransfer, also müssen wir das auch.”
Sie sind trotzdem für Ihre eigene DSG-Konformität verantwortlich. Sie können selbst eine konforme Lösung anbieten und Kunden darauf umleiten – das wird in der Praxis selten abgelehnt.
“WeTransfer ist einfach. Alles andere ist komplizierter.”
Der Bedienunterschied ist bei modernen Schweizer Lösungen minimal. Ein Link wird generiert, eingefügt, versendet. Die Unterschiede liegen in Dashboard und Team-Verwaltung, nicht im Einzel-Upload.
Fazit
WeTransfer ist nicht pauschal "DSG-widrig". Für öffentliche und unsensible Dateien ist der Dienst weiterhin einsetzbar – vorausgesetzt, die Pro-Version mit AVV ist aktiv und die Nutzer verstehen die Grenzen.
Für alles, was Personendaten enthält, ist WeTransfer in der Standardversion nicht mehr die richtige Wahl. Wer in Ihrer Organisation regelmässig solche Dateien bewegt – Arztpraxen, Anwaltskanzleien, Treuhandbüros, HR-Abteilungen, Versicherungen – profitiert von einer dedizierten Schweizer Lösung mit Ende-zu-Ende-Verschlüsselung und Team-Dashboard.
Hinweis: Dieser Artikel ist ein allgemeiner Überblick und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben zu Drittanbietern beruhen auf öffentlich verfügbaren Informationen und können sich ändern.
DSG-konformer Dateitransfer für Ihr Unternehmen?
VaultDrop: Ende-zu-Ende-verschlüsselt, Schweizer Hosting, AVV nach Schweizer Recht. Kostenlos testen – ohne Kreditkarte.