Incognify
AnmeldenKostenlos testen
Alle Beiträge
KI & Datenschutz 25. Juni 2026 7 Min. Lesezeit

Berufsgeheimnis im Sozialwesen: Welche Daten es schützt und wofür Sie haften

Art. 35 nDSG und Art. 320 StGB sind nicht nur Jura-Sätze. Sie entscheiden, welche Datei Sie an wen weitergeben dürfen — und was passiert, wenn etwas schiefläuft.

Worum es geht

Wer im Sozialwesen arbeitet, erfährt Dinge, die Klient:innen sonst niemandem erzählen. Schulden, Suchterkrankungen, häusliche Gewalt, ein Verdacht der Kindeswohlgefährdung, eine offene Strafsache. Das ist keine Sammelinformation für die nächste Helferkonferenz, sondern hochsensible Personendaten — und in vielen Fällen geschützt durch das Berufsgeheimnis.

Drei Dinge werden hier oft vermischt: das strafrechtliche Berufsgeheimnis (Art. 320 StGB), das datenschutzrechtliche Vertraulichkeitsgebot (Art. 35 nDSG; Art. 5 DSGVO) und die kantonalen oder organisationsinternen Schweigepflichten (Sozialhilfegesetze, Anstellungsverträge). Sie überschneiden sich, sie schliessen sich nicht aus — und Sie als Fachperson haften für alle drei gleichzeitig.

Dieser Beitrag erklärt, welche Daten konkret geschützt sind, wann eine Weitergabe trotzdem zulässig ist und welcher Workflow Ihre Organisation vor den häufigsten Fallstricken bewahrt.

Was das Berufsgeheimnis schützt — konkret

Geschützt ist alles, was Sie in Ausübung Ihrer Funktion über eine konkrete Person erfahren — unabhängig davon, ob die Information mündlich, schriftlich, per Bild oder als Metadatum vorliegt. Dazu gehören:

Identifizierende Daten: Name, Adresse, Geburtsdatum, AHV- oder Sozialversicherungsnummer, Fallnummer, E-Mail, Telefon.
Beziehungs- und Lebensdaten: Familiensituation, Wohnverhältnisse, Beschäftigungsstand, finanzielle Lage, Migrationsstatus.
Besonders schützenswerte Daten: Im Sinne von Art. 5 lit. c nDSG / Art. 9 DSGVO: Gesundheit, Sucht, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung, biometrische und genetische Daten, Daten zu Sozialhilfe oder Massnahmen, Strafen.
Verhaltens- und Verlaufsdaten: Kontaktverläufe, Gesprächsnotizen, Verhaltensbeobachtungen, fachliche Einschätzungen.
Metadaten: Etwa eine Terminliste, aus der hervorgeht, dass eine Person beraten wird.

Die Faustregel: Wenn die Information eine Person identifizierbar macht und Sie sie nur deshalb haben, weil Sie diese Rolle ausüben, ist sie geschützt. Auch Fallnummern, anonymisiert wirkende Aktenzeichen oder Kombinationen aus Beruf, Wohnort und Familienstand können eine Person identifizierbar machen.

Die drei Normen im Klartext

Art. 320 StGB (Verletzung des Amtsgeheimnisses) trifft Sie, wenn Sie als Sozialarbeiter:in im öffentlichen Dienst oder in Erfüllung einer öffentlich-rechtlichen Aufgabe ein Geheimnis offenbaren, das Ihnen anvertraut wurde. Vorgesehen ist Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Massgeblich ist nicht, ob ein Schaden entsteht — die Offenbarung allein genügt. Quelle: admin.ch — StGB Art. 320.

Art. 35 nDSG (Schweigepflicht) verlangt von allen Personen, die für eine Bundesbehörde Personendaten bearbeiten, dass sie geheim halten, was sie dabei erfahren. Vergleichbare Pflichten ergeben sich in den meisten Sozialhilfe- und Sozialdienst-Gesetzen der Kantone. Quelle: admin.ch — Datenschutzgesetz.

Art. 9 DSGVO stuft Gesundheits-, Sozial- und Strafdaten EU-weit als besondere Kategorien personenbezogener Daten ein — und damit auch in Deutschland und Österreich. Eine Verarbeitung, zu der auch jede Weitergabe an einen Dienstleister gehört, ist nur unter eng definierten Voraussetzungen erlaubt. Quelle: eur-lex — DSGVO Art. 9.

Für NGOs, die nicht öffentlich-rechtlich tätig sind, gilt Art. 320 StGB nicht direkt — dort sichern arbeitsvertragliche Schweigepflichten und allenfalls Art. 321 StGB (für klar geregelte Berufe wie Ärzt:innen, Anwält:innen, Pflegepersonen) den Schutz ab. Die datenschutzrechtliche Vertraulichkeit aus nDSG und DSGVO bleibt unverändert anwendbar.

Hinweis: Dies ist keine Rechtsberatung. Für die genaue Reichweite des Berufsgeheimnisses in Ihrer Organisation und Ihrem Kanton ziehen Sie bitte die zuständige Datenschutzberatung oder die kantonale Aufsicht hinzu.

Wann eine Weitergabe trotzdem zulässig ist

Das Berufsgeheimnis ist nicht absolut. Es kennt drei Wege, wie eine Weitergabe rechtlich abgesichert werden kann:

1

Einwilligung der betroffenen Person

Klar, schriftlich, zweckgebunden, jederzeit widerrufbar. Pauschale Generaleinwilligungen genügen nicht — Empfänger und Zweck müssen benannt sein.

2

Gesetzliche Mitteilungspflicht oder -berechtigung

Etwa die Gefährdungsmeldung an die KESB (Art. 314c ZGB), Meldepflichten gegenüber Strafverfolgungsbehörden oder kantonale Sozialhilferegelungen.

3

Entbindung vom Berufsgeheimnis

Durch die vorgesetzte Stelle oder die zuständige Aufsicht (Art. 320 Ziff. 2 StGB; entsprechende kantonale Verfahren).

Was nicht ausreicht: eine mündliche Zusage, ein Kollegen-Chat ohne ausdrückliche Rolle, ein beiläufiger Hinweis an die Schulsozialarbeit. Wer ohne tragfähigen Erlaubnistatbestand offenbart, verletzt das Berufsgeheimnis — auch dann, wenn der Empfänger ebenfalls schweigepflichtig ist.

Was das Berufsgeheimnis bei Cloud-KI bedeutet

Das Berufsgeheimnis macht keinen Unterschied zwischen einem Brief und einem ChatGPT-Prompt. Wenn Sie Klient:innendaten in den Eingabeschlitz einer Cloud-KI tippen, übergeben Sie diese Daten an den Anbieter — meistens in einer Jurisdiktion, in der weder das nDSG noch die DSGVO unmittelbar greifen. Genau das ist eine Offenbarung im Sinne von Art. 320 StGB und eine Verletzung der nDSG-Vertraulichkeit.

Die häufige Annahme, es sei ja nur eine Formulierungshilfe, hilft hier nicht. Sobald der Prompt einen Namen, eine Diagnose oder eine Fallnummer enthält, ist die Schwelle überschritten — auch wenn die Antwort der KI später nichts davon enthält. Vertieft besprochen wird die Konstellation in Berufsgeheimnis und Cloud-KI.

Der zulässige Weg ist nicht weniger KI zu nutzen, sondern die Personendaten aus dem Prompt herauszunehmen, bevor dieser die Organisation verlässt. Das ist genau das, wofür Anonymisierungswerkzeuge wie Incognify gebaut sind.

Folgen einer Verletzung — realistisch betrachtet

Ein einzelner Verstoss zieht selten ein Strafverfahren nach sich. Die häufigsten praktischen Folgen sind:

Disziplinarische Massnahmen durch die Anstellungsbehörde oder die Trägerorganisation.
Aufsichtsanzeige beim Eidgenössischen Datenschutzbeauftragten oder der zuständigen kantonalen Aufsicht.
Bussen unter dem nDSG — bis CHF 250'000 für natürliche Personen bei vorsätzlichen Verstössen.
Reputationsschaden für die Organisation; in Krisensituationen Medienberichterstattung.
Zivilrechtliche Haftung gegenüber der betroffenen Person (Genugtuung, Schadenersatz).

Wirtschaftlich relevanter als die Busse ist meist der Vertrauensverlust gegenüber Klient:innen und Auftraggebern. Eine Trägerorganisation, die einen Schweigepflichtsfall öffentlich erklären muss, verliert in der Regel Mandate — über Monate, nicht über Wochen.

Schutz-Workflow für den Alltag

1

Datenkategorien einmal klären

Welche Daten sind in Ihrer Arbeit besonders schützenswert? Welche fallen zusätzlich unter kantonale Spezialgesetze? Diese Liste gehört auf eine Seite und in jedes Onboarding.

2

Tool-Inventar erstellen

Welche Tools nutzt Ihr Team — Mail, Cloud-Speicher, Office, Messenger, KI? Welche sind für besonders schützenswerte Daten freigegeben, welche nicht? Ein einfaches Ampel-Schema genügt.

3

Anonymisierung vorschalten

Wo Cloud-KI eingesetzt wird, werden personenbezogene Inhalte vor dem Prompt automatisch durch Platzhalter ersetzt. Erst die anonymisierten Texte verlassen die Organisation.

4

Nachweisbarkeit sichern

Speichern Sie für jeden KI-Einsatz die anonymisierte Eingabe und das Resultat. Im Aufsichts- oder Schadensfall belegen Sie damit, dass keine personenbezogenen Daten weitergegeben wurden.

Was Incognify hier tut

Incognify erkennt und ersetzt in deutschsprachigen Texten automatisch personenbezogene Daten: Namen, Adressen, Geburtsdaten, Fallnummern, Ortsbezüge, Institutionen, Telefonnummern, AHV- und Sozialversicherungsnummern. Die Verarbeitung läuft auf Schweizer Infrastruktur. Die Rückübersetzung der Platzhalter findet ausschliesslich in Ihrem Browser statt — die echten Werte verlassen Ihre Organisation zu keinem Zeitpunkt.

Damit kann Ihr Team Cloud-KI für Berichte, Korrespondenz und Recherche nutzen, ohne das Berufsgeheimnis zu verletzen — und mit einer nachweisbaren Spur für die Aufsicht.

Häufige Fragen

Reicht es, wenn ich einen Klarnamen durch die Initialen ersetze?

Nein. Initialen, Wohnort und Geburtsjahr machen eine Person oft eindeutig identifizierbar. Anonymisierung muss alle Identifikatoren und identifizierenden Kombinationen erfassen — das ist Aufgabe der Software, nicht Ihrer Stichprobenprüfung.

Darf ich mit einer Kollegin per Messenger über einen Fall sprechen, wenn niemand mithört?

Inhaltlich nur, wenn die Klient:in eingewilligt hat oder eine gesetzliche Erlaubnis besteht. Technisch zusätzlich nur über einen Messenger, den Ihre Organisation für besonders schützenswerte Daten freigegeben hat. Ein privater Chat-Account erfüllt das in der Regel nicht.

Was, wenn die KESB telefonisch Auskunft verlangt?

Sie sind im Rahmen einer gesetzlichen Mitteilungspflicht zur Auskunft berechtigt, aber nicht zu mehr Auskunft als nötig. Halten Sie Inhalt und Empfänger schriftlich fest. Bei Unsicherheit Rücksprache mit der vorgesetzten Stelle — vor der Auskunft, nicht danach.

Brauche ich eine Einwilligung, wenn ich für einen Bericht Daten an die Wohngemeinde weitergebe?

Wenn die Weitergabe nicht von einer ausdrücklichen kantonalen Erlaubnisnorm gedeckt ist, ja. Im Zweifel: Einwilligung einholen oder die Notwendigkeit der Weitergabe vorgängig durch die vorgesetzte Stelle prüfen lassen.

Wer haftet, wenn ich versehentlich Daten an eine falsche Mail-Adresse schicke?

Sie persönlich (Berufsgeheimnis, allenfalls Art. 320 StGB) und Ihre Organisation (nDSG/DSGVO). Beide Schienen können parallel laufen. Eine schnelle Meldung an die vorgesetzte Stelle und gegebenenfalls die Aufsicht ist Pflicht — und mildert in den meisten Fällen die Folgen.

Wenn Sie eines mitnehmen

Das Berufsgeheimnis schützt nicht abstrakt eine Idee, sondern konkret die Personen, die zu Ihnen ins Büro kommen. Die schärfste Regel ist gleichzeitig die einfachste: Personendaten gehören nicht in Tools, die Ihre Organisation nicht ausdrücklich für besonders schützenswerte Daten freigegeben hat. Wer das einmal sauber regelt — und für Cloud-KI eine Anonymisierung vorschaltet — hat die wichtigsten Stolperdrähte aus dem Alltag genommen.

Berufsgeheimnis wahren — KI trotzdem nutzen. Jetzt gratis testen

Weiterführend

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.