Incognify
AnmeldenKostenlos testen
Alle Beiträge
Compliance 4. Juli 2026 7 Min. Lesezeit

Bussen unter dem nDSG: Was Sozialwerke jetzt wissen müssen

Bussen unter dem nDSG: Was Sozialwerke jetzt wissen müssen

Seit dem revidierten Datenschutzgesetz sind Bussen bis CHF 250'000 möglich — und sie treffen im Grundsatz die verantwortliche natürliche Person, nicht nur die Organisation. Für Trägerleitungen im Sozialwesen ist das der Punkt, an dem Datenschutz zur persönlichen Governance-Frage wird.

Der Unterschied, der zählt: Bussen adressieren Personen, nicht Firmen

In der DSGVO-Praxis der EU sind Datenschutzbussen ein Organisationsthema. Aufsichtsbehörden verhängen Bussgelder gegen Unternehmen und Vereine, orientiert an einem Prozentsatz vom Weltjahresumsatz (Art. 83 DSGVO — bis zu 4 %). Wer die Zeitung liest, kennt die Zahlen: Millionenbussen gegen internationale Konzerne.

Das Schweizer Datenschutzgesetz geht einen anderen Weg. Nach Art. 60 bis 63 des revidierten Datenschutzgesetzes (nDSG) werden verantwortliche natürliche Personen gebüsst — die Geschäftsleitung, die Fachstellen-Leitung, die Person, die einen Cloud-Dienst freigegeben hat. Die Busse liegt bei bis zu CHF 250'000. Ein Ersatz-Bussgeld gegen die Organisation gibt es (Art. 64 nDSG) nur dann, wenn die Ermittlung der individuellen Täter:in unverhältnismässig aufwendig wäre — und liegt dann bei maximal CHF 50'000.

Für ein Sozialwerk mit Trägerbudget im tiefen bis mittleren siebenstelligen Bereich klingt CHF 50'000 zunächst nach der grösseren Zahl. Praktisch ist es umgekehrt: Die CHF 250'000 hängen nicht am Verein, sondern am Vorstand.

Hinweis: Dieser Text bietet Orientierung, keine Rechtsberatung. Für konkrete Fälle prüfen Sie den Sachverhalt mit einer Datenschutz-Fachstelle oder juristischen Beratung. Kantonale Sozialhilfe- und KESB-Gesetze sowie das Berufsgeheimnis (Art. 320/321 StGB) können zusätzliche Straftatbestände auslösen.

Wann wird überhaupt gebüsst? Nur bei Vorsatz — aber Eventualvorsatz genügt

Ein Punkt entlastet stark, ein zweiter Punkt verpflichtet stark:

Entlastung: Fahrlässigkeit ist nicht bussgeldbewehrt

Wer einen Datenschutzfehler versehentlich macht — schlecht geschulte Mitarbeiter:in kopiert einen Klartext-Namen in ChatGPT — löst keinen Bussgeldtatbestand aus. Das ist ein deutlicher Unterschied zur DSGVO.

Verpflichtung: Eventualvorsatz genügt

Wer eine unrechtmässige Bearbeitung ernsthaft für möglich hält und billigend in Kauf nimmt, handelt vorsätzlich. Für eine Trägerleitung heisst das: Sobald bekannt ist, dass im Team KI-Tools mit Klient:innendaten verwendet werden, und keine Weisung, kein Vorfilter, keine Kontrolle greift, bewegt sich die Verantwortung Richtung Eventualvorsatz.

Die Bussgeld-Bedingung Vorsatz ist also kein Freibrief. Sie ist eine Verpflichtung zur aktiven Governance.

Die vier Bussgeld-Artikel im Sozialwesen-Alltag

Alle vier Tatbestände setzen Vorsatz voraus, alle vier sehen Bussen bis CHF 250'000 vor — und alle vier sind für Trägerleitungen abstrakt formuliert. Es geht nicht um Absicht zu schaden, sondern um wissentliche Inkaufnahme.

Art. 60 nDSG — Informations-, Auskunfts- und Mitwirkungspflichten

Klient:innen haben ein Auskunftsrecht (Art. 25 nDSG). Wer Anfragen ignoriert, nicht fristgerecht bearbeitet oder falsch beantwortet, riskiert Busse.

Art. 61 nDSG — Verletzung von Sorgfaltspflichten

Nutzung eines US-Cloud-Dienstes ohne Auftragsbearbeitungsvertrag, ohne Standardvertragsklauseln, ohne technische Absicherung — Datenexport ohne Vorkehrungen, Auftragsbearbeitung ohne Vertrag, ungenügende Datensicherheit.

Art. 62 nDSG — Verletzung der beruflichen Schweigepflicht

Weitergabe von Klient:innendaten aus dem Sozialbericht an Dritte (Cloud-KI = Dritte), wenn eine gesetzliche Schweigepflicht besteht.

Art. 63 nDSG — Missachtung von Verfügungen des EDÖB

Eine Untersuchung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten läuft und eine Verfügung wird nicht befolgt.

Fallszenario: Träger mit KI-Piloten (fiktiv)

Ein privater Träger im Kanton Zürich, rund 30 Mitarbeitende, 700 laufende Mandate. Die Geschäftsführung — nennen wir sie Andrea, 51, Jurist:in mit Führungserfahrung — hat vor sechs Monaten einen internen KI-Piloten grünlich abgenickt: «Team darf ChatGPT ausprobieren, aber bitte vorsichtig.» Kein schriftliches Merkblatt, kein Vorfilter, keine Freigabeliste, keine Protokollierung.

Ein Zufallsfund sechs Monate später löst eine Abklärung aus. Ein Sozialbericht mit vollem Namen, Diagnose und Verdachtsmomenten war Teil einer ChatGPT-Konversation, in der die Fachperson um Formulierungshilfe gebeten hat. Der EDÖB prüft.

Für die Geschäftsführung stellt sich nicht die Frage, ob die betroffene Fachperson Vorsatz hatte — sie hat plausibel fahrlässig gehandelt. Die Frage ist, ob die Geschäftsführung selbst mit Eventualvorsatz gehandelt hat: Sie wusste um die KI-Nutzung, wusste um das Berufsgeheimnis, wusste um die Datenschutzpflichten — und hat kein wirksames Kontrollsystem installiert. Damit stehen Art. 61 (Sorgfalt) und Art. 62 (Berufsgeheimnis) im Raum.

Alle Personen und Details sind fiktiv und dienen der Illustration.

Vier Governance-Schritte, die den Vorsatz-Vorwurf entkräften

Der wirksamste Schutz gegen den persönlichen Bussgeld-Vorwurf ist eine dokumentierbare, gelebte Governance. Vier Schritte, die diese Woche umsetzbar sind:

1. Weisung Datennutzung und KI verabschieden: Ein einseitiges Dokument, vom Vorstand signiert, mit klaren Antworten: Welche Tools sind freigegeben. Welche Datenkategorien dürfen rein. Wer entscheidet in Zweifelsfällen. Das Dokument ist der Beleg, dass die Leitung Verantwortung wahrgenommen hat.

2. Bearbeitungsverzeichnis führen und pflegen: Art. 12 nDSG verlangt das Verzeichnis. Für die Bussgeld-Frage wichtiger: Es zeigt, dass die Organisation weiss, welche Daten wohin fliessen — und legt offen, wo Auftragsbearbeitungsverträge fehlen.

3. Vor-Filterung an der Werkzeugkante installieren: Wo Cloud-KI genutzt werden darf, gehört eine technische Anonymisierungs-Ebene davor. Namen, Adressen, Diagnosen, Fallnummern werden ersetzt, bevor der Text den Träger verlässt. Ohne diesen Filter ist die Aussage 'wir haben nichts gewusst' strukturell nicht mehr haltbar.

4. Protokollieren: Jede KI-Anfrage, jeder Anonymisierungsvorgang, jede Zurückführung wird technisch protokolliert. Das ist der Nachweis, dass die Governance nicht nur auf dem Papier steht.

Wo Incognify Governance-Nachweis liefert

Incognify erkennt personenbezogene Daten (PII) automatisch — Namen, Adressen, Diagnosen, Fallnummern, KESB-Aktenzeichen, IBAN-Nummern — und ersetzt sie durch stabile Platzhalter, bevor Text an ChatGPT, Claude oder Gemini geht. Die Zuordnung bleibt lokal beim Träger. Nach der KI-Antwort werden die Platzhalter aufgelöst. Jeder Vorgang wird protokolliert.

Für eine Trägerleitung heisst das: Die KI-Nutzung im Team wird zum kontrollierten, dokumentierten Standardpfad. Wenn eine Aufsichtsanfrage kommt, gibt es Weisungen, Verzeichnisse und Protokolle. Der Eventualvorsatz-Vorwurf verliert seine Grundlage.

Häufige Fragen

Wenn wir keine Weisung haben und der Fehler beim Team liegt — bin ich als Leitung wirklich persönlich haftbar?

Möglich, ja. Der Bussgeldtatbestand richtet sich gegen die verantwortliche natürliche Person. Wer als Geschäftsleitung eine Praxis kennt und keine wirksame Kontrolle einrichtet, riskiert eine Eventualvorsatz-Zurechnung. Die Details klärt eine juristische Prüfung im konkreten Fall.

Reicht ein internes Verbot von ChatGPT?

Als Startpunkt ja, dauerhaft nein. Ein Verbot ohne Alternative wird umgangen, sobald das Werkzeug spürbar Zeit spart. Nachhaltig ist der kontrollierte Pfad: freigegebene Tools, Vorfilter, Weisung, Protokoll.

Wir arbeiten überwiegend mit KESB-Aufträgen. Ändert das etwas?

Zusätzliche Pflichten aus dem Amtsgeheimnis der KESB, kantonalen Sozialhilfegesetzen und Art. 320/321 StGB kommen hinzu. Das Berufsgeheimnis nach Art. 62 nDSG steht in enger Verbindung zu diesen Straftatbeständen. Die Governance-Schritte oben bleiben derselbe wirksame Kern.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.