Die Aufsicht kündigt eine Datenschutz-Prüfung an. Sie haben acht Wochen. Was jetzt zählt, ist nicht Perfektion — sondern Nachweisbarkeit.
Lesezeit: ca. 8 Minuten · Zielgruppe: Trägerleitungen, Geschäftsführungen, Datenschutzbeauftragte in Sozialwerken (DACH).
Das Problem: Nachweise, nicht Bauchgefühl
Ein Datenschutz-Audit trifft Sozialwerke selten unerwartet, aber fast immer im unpassenden Moment. Ein Regelaudit der kantonalen Aufsicht, eine Kontrolle durch den EDÖB, eine Anfrage aus einem laufenden Beschwerdeverfahren — die Auslöser sind unterschiedlich, die Erwartung ist dieselbe: Sie zeigen, wie Sie personenbezogene Daten verarbeiten, warum, auf welcher Rechtsgrundlage, wie lange und wer Zugriff hat.
Der häufige Reflex: hektisches Zusammensuchen von PDFs, ein neu aufgesetztes Verzeichnis, eine schnell verfasste Datenschutzerklärung. Das genügt nicht. Aufsichten prüfen, was Sie im normalen Betrieb dokumentiert haben — nicht, was Sie in der Prüfungswoche produzieren. Ein Audit ist eine Nachweis-Übung, keine Kreativ-Aufgabe.
Was das Gesetz sagt
Zwei Regelwerke sind für DACH-Sozialwerke relevant: das revidierte Schweizer Datenschutzgesetz (nDSG) und die europäische Datenschutz-Grundverordnung (DSGVO). Beide fordern in der Auditierbarkeit ähnliche Nachweise, formulieren sie aber unterschiedlich.
Pflicht ab 250 Mitarbeitenden oder bei umfangreicher Bearbeitung besonders schützenswerter Personendaten — was auf jedes Sozialwerk mit Klientendaten zutrifft.
Pflicht bei hohem Risiko für die Persönlichkeit — Sozialhilfe-, Beistandschafts- und Gesundheitsdaten fallen regelmässig darunter.
Meldung an EDÖB so rasch als möglich (CH) bzw. innerhalb 72 Stunden (EU). Beide setzen einen dokumentierten internen Meldeweg voraus.
Jeder externe Dienstleister mit Zugriff auf Klient:innendaten braucht einen schriftlichen Auftragsverarbeitungsvertrag — auch Cloud-KI-Anbieter.
Hinweis: Dies ist keine Rechtsberatung. Für Einzelfälle — insbesondere kantonale Sozialhilfe- und KESB-Gesetze — beziehen Sie bitte Ihre juristische Stelle oder den kantonalen Datenschutzbeauftragten ein.
Wie das in der Praxis aussieht
Fiktives Fallbeispiel — dient nur der Illustration.
Der Träger „St. Katharina" ist ein mittelgrosses Sozialwerk: 45 Mitarbeitende, drei Standorte, Angebote in Jugendhilfe, Suchtberatung und begleitetem Wohnen. Die kantonale Aufsicht kündigt Ende Mai ein Audit für die zweite Augustwoche an. Die Geschäftsführerin Andrea hat neun Wochen. Sie ruft eine Audit-Vorbereitungsgruppe zusammen.
Bestandsaufnahme: Ein Verzeichnis existiert — von 2022, deckt drei neue Cloud-Tools nicht ab. Der AV-Vertrag mit dem Fallmanagement-Anbieter ist unterzeichnet, der mit dem KI-Anbieter fehlt ganz. Keine DSFA für Suchthilfe-Daten. Die letzte Datenschutz-Schulung liegt über zwei Jahre zurück.
Vier Lücken — typisch und in acht Wochen behebbar, wenn die Reihenfolge stimmt.
In 8 Schritten zum Audit
Halten Sie schriftlich fest, wer intern welche Rolle im Audit hat: Ansprechperson zur Aufsicht, Datenschutzbeauftragte:r (falls bestellt), operative Umsetzung, Rechtsstelle. Aufsichten stellen die Rollenfrage immer als erstes.
Übersicht aller Verarbeitungen, die personenbezogene Daten betreffen. Jeder Eintrag beantwortet: welche Daten, welcher Zweck, welche Rechtsgrundlage, wer hat Zugriff, wie lange, welche Massnahmen sichern sie ab.
Für Verarbeitungen mit hohem Risiko — Fallakten, KESB-Berichte, Sozialhilfe-Verfügungen, KI-Einsatz bei sensiblen Texten. Zwei bis vier A4-Seiten pro DSFA reichen — solange sie ehrlich sind.
Alle externen Dienstleister mit Datenzugriff: Fallmanagement, Buchhaltung, E-Mail-Provider, Backup, Cloud-KI. Für jeden: Existiert ein AV-Vertrag? Deckt er die tatsächliche Nutzung ab? Serverstandorte?
Strukturierte Übersicht: Zugriffskontrolle, Verschlüsselung, Löschkonzept, Backup, Berechtigungsmanagement, Passwort-Standards, Zwei-Faktor-Authentifizierung. Eine Tabelle pro System.
Testen: Wenn morgen eine Auskunftsanfrage eingeht — wer bearbeitet sie, in welcher Frist? Und wenn ein USB-Stick mit Fallakten verloren geht — wer meldet an die Aufsicht? Ein einseitiges Notfall-Prozessblatt genügt.
Teilnahmeliste der letzten Datenschutz-Schulung, unterzeichnete Vertraulichkeitserklärungen, interne Richtlinie. Fehlt aktuelles Material? 60-Minuten-Auffrischung genügt — Hauptsache dokumentiert.
Halber Tag: Prüfungspfad selbst durchgehen — Verzeichnis, DSFA, AV-Verträge, TOM auf dem Tisch. Jede Frage, auf die Sie nicht in unter fünf Minuten mit einem Dokument antworten können, ist Ihre To-do-Liste für Woche 8.
Was Incognify hier tut
Incognify entfernt personenbezogene Daten (PII) automatisch aus Texten, bevor diese an Cloud-KI-Dienste gehen. Für ein Audit bedeutet das zwei Dinge:
Keine separate DSFA für «Klient:innendaten in ChatGPT» Die Daten verlassen Ihre Kontrollsphäre nicht in identifizierbarer Form.
Direkter Nachweis für Datenminimierung Das Anonymisierungsprotokoll belegt technisch, was Art. 6 nDSG / Art. 5 DSGVO fordern — automatisch, bei jedem Prompt.
Häufige Fragen
Brauchen wir ein externes Beratungsmandat für die Audit-Vorbereitung?
Nicht zwingend. Wenn Sie intern eine klare Rollenverteilung haben, kommen Sie in acht Wochen weit. Externe Beratung lohnt sich bei komplexen Rechtsgrundlagen (interkantonal, europäische Auftraggeber) oder ohne strukturierte Datenschutz-Arbeit in den letzten drei Jahren.
Wir haben keinen Datenschutzbeauftragten bestellt. Ist das ein Problem?
In der Schweiz besteht keine allgemeine Bestellpflicht ausser für Bundesorgane. Nach DSGVO (Art. 37) besteht eine Bestellpflicht, wenn die Kerntätigkeit die umfangreiche Bearbeitung besonders schützenswerter Daten umfasst — für Sozialwerke in DACH-Kooperationen trifft das zu.
Was, wenn das Audit einen substanziellen Mangel findet?
Aufsichten sind primär an Behebung interessiert, nicht an Sanktionen. Ein realistischer Massnahmenplan mit Zeitachse ist der übliche Weg. Bussen unter dem nDSG (bis CHF 250'000 gegen natürliche Personen) werden in der Praxis erst bei wiederholten oder groben Verstössen verhängt.
Reicht das Verzeichnis-Template unseres Trägerverbands?
Als Startpunkt ja. Wichtig ist, dass Sie es auf Ihre reale Praxis anpassen — jede unausgefüllte Zeile ist im Audit ein Anknüpfungspunkt für Rückfragen.
Fazit
Ein Datenschutz-Audit im Sozialwerk ist keine juristische Kür, sondern eine strukturierte Nachweis-Übung. Wer in acht Schritten arbeitet — Rollen, Verzeichnis, DSFA, AV-Verträge, TOM, Prozesse, Schulungen, interne Vorprüfung — steht am Prüfungstag ruhig da.
Wenn Sie den Einsatz von Cloud-KI in Berichten, Meldungen oder KESB-Korrespondenz systematisch absichern möchten, bevor die nächste Prüfung ansteht, sprechen wir gerne mit Ihnen über einen Pilot in Ihrer Organisation.