Ein Sozialarbeiter lädt einen Fallbericht in einen Cloud-KI-Dienst, weil das im Alltag schneller geht. Rechtlich ist das keine harmlose Effizienzentscheidung — es ist eine Auftragsbearbeitung mit besonders schützenswerten Personendaten. Der EDÖB erwartet, dass Trägerorganisationen genau das nachweisen können.
Lesezeit: ca. 6 Minuten · Zielgruppe: Datenschutzbeauftragte, Geschäftsführungen und IT-Verantwortliche in Sozialwerken (DACH-Schwerpunkt Schweiz).
Das Problem: Der Alltagsfall ist längst da, die Nachweise fehlen
In vielen Sozialwerken laufen Cloud-KI-Tools bereits — teils offiziell eingekauft, teils informell aus dem Team heraus (ChatGPT für die schnelle Berichtsformulierung, ein Übersetzungs-Assistent im Beratungsgespräch, ein KI-gestützter Kalender). In der Beratung sehen wir immer wieder dieselbe Lücke: Der operative Einsatz ist da, aber es fehlt der strukturierte Nachweis, dass die Bearbeitung datenschutzrechtlich zulässig und beherrscht ist.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in seinen laufenden Leitlinien zu Cloud Computing und zum Einsatz von KI klargestellt: Verantwortlich bleibt die Trägerorganisation, nicht der Anbieter. Wer Klient:innendaten in eine Cloud-KI schickt, muss die Rechtsgrundlage, die Sicherheit und die Kontrolle jederzeit belegen können. Diese Anleitung sortiert, welche fünf Nachweise Sie im Blick behalten sollten — und was der EDÖB in einer Prüfung erfahrungsgemäss zuerst anspricht.
Was das Gesetz und der EDÖB dazu sagen
Die Anker sind das revidierte Schweizer Datenschutzgesetz (nDSG, in Kraft seit September 2023), die europäische Datenschutz-Grundverordnung (DSGVO, für DACH-Träger mit Bezug zu EU-Betroffenen relevant) und die veröffentlichte EDÖB-Praxis:
Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit. Jede KI-Nutzung muss sich einer konkreten Zweckangabe zuordnen lassen.
Technische und organisatorische Massnahmen (TOM) müssen dem Risiko der Bearbeitung angemessen sein. Für Sozialhilfe- oder KESB-Daten heisst „angemessen“ ein deutlich höheres Niveau als für einen Newsletter-Verteiler.
Wer als Cloud-KI-Anbieter Zugriff auf Personendaten erhält, ist Auftragsbearbeiter. Ohne schriftlichen Vertrag mit den vorgeschriebenen Mindestinhalten fehlt die Grundlage.
Werden Daten ausserhalb der Schweiz oder des EWR bearbeitet, braucht es ein angemessenes Schutzniveau oder geeignete Garantien (z. B. Standardvertragsklauseln, Transfer Impact Assessment). Viele grosse Cloud-KI-Anbieter verarbeiten in den USA — das ist kein Ausschlussgrund, aber ein dokumentationspflichtiger Umstand.
Wenn die KI-Ausgabe eine Klient:innen-Entscheidung tatsächlich vorprägt (Zuweisung, Ablehnung, Meldung), gelten Informations- und Anhörungsrechte.
Bei hohem Risiko Pflicht. Die Kombination „besonders schützenswerte Personendaten + neue Technologie + Cloud“ erfüllt dieses Kriterium in aller Regel.
Hinweis: Dies ist keine Rechtsberatung. Ergänzen Sie kantonale Sozialhilfe- und KESB-Regelungen und beziehen Sie Ihre juristische Stelle oder den zuständigen kantonalen Datenschutzbeauftragten ein, bevor Sie eine konkrete Bearbeitung freigeben.
Wie das in der Praxis aussieht
Fiktives Fallbeispiel — dient nur der Illustration.
Die Stiftung „Blaue Brücke“ betreibt Sozialberatung, begleitetes Wohnen und Suchtberatung. Die Geschäftsleitung entscheidet, einen Cloud-KI-Assistenten zur schnelleren Berichtsformulierung einzuführen. Der Datenschutzbeauftragte, Markus L., wird gebeten, das Vorhaben datenschutzrechtlich zu begleiten.
Er beginnt nicht mit dem Tool, sondern mit dem Prozess. In einer Kurzanalyse ordnet er den Anwendungsfall den Grundsätzen zu: Welche Daten fliessen in die KI (Fallnotizen, Diagnosen, Adressdaten)? Welcher Zweck (Formulierungshilfe, Zusammenfassung)? Welche Alternative gäbe es? Dann prüft er den Anbieter: Wo bearbeitet er die Daten? Gibt es einen Auftragsbearbeitungsvertrag, der die Anforderungen von Art. 9 nDSG erfüllt? Sind die Standardvertragsklauseln der EU-Kommission Bestandteil? Erst danach fällt die Frage nach der Konfiguration: Training-Opt-out aktiviert, EU-/CH-Region gewählt, Protokollierung eingerichtet, Pseudonymisierung vor Übergabe vorgeschaltet.
Am Ende führt Markus L. eine DSFA in schlanker Form durch: Risiken benennen, Massnahmen festhalten, Restrisiko dokumentieren, Freigabe durch die Geschäftsleitung einholen. Der Prozess ist nicht spektakulär — aber er ist der Nachweis, der in einer EDÖB-Anfrage zählt.
Die fünf Nachweise, die der EDÖB zuerst prüft
Ein aktuelles Verzeichnis, in dem die Cloud-KI eingetragen ist
Der Cloud-KI-Einsatz gehört als eigener Eintrag ins Verzeichnis der Verarbeitungstätigkeiten (Art. 12 nDSG). Beschreiben Sie Datenkategorien, Zweck, Rechtsgrundlage, Aufbewahrungsfrist und Empfänger — inklusive des Anbieters und seiner Unterauftragsbearbeiter. Ein Verzeichnis ohne KI-Eintrag signalisiert, dass die Kontrolle nicht bei der Trägerorganisation liegt.
Ein Auftragsbearbeitungsvertrag mit den nDSG-/DSGVO-Mindestinhalten
Prüfen Sie: Ist die Bearbeitung präzise beschrieben, ist die Weisungsbindung geregelt, sind Unterauftragsbearbeiter transparent, ist die Datenrückgabe/-löschung bei Vertragsende geregelt, sind Audit-Rechte fixiert? Ein reines Klick-AGB-Modell reicht in der Regel nicht.
Eine dokumentierte Übermittlungs-Prüfung (Art. 16 nDSG / Kap. V DSGVO)
Wenn die Bearbeitung im Ausland stattfindet: Halten Sie fest, welches Instrument den Transfer trägt (angemessener Schutz, Standardvertragsklauseln, verbindliche Unternehmensregeln) und ob Sie eine Transfer-Impact-Prüfung durchgeführt haben. Für die USA ist der Data Privacy Framework-Status des Anbieters zu prüfen und zu dokumentieren.
Eine DSFA für den KI-Anwendungsfall
Die Kombination „besonders schützenswerte Personendaten + KI + Cloud“ ist ein Musterfall für eine Datenschutz-Folgenabschätzung. Sie muss nicht 40 Seiten haben — aber Risiken, Massnahmen, Restrisiko und Freigabeentscheid müssen strukturiert dokumentiert sein.
Ein interner Umgangsleitfaden für das Team
Auch der beste Vertrag hilft nicht, wenn im Alltag ein Familienname im Prompt landet. Ein einseitiger Leitfaden „Was darf ich in die KI schreiben, was nicht“ — mit Pflicht zur Pseudonymisierung/Schwärzung besonders schützenswerter Merkmale vor der Übergabe — ist der Nachweis dafür, dass Sie die organisatorische Massnahme gemäss Art. 8 nDSG umgesetzt haben.
Was Sie heute schon tun können
Wenn Sie an einem dieser fünf Punkte noch am Anfang stehen: Fangen Sie mit dem Verzeichnis an. Danach der Vertrag, dann die Übermittlungsprüfung. DSFA und Umgangsleitfaden sind aufwendiger, aber ohne die ersten drei Punkte ist auch die beste DSFA angreifbar.
Und wenn die Frage im Raum steht, wie Sie in Berichten und Notizen zuverlässig schwärzen, bevor der Text die KI überhaupt sieht: Genau dafür ist Incognify gebaut. Ein spezialisierter Vor-Filter, der Namen, Adressen, Fallnummern und Gesundheitsangaben zuverlässig aus Ihren Texten entfernt — bevor sie ein Cloud-Modell erreichen. Damit reduziert sich das Risiko der Bekanntgabe deutlich, und Sie behalten den Nachweis in Ihrer Hand.
Fazit
Fünf Nachweise — Verzeichnis, AV-Vertrag, Übermittlungsprüfung, DSFA, Umgangsleitfaden — entscheiden darüber, ob der Cloud-KI-Einsatz im Sozialwerk nachweisbar EDÖB-konform ist. Keiner davon erfordert ein juristisches Vollprojekt. Zusammen bilden sie den strukturierten Rahmen, den der EDÖB erwartet und den Trägerorganisationen intern vorzeigen können.
Weiterführend
Fiktive Fallbeispiele in diesem Beitrag sind Komposite. Sie bilden keine realen Klient:innen oder Organisationen ab. Dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall.
Quellen: Bundesgesetz über den Datenschutz (nDSG), SR 235.1, insb. Art. 6, 8, 9, 12, 16, 21, 22 — fedlex.admin.ch. Verordnung über den Datenschutz (DSV), SR 235.11. Datenschutz-Grundverordnung (DSGVO), Verordnung (EU) 2016/679, insb. Art. 28, 30, 35, Kap. V — eur-lex.europa.eu. EDÖB: Leitlinien Cloud Computing und KI-Positionen — edoeb.admin.ch.