Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz. Für Sozialwerke, KESB-Fachstellen und private Träger ist das keine akademische Frage — es ändert, wie Berichte geschrieben, Fälle dokumentiert und KI-Tools eingesetzt werden dürfen.
Das Problem: Gilt das nDSG für uns überhaupt?
Die Frage kommt in fast jedem Gespräch mit Trägerleitungen: «Wir sind eine private Stiftung, keine Bundesbehörde — betrifft uns das nDSG?» Oder: «Wir arbeiten mit der KESB zusammen, die hat ihr eigenes Amtsgeheimnis — reicht das nicht?»
Die kurze Antwort ist: Ja, das nDSG betrifft Sie. Und Nein, das Amtsgeheimnis der Behörde ersetzt Ihre eigene Datenschutz-Verantwortung nicht. Sobald Ihre Organisation Klient:innendaten bearbeitet — also erhebt, speichert, verändert, weitergibt oder auch nur strukturiert liest — sind Sie datenschutzrechtlich verantwortlich.
Für die Praxis heisst das: Der Sozialbericht auf dem Laptop, das Fallprotokoll im E-Mail-Anhang, die Frage an ChatGPT nach einer Formulierungshilfe — alles Bearbeitung im Sinne von Art. 5 lit. d nDSG.
Was das Gesetz sagt: Die vier Artikel, die im Alltag zählen
Das nDSG hat 78 Artikel. Für die tägliche Fallarbeit sind vier davon zentral:
Art. 5 lit. c nDSG — Besonders schützenswerte Personendaten
Angaben über Gesundheit, religiöse oder weltanschauliche Ansichten, Massnahmen der sozialen Hilfe sowie Verfahren und Sanktionen aus straf- und administrativrechtlichen Verfahren. In der Sozialarbeit betrifft das faktisch jede Klient:innen-Akte.
Art. 6 nDSG — Grundsätze
Bearbeitung nur zweckgebunden, verhältnismässig, transparent, mit korrekten Daten. Der Grundsatz Datenminimierung bedeutet: Nur das speichern, was tatsächlich für den Auftrag nötig ist. Ein voller Fallverlauf im Kopf einer KI-Prompt-Anfrage ist selten minimal.
Art. 9 nDSG — Bearbeitung durch Auftragsbearbeiter
Wenn Sie einen externen Dienst (Cloud-Speicher, Übersetzungs-Tool, KI-API) mit personenbezogenen Daten füttern, ist das eine Auftragsbearbeitung. Sie brauchen einen schriftlichen Vertrag, in dem der Anbieter die gleichen Datenschutzpflichten übernimmt. Ohne diesen Vertrag: rechtswidrige Bearbeitung.
Art. 60–63 nDSG — Sanktionen
Bussen bis CHF 250'000 sind möglich — und sie treffen natürliche Personen, nicht nur die Organisation. Der Geschäftsführer, die Leitung Fachstelle, die Person, die den Anbieter freigegeben hat.
Hinweis: Dies ist keine Rechtsberatung. Für Einzelfälle prüfen Sie den konkreten Sachverhalt mit einer Datenschutz-Fachstelle oder juristischen Beratung. Kantonale Gesetze und branchenspezifische Regelungen können zusätzliche Pflichten begründen.
Wie das in der Praxis aussieht
Ein fiktives Beispiel — Frau M., 44, leitet die Fachstelle Erwachsenenschutz in einem mittelgrossen privaten Träger im Kanton St. Gallen. Vierzig Mitarbeitende, etwa 900 laufende Mandate. Seit sechs Monaten nutzt das Team ChatGPT gelegentlich, um Formulierungen für KESB-Berichte zu verbessern. Der Ablauf: Bericht-Rohtext wird kopiert, in den Chat eingefügt, umformuliert, zurückkopiert.
Der Ablauf ist datenschutzrechtlich problematisch, sobald der eingefügte Text noch Klarnamen, Fallnummern, Diagnosen oder Adressen enthält. Ohne Auftragsbearbeitungs-Vertrag mit dem Anbieter, ohne Datenminimierung, ohne Zweckbindung. Ein einzelner Vorfall — eine unzufriedene Klientschaft, eine EDÖB-Anfrage — reicht, um die persönliche Haftung der Leitung auszulösen.
Alle Personen und Situationen in diesem Beispiel sind fiktiv und dienen nur der Illustration.
Schritt für Schritt: So gehen Sie vor
Vier Schritte, die eine Trägerleitung diese Woche einleiten kann:
1. Bearbeitungsverzeichnis vervollständigen: Art. 12 nDSG verlangt ein Verzeichnis der Bearbeitungstätigkeiten. Konkret: Welche Datensammlungen führt Ihr Träger? Welche Cloud-Dienste, welche KI-Tools, welche Fach-Software? Wer hat Zugriff? Ein Excel-Blatt reicht — aber es muss aktuell sein.
2. Auftragsbearbeitungen prüfen: Für jeden externen Dienst mit Klient:innendaten: Vertrag vorhanden (ADV / DPA)? Datenexport in Länder ohne angemessenes Datenschutzniveau? Wenn nicht — kein Klient:innen-Kontext in den Dienst.
3. KI-Nutzung intern regeln: Ein einseitiges Merkblatt reicht als Start: Welche Tools sind freigegeben, welche nicht. Welche Daten dürfen rein, welche nicht. Wer entscheidet in Zweifelsfällen. Das reduziert Grauzonen sofort.
4. Vor-Filterung technisch einbauen: Wo KI-Tools sinnvoll sind, gehört eine Anonymisierungs-Ebene davor. Namen, Adressen, Diagnosen, Fallnummern werden ersetzt, bevor der Text den Träger verlässt. Erst danach geht die anonymisierte Version in die Cloud-KI.
Was Incognify hier tut
Incognify erkennt personenbezogene Daten (PII) automatisch — Namen, Adressen, Diagnosen, Fallnummern, KESB-Aktenzeichen, IBAN-Nummern — und ersetzt sie durch stabile Platzhalter, bevor Text an ChatGPT, Claude oder Gemini geht. Die Zuordnung bleibt lokal beim Träger. Nach der KI-Antwort werden die Platzhalter wieder aufgelöst.
Für Trägerleitungen heisst das: KI-Nutzung im Team wird DSG-konform, ohne dass Fachpersonen jedes Mal manuell prüfen müssen, ob eine Formulierung noch PII enthält.
Häufige Fragen
Wir sind eine kleine Stiftung mit sechs Angestellten. Betrifft uns das nDSG wirklich in vollem Umfang?
Ja. Grösse spielt eine Rolle für die Frage, ob Sie eine Datenschutzberater:in bestellen müssen (Art. 10 nDSG), aber nicht für die Bearbeitungsgrundsätze. Auch sechs Personen können 900 Dossiers bearbeiten — und die sind alle besonders schützenswert.
Reicht es, wenn wir intern verbieten, ChatGPT für Klient:innen-Texte zu nutzen?
Ein Verbot ist ein Anfang, aber wenn ein Tool spürbar Zeit spart, wird es genutzt — offiziell oder inoffiziell. Nachhaltig ist nur: einen legalen Pfad zur Verfügung stellen. Ein Vorfilter wie Incognify macht KI-Nutzung zum kontrollierten Standardpfad statt zum verbotenen Schleichweg.
Wir haben schon einen Datenschutzbeauftragten. Reicht das?
Die Rolle deckt Beratung und interne Aufsicht ab, ersetzt aber weder ADV-Verträge, noch ein Bearbeitungsverzeichnis, noch eine Technik-Massnahme zur Vor-Filterung. DSB und technische Kontrolle ergänzen sich.
Fazit
Das nDSG betrifft Sozialwerke direkt — jede Fallakte, jeder Bericht, jede Anfrage an ein Cloud-Tool ist eine Bearbeitung im rechtlichen Sinn. Vier Artikel definieren den Alltagsrahmen, vier Schritte machen den Träger compliance-fähig. Der technische Schritt lässt sich in einer Nachmittagssession umsetzen: PII-Vor-Filterung vor jeder Cloud-KI-Anfrage.
Wer heute anfängt, spart sich morgen den Vorfall.