Incognify
AnmeldenKostenlos testen
Alle Beiträge
Praxis 30. Juni 2026 8 Min. Lesezeit

Personenbezogene Daten erkennen: Die Checkliste für Sozialarbeiter:innen

Name, Adresse, Diagnose — klar. Aber wussten Sie, dass auch eine Fallnummer ein personenbezogenes Datum sein kann? Wer in der Sozialarbeit täglich mit Klient:innen-Akten arbeitet, trifft Datenschutz-Entscheidungen oft im Vorbeigehen: in der Übergabe-Notiz, in der WhatsApp-Frage an den Kollegen, im KI-Tool, das gerade einen Bericht entwirft. Diese Checkliste hilft, Personendaten zuverlässig zu erkennen — bevor sie ungeschützt durch die nächste Kaffeepause wandern.

Was sagt das Gesetz?

Personenbezogene Daten (im Schweizer Recht: «Personendaten») sind nach Art. 5 lit. a des revidierten Datenschutzgesetzes (nDSG, gültig seit 1. September 2023) alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Identisch formuliert es Art. 4 Ziff. 1 der DSGVO für die EU.

Das entscheidende Wort ist «bestimmbar». Eine Information muss nicht den Namen enthalten, um Personendaten zu sein. Erwägungsgrund 26 der DSGVO präzisiert: Wenn mit «vernünftigem Aufwand» eine Verknüpfung zu einer Person hergestellt werden kann, ist die Information personenbezogen. Genau hier liegen in der sozialen Arbeit die meisten Fehler.

Noch strenger schützt das Gesetz die besonders schützenswerten Personendaten (Art. 5 lit. c nDSG / Art. 9 DSGVO). Dazu gehören Angaben zu Gesundheit, religiöser Überzeugung, Strafverfahren, sozialer Unterstützung und biometrischen Daten — also fast jede Information, die in einer Sozialakte steht.

Die Checkliste: 10 Datentypen, die als PII gelten

1. Direkt identifizierende Angaben: Name, Geburtsdatum, Adresse, Telefonnummer, AHV-Nummer (CH) bzw. Sozialversicherungsnummer (DE/AT).
2. Behördliche Aktenzeichen und interne Fallnummern: Auch wenn nur die zuständige Stelle die Auflösung kennt, gelten sie als bestimmbare Personendaten.
3. Familien- und Beziehungskonstellationen: Angaben zu Kindern, Partner:innen, betreuenden Angehörigen.
4. Gesundheitsdaten: Diagnosen, Therapie-Verläufe, Medikation, Sucht-Vorgeschichte. Stets besonders schützenswert.
5. Sozialleistungs- und Finanzdaten: Bezüge, Schulden, Lohnausweise, Mietvertrag, IBAN.
6. Strafregister- und Massnahmen-Angaben: Von Bewährungsauflagen bis zu Bagatell-Anzeigen.
7. Hand- und Übergabe-Notizen: Auch handschriftliche Stichworte in einer Übergabe sind Datenverarbeitung im Sinne des nDSG.
8. Bilder, Videos, Sprachaufnahmen: Foto vom Hausbesuch, Anrufnotiz im Voicemail, Webcam-Mitschnitt im Online-Beratungsgespräch.
9. Standortdaten: Heimadresse, aktueller Aufenthaltsort, regelmässige Wohnsitz-Wechsel (z. B. bei Frauenhausvermittlung).
10. Indirekte Identifikatoren in Kombination: Geburtsdatum + Wohnort + Beruf ergeben in einer kleinen Gemeinde eine eindeutige Person.

Faustregel: Wenn drei Personen im Team eine Notiz lesen und sich denken «Ach, das ist Familie X», dann sind die enthaltenen Angaben Personendaten — egal, ob ein Name draufsteht.

Drei Stolperfallen, die im Alltag oft übersehen werden

Stolperfalle 1 — «anonymisiert» heisst nicht anonym.

Eine Fallschilderung, in der nur der Name geschwärzt ist, bleibt Personendatum. Echte Anonymisierung verlangt, dass die Re-Identifizierung mit «vernünftigem Aufwand» nicht mehr möglich ist. Mehr dazu in Anonymisierung vs. Pseudonymisierung.

Stolperfalle 2 — Metadaten zählen mit.

Ein PDF-Bericht, dessen Sichtbares anonymisiert ist, dessen Dateiname aber bericht_mueller_jan_2026.pdf lautet, ist nicht anonym. Gleiches gilt für E-Mail-Header, EXIF-Daten in Fotos und Versions-Verläufe in Word.

Stolperfalle 3 — Sprach-KI-Tools speichern oft im Klartext.

Wer einen Falltext in ein KI-Tool einfügt, das die Eingaben für das eigene Training nutzen darf, hat im rechtlichen Sinn übermittelt — auch wenn auf dem Bildschirm nur der bereinigte Output erscheint. Wie sich das in der Praxis sauber lösen lässt, beschreibt KI-Training ohne PII.

So wenden Sie die Checkliste im Alltag an

Drei Minuten vor jedem KI-Einsatz, jeder Übergabe, jeder Übermittlung an Dritte:

1

Lesen Sie den Text mit der Checkliste in der Hand.

Markieren Sie alle Stellen, die einem der 10 Punkte entsprechen.

2

Prüfen Sie Kombinationen.

Wirken einzelne Angaben harmlos, aber zusammen identifizierend? Dann sind sie es auch.

3

Entscheiden Sie pro Datentyp:

Löschen, ersetzen (Pseudonymisierung), zusammenfassen (Aggregation) oder geschützt verarbeiten.

4

Dokumentieren Sie die Entscheidung.

Ein kurzer Vermerk im Falldossier erfüllt die Nachweispflicht nach Art. 12 nDSG / Art. 30 DSGVO.

Wer mit einem Berufsgeheimnis arbeitet, findet ergänzende Hinweise in Berufsgeheimnis im Sozialwesen.

Was bedeutet das für KI-gestütztes Arbeiten?

KI verarbeitet nichts «aus Versehen». Sobald ein Text mit Personendaten an ein Modell geht, gilt das als Verarbeitung im Sinne von Art. 5 lit. d nDSG / Art. 4 Ziff. 2 DSGVO — also genau das, was ohne Rechtsgrundlage nicht zulässig ist. Die Lösung ist nicht, auf KI zu verzichten, sondern Personendaten vor dem Modellaufruf zu entfernen. Incognify erkennt direkte und indirekte Identifikatoren in einem Schritt und ersetzt sie durch konsistente Pseudonyme — der KI-Output bleibt sinnvoll, die Klient:innen-Identität bleibt geschützt. Wie das Prinzip funktioniert, beschreibt KI: Privacy by Design.

Drei Sätze, die diese Checkliste in der Praxis ersetzen:

  • «Wenn ich es mir merken kann, ist es PII.»
  • «Wenn drei Kolleg:innen wissen, wer gemeint ist, ist es PII.»
  • «Wenn ich es einer KI gebe, muss es vorher anonym sein.»

Disclaimer: Alle Konstellationen in diesem Beitrag sind Komposite. Sie bilden keine realen Klient:innen ab. Dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall.

Rechtsgrundlagen: Schweiz: nDSG Art. 5 lit. a, c, d; Art. 12. fedlex.admin.ch SR 235.1. EU/EWR: DSGVO Art. 4 Ziff. 1, 2; Art. 9; Art. 30; EG 26. eur-lex.europa.eu.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.