Stadt Uster
arrow_back
Zentraler Datenschutz- & Sicherheitshinweis

Datenschutz & Sicherheit bei KI

Diese Seite erklärt dir Schritt für Schritt, worauf du beim Einsatz von KI bei der Stadt Uster achten musst: welches Werkzeug erlaubt ist, welche Daten du eingeben darfst, wie du heikle Inhalte entschärfst und an wen du dich bei Fragen oder einem Zwischenfall wendest. Sie gilt für alle Lernpfade.

Du musst nichts auswendig lernen. Verstehe die Idee hinter jeder Regel — dann triffst du im Alltag fast immer die richtige Entscheidung. Grundlage ist die verbindliche «Richtlinie 09 — KI-Nutzung und AI Governance» der Stadt Uster.

Abgestimmt auf Richtlinie 09 (V-00-03, 30.03.2026)  ·  Stand: Juni 2026

1 · Nur Varios AI

Bevor es um einzelne Daten geht, kommt die wichtigste Grundregel — nämlich welches KI-Werkzeug du überhaupt benutzen darfst. Diese eine Entscheidung nimmt dir die meisten Sorgen ab: Wenn du das richtige Werkzeug verwendest, bist du schon auf der sicheren Seite.

Für die Arbeit gilt: ausschliesslich Varios AI

Varios AI ist die einzige KI-Lösung, die für dienstliche Aufgaben zugelassen ist. Der Grund ist einfach: Varios ist vertraglich und technisch so eingerichtet, dass deine Eingaben innerhalb des geschützten Rahmens der Stadt Uster bleiben. Bei öffentlichen Diensten im Internet ist das nicht der Fall — dort wandern deine Eingaben zu fremden Anbietern, über die die Stadt keine Kontrolle hat.

Das ist erlaubt

Varios AI für deine dienstlichen Aufgaben — im Rahmen der KI-Ampel weiter unten, die dir zeigt, welche Daten du eingeben darfst.

Das ist nicht erlaubt

Externe oder private KI-Dienste für dienstliche Inhalte — also ChatGPT, Microsoft Copilot, Google Gemini, Claude und alle anderen. Das gilt auch dann, wenn du ein privates Konto benutzt.

Ausnahme: Ein anderes Werkzeug darf nur eingesetzt werden, wenn die Verwaltungsleitung es ausdrücklich freigegeben hat (Richtlinie 09, Kap. 14). Im Alltag heisst das für dich schlicht: Varios.

2 · Die Postkarten-Regel

Manchmal hast du keine Zeit, lange nachzudenken. Für diese Momente gibt es eine einfache Eselsbrücke, mit der du in Sekunden einschätzt, ob eine Eingabe heikel ist.

Die Faustregel

«Was du nicht auf einer Postkarte verschicken würdest, gibst du auch nicht in eine offene KI.»

Eine Postkarte kann unterwegs jeder lesen. Genauso ist eine Eingabe in ein offenes KI-Tool im Internet nicht vertraulich. Varios ist die Ausnahme: Es ist ein geschützter Raum der Stadt Uster. Dort regelt die KI-Ampel im nächsten Kapitel, welche Daten du verwenden darfst — was aber rot ist, bleibt auch in Varios tabu.

3 · Die KI-Ampel

Die KI-Ampel ist dein wichtigstes Alltagswerkzeug. Sie teilt alle Inhalte in drei Farben ein und beantwortet die Frage: Welche Daten darf ich in Varios eingeben? Geh die Farben von oben nach unten durch — und wenn du schwankst, wähl immer die strengere.

Grün — Unbedenklich

Inhalte ohne jeden Personenbezug, die ohnehin öffentlich sind.

Grün heisst: Hier gibt es nichts zu schützen. Die Information ist entweder öffentlich oder so allgemein, dass sie keine konkrete Person betrifft. Solche Inhalte kannst du ohne Bedenken in Varios verwenden.

Beispiele

  • arrow_rightÖffentliche Informationen wie Website-Texte, Medienmitteilungen oder bereits publizierte Berichte
  • arrow_rightAllgemeine Formulierungen und Textentwürfe, in denen keine Person vorkommt
  • arrow_rightFiktive oder bereits anonymisierte Beispiele
  • arrow_rightEigene Notizen, die nichts Vertrauliches enthalten
Was tun?  Darf in Varios verwendet werden.

Gelb — Mit Vorsicht

Interne Inhalte, die aber keine konkrete Person betreffen.

Gelb heisst: Die Information ist nicht öffentlich, betrifft aber auch niemanden persönlich. Du darfst sie in Varios nutzen — denk aber kurz nach, bevor du sie eingibst. Entscheidend ist die Frage: Lässt sich daraus auf eine bestimmte Person schliessen? Wenn ja, gehört der Inhalt nach Rot.

Beispiele

  • arrow_rightInterne Weisungen und Konzepte, in denen keine Personennamen stehen
  • arrow_rightProjektnotizen ohne Personenangaben
  • arrow_rightSitzungsprotokolle, aus denen die Personenangaben entfernt wurden
  • arrow_rightInterne Prozessbeschreibungen und Abläufe
Gut zu wissen: «intern» ist ein Spektrum. Je kleiner der Kreis, desto heikler. Lässt sich ein Inhalt auf wenige, klar erkennbare Personen eingrenzen, behandle ihn wie Rot. Im Zweifel fragst du kurz bei der Datenschutzberatung (IT-DSB) nach.
Was tun?  In Varios nutzbar — im Zweifel nachfragen.

Rot — Niemals

Daten über Menschen oder als vertraulich eingestufte Informationen.

Rot heisst: Hier geht es um konkrete Personen oder um klassifizierte Informationen. Der mögliche Schaden ist zu gross — solche Daten gehören nie in eine KI, auch nicht in Varios.

Beispiele

  • arrow_rightPersonalien wie Name, Adresse, AHV-Nummer oder die E-Mail einer Privatperson
  • arrow_rightGesundheits-, Sozial- und Bildungsdaten
  • arrow_rightFinanz- und Steuerinformationen
  • arrow_rightDokumente mit der Klassifikation «vertraulich» oder höher
  • arrow_rightLaufende Verfahren, Rechtsfälle und Personalangelegenheiten
Wichtig: identifizierbar ist nicht dasselbe wie benannt. Eine Person kann auch ohne Namen erkennbar sein — zum Beispiel durch ihre Funktion, ihren Wohnort, eine Fallnummer oder die Kombination mehrerer Angaben. Schon das macht einen Inhalt rot.
Du brauchst Personendaten für einen echten Anwendungsfall? Das ist nicht generell verboten — aber es geht nicht im Alleingang. Dafür gibt es einen geregelten Weg: eine Datenschutz-Folgenabschätzung (DSFA) über deine Fachbereichsleitung und die Datenschutzberatung (IT-DSB), wie es das Gesetz vorsieht (§ 10 IDG ZH).
Was tun?  Gehört nie in eine KI.

4 · Anonymisierung — aus Rot wird Grün

Oft brauchst du die Hilfe der KI gerade bei einem Fall, der eigentlich rot ist. Die Lösung: Du entfernst den Bezug zur Person, bevor du den Text eingibst. Richtig gemacht, wird aus einem roten Fall ein grüner, den du bedenkenlos nutzen kannst.

Unterscheide dabei drei Stufen: Anonymisieren entfernt den Bezug dauerhaft (am sichersten); Pseudonymisieren ersetzt ihn nur durch ein Kürzel, das sich über einen Schlüssel zurückführen lässt (bleibt heikel); Aggregieren fasst Einzelfälle zu Summen oder Gruppen zusammen, sodass keine einzelne Person mehr sichtbar ist.

So gehst du Schritt für Schritt vor

  1. 1

    Namen ersetzen. Schreibe statt des Namens eine Rolle — etwa «Person A», «die Einwohnerin» oder «die Antragstellerin». Die KI versteht den Fall trotzdem.

  2. 2

    Adressen entfernen. Streiche genaue Adressen oder ersetze sie durch einen Platzhalter wie «Adresse X». Eine Adresse macht eine Person sofort auffindbar.

  3. 3

    Eindeutige Zahlen ersetzen. AHV-Nummer, Telefonnummer oder Fallnummer durch Platzhalter ersetzen. Solche Nummern führen direkt zu einer Person.

  4. 4

    Den Mosaik-Effekt prüfen. Auch ohne Name kann eine Kombination von Angaben — etwa Alter, Wohnort und Beruf zusammen — eine Person verraten. Frag dich: Reicht das, um sie zu erkennen? Wenn ja, verallgemeinere weiter.

  5. 5

    Zum Schluss vergleichen. Lies deinen entschärften Text neben dem Original und prüfe, ob wirklich nichts Identifizierendes übrig geblieben ist — erst dann gibst du ihn ein.

5 · Verbindliche Verhaltensregeln

Die folgenden Regeln gelten für alle Mitarbeitenden (Richtlinie 09, Kap. 6 und 10). Sie sind keine Empfehlungen, sondern verbindlich. Zu jeder Regel steht kurz, warum es sie gibt — denn wer den Grund kennt, hält sie auch im Alltag ein.

«Der Mensch haftet, nicht die KI.»

Die KI liefert einen Entwurf — die Verantwortung für das Ergebnis trägst immer du.

Das solltest du tun

  • doneFür die Arbeit nur Varios AI nutzen. Nur Varios ist so abgesichert, dass deine Eingaben den Vorgaben der Stadt entsprechen.
  • doneJedes Ergebnis kritisch prüfen. KI kann überzeugend klingen und trotzdem falsch liegen — deshalb prüfst du Fakten, Zahlen und rechtliche Aussagen selbst.
  • doneKI-Ergebnisse als Vorschlag behandeln, nicht als Tatsache. Misstraue auch Anweisungen, die in einem hochgeladenen Dokument versteckt sein könnten (das nennt man Prompt Injection).
  • doneKI-generierte Inhalte kennzeichnen, wo es vorgeschrieben ist. So bleibt nachvollziehbar, wie ein Text entstanden ist.
  • doneAuffälligkeiten und Vorfälle der IT-SiBe melden. Lieber einmal zu viel gemeldet als zu spät — schnelles Handeln begrenzt den Schaden.

Das solltest du lassen

  • closeKeine externen KI-Dienste (ChatGPT, Copilot, Gemini, Claude) für die Arbeit — sie senden deine Eingaben an Anbieter ausserhalb der Kontrolle der Stadt.
  • closeKein privates KI-Konto für dienstliche Inhalte — dort gelten die Schutzvorgaben der Stadt nicht.
  • closeKeine Zugangsdaten, Passwörter oder Zertifikate eingeben — solche Angaben haben in keinem Chat etwas verloren.
  • closeKeine Personendaten oder «vertraulich»-Inhalte in eine ungeprüfte KI — das ist der häufigste und folgenreichste Fehler.
  • closeKeine Entscheide mit Rechtswirkung allein per KI. Verfügungen und Beschlüsse muss immer ein Mensch verantworten.

6 · Rechtliche Grundlagen

Keine Sorge — du musst keine Gesetze auswendig können. Dieses Kapitel erklärt nur kurz, welche Regeln überhaupt gelten und wo du im Detail nachlesen kannst. Wichtig ist vor allem eine Einsicht: Für die Stadt Uster gilt das kantonale Datenschutzrecht — nicht das oft zitierte Bundesgesetz.

1

IDG ZH (LS 170.4) — das ist die Hauptgrundlage

Das «Gesetz über die Information und den Datenschutz» des Kantons Zürich regelt, wie kantonale und kommunale Stellen — also auch die Stadt Uster — mit Personendaten umgehen müssen. Es legt unter anderem fest, dass eine Bearbeitung gesetzlich erlaubt sein muss (§ 8), nur für den vorgesehenen Zweck erfolgen darf (§ 9), bei Personendaten vorab geprüft wird (Datenschutz-Folgenabschätzung, § 10) und dass Vorfälle gemeldet werden müssen (§ 12a).

Gesetzestext lesen (zh.ch)  ·  Einfach erklärt (datenschutz.ch)

2

IDV ZH (LS 170.41) — die Ausführungsverordnung

Die Verordnung gehört zum IDG und regelt die Details — zum Beispiel, wie genau die Vorabkontrolle bei heiklen Vorhaben abläuft (§ 24).

Verordnungstext lesen (zh.ch)

3

Richtlinie 09 «KI-Nutzung und AI Governance» — die Umsetzung bei der Stadt Uster

Diese interne Richtlinie übersetzt die Gesetze in konkrete Regeln für den KI-Einsatz: welche Lösung zugelassen ist (Varios AI), wie KI-Systeme nach Risiko eingestuft werden, was erlaubt und was verboten ist, und dass am Ende immer ein Mensch entscheidet. Sie ist im internen Dokumentensystem (DMS CMI) abgelegt.

+

nDSG (SR 235.1) — gilt für uns nur indirekt

Das Bundesgesetz über den Datenschutz wird oft genannt, gilt für die Stadt Uster aber nicht direkt. Relevant wird es nur, wenn private Dienstleister beigezogen werden, die selbst dem Bundesgesetz unterstehen.

Gesetzestext lesen (fedlex.admin.ch)

Kurz gesagt: Der KI-Einsatz muss IDG ZH und IDV ZH einhalten; im Zweifelsfall gilt die strengste Regel. Im Alltag brauchst du dafür nur die KI-Ampel oben — und bei Unsicherheit wendest du dich an die Datenschutzberatung (IT-DSB).

7 · Kontakt & Meldung

Niemand erwartet, dass du alles allein löst. Hier siehst du, an wen du dich in welcher Situation wendest. Wichtig: Wende dich an die zuständige Rolle — die Personen dahinter können wechseln.

reportEin Vorfall ist passiert? → IT-SiBe

Hast du aus Versehen Personendaten eingegeben, eine Fehlfunktion bemerkt oder ein nicht zugelassenes Tool genutzt, melde das sofort der IT-Sicherheitsbeauftragten (IT-SiBe) der Stadt Uster — auch wenn es dir unangenehm ist. Je schneller, desto kleiner der Schaden.

shield_personDu hast eine Datenschutzfrage? → IT-DSB

Für rechtliche Fragen, Fälle mit Personendaten oder eine Datenschutz-Folgenabschätzung (DSFA) ist die Datenschutzberatung (IT-DSB) der Stadt Uster zuständig. Lieber vorher fragen als hinterher korrigieren.

account_balanceAufsichtsbehörde (extern)

Über dem Ganzen wacht die Datenschutzbeauftragte des Kantons Zürich. Dort findest du auch weiterführende Merkblätter und Formulare.

open_in_new datenschutz.ch

forumFrage zum Lernportal?

Bei allem rund um die Lernreise und dieses Portal hilft das Support-Team weiter.

mail ki.support@uster.ch