← Zurück zur Startseite

Datenschutz-Folgenabschätzung

Gemäss nDSG Art. 22 / DSGVO Art. 35 — Version 1.0, 4. März 2026

1. Beschreibung der Verarbeitung

Verantwortlicher	BlitzDoc — dipl. Arzt A. Özdemir, Schweiz
System	BlitzDoc Web-Tool
Zweck	KI-gestützte Erstellung medizinischer Dokumentation (SOAP-Notizen, Arztberichte)
Betroffene	Patienten (indirekt über ärztliche Eingaben), Ärzte (als Nutzer)
Rechtsgrundlage	Einwilligung (Art. 6 Abs. 6 lit. a DSG), berechtigtes Interesse des Arztes an effizienter Dokumentation
Datenstandort	Schweizer Hosting-Architektur für die Kernplattform. Spezialisierte technische Funktionen werden temporär und vertraglich geregelt verarbeitet.

2. Verarbeitete Datenkategorien

Die Speicherdauer hängt vom gewählten Modus ab. Reine Verarbeitungsdaten werden temporär verarbeitet. Vom Arzt aktiv übernommene oder gespeicherte Dokumentationsentwürfe können in der Schweizer Cloud mit konfigurierbarer Aufbewahrungsdauer gespeichert werden.

Datenkategorie	Verarbeitungsort	Speicherdauer	Personenbezug
Arzt-Stichworte (Texteingabe)	Server (RAM)	0 Sekunden persistent	Pseudonymisiert vor Übertragung
Ambient Recording (Audio)	Browser (lokal) → temporäre Transkription	Nicht dauerhaft gespeichert	Enthält Patientenstimme
Transkript (aus Audio)	Browser (lokal)	Nur Sitzungsdauer	Automatisch pseudonymisiert
Bilder (OCR)	Server (RAM)	0 Sekunden persistent	Vom Nutzer bereitgestellt
API-Token	Browser (localStorage)	Bis Löschung durch Nutzer	Nutzerbezogen

3. Risikoanalyse

3.1 Identifizierte Risiken

Risiko	Eintritts­wahrscheinlichkeit	Schweregrad	Risiko­stufe
Re-Identifikation durch seltene Diagnose-Kombinationen	Gering	Mittel	Mittel
Unbefugter Zugriff auf Audio während Transkription	Sehr gering	Hoch	Mittel
Aufnahme ohne Patienteneinwilligung	Gering (technisch abgesichert)	Hoch	Mittel
KI generiert falsche medizinische Informationen	Mittel	Mittel	Mittel
Datenverlust durch Server-Ausfall	Gering	Gering	Gering
Token-Diebstahl durch Phishing	Gering	Mittel	Gering

3.2 Getroffene Massnahmen

Risiko	Massnahme	Restrisiko
Re-Identifikation	Im Stichwort-Modus lokale Pseudonymisierung (Patientennamen, AHV-Nr., Geburtsdaten). Audioaufnahmen werden nach der Transkription gelöscht; Aufbewahrung der Konsultationsinhalte konfigurierbar / unter ärztlicher Kontrolle.	Gering
Unbefugter Audio-Zugriff	TLS 1.3 Verschlüsselung. Audio nur temporär verarbeitet und nicht dauerhaft gespeichert. Kein Streaming während Aufnahme.	Gering
Aufnahme ohne Einwilligung	Das System fragt aktiv nach Bestätigung vor Aufnahmestart. Einwilligungsformular als Vorlage bereitgestellt. Hinweis auf Art. 179ter StGB in der Benutzeroberfläche.	Gering
Falsche KI-Informationen	Arzt prüft und genehmigt jeden generierten Text. Keine automatische Eintragung ohne Bestätigung. Klare Kennzeichnung als «Vorschlag». Zweckbestimmung dokumentiert.	Gering
Datenverlust	Das Audio wird nicht persistent gespeichert; es existiert nur während Aufnahme und Transkription im RAM. Transkript und Dokumentation werden — soweit gewünscht — verschlüsselt in der Schweizer Cloud mit konfigurierbarer, vom Arzt kontrollierter Aufbewahrungsdauer gespeichert.	Minimal
Token-Diebstahl	Token in localStorage (Browser-lokal, nicht über URL exponiert). UUID-Format (kryptografisch zufällig). Rate Limiting gegen Brute-Force.	Gering

4. Ambient Recording — Spezifische Bewertung

Die Sprachaufnahme-Funktion erfordert besondere Aufmerksamkeit, da sie Patientenstimmen verarbeitet:

Aspekt	Massnahme
Einwilligung	Pflicht gemäss Art. 179ter StGB. Vorlage bereitgestellt (Einwilligungsformular). Das System fragt vor jeder Aufnahme.
Aufnahme	Ausschliesslich lokal im Browser-RAM. Kein Cloud-Streaming während Aufnahme.
Transkription	Temporäre Verarbeitung über vertraglich geregelte technische Infrastruktur. Audio wird nicht dauerhaft gespeichert.
Pseudonymisierung	Transkript wird lokal pseudonymisiert: Patientennamen, AHV-Nr., Geburtsdaten automatisch entfernt.
KI-Verarbeitung	Schweizer Hosting-Architektur für die Kernplattform; Spezialfunktionen gemäss Vertrag/AVV/Subprozessorenliste.
Speicherung	Audio wird nach der Transkription gelöscht (auf Wunsch sofort). Transkript und SOAP-Ergebnis werden in der Schweizer Cloud mit konfigurierbarer, vom Arzt kontrollierter Aufbewahrungsdauer gespeichert.

5. Technische und organisatorische Massnahmen (TOM)

• Verschlüsselung: TLS 1.3 für alle Übertragungen, HTTPS-Only
• Authentifizierung: Token-basierte API-Authentifizierung (UUID)
• Datensparsamkeit: Audio-Löschung nach Transkription, konfigurierbare Aufbewahrung der Konsultationsinhalte, Verarbeitung in der Schweizer Cloud
• Pseudonymisierung: Pseudonymisierung von Patientenidentifikatoren vor Serverübertragung (Stichwort-/Verlaufs-Modus); Audio-Löschung nach Transkription
• Serverstandort: Schweizer Hosting-Architektur für die Kernplattform; Spezialfunktionen gemäss Vertrag/AVV/Subprozessorenliste.
• Privacy by Design: Optionale Funktionen (Diktat, OCR, Ambient Recording) standardmässig deaktiviert
• Rate Limiting: Schutz vor Missbrauch und Überlastung
• Auftragsverarbeitung: Vertraglich geregelte Auftragsverarbeitung mit dokumentierten technischen Dienstleistern
• Zugriffskontrolle: Pro-Nutzer-Token, keine geteilten Credentials

6. Ergebnis der Folgenabschätzung

• Audio-Löschung nach der Transkription; konfigurierbare, vom Arzt kontrollierte Aufbewahrung der Konsultationsinhalte in der Schweizer Cloud
• Automatische Pseudonymisierung vor jeder Serverübertragung
• Schweizer Hosting-Architektur, temporäre Verarbeitung und vertraglich geregelte Spezialfunktionen
• Ärztliche Prüfpflicht als letzte Kontrollinstanz
• Patienteneinwilligung bei Sprachaufnahme obligatorisch

7. Überprüfung

Diese DSFA wird bei wesentlichen Änderungen der Verarbeitungsprozesse, bei Einführung neuer Funktionen oder mindestens jährlich überprüft und aktualisiert.

8. Kontakt

BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch

Erstellt: 4. März 2026 — Nächste Überprüfung: März 2027