Gemäss nDSG Art. 22 / DSGVO Art. 35 — Version 1.1, 14. April 2026
Warum diese DSFA? BlitzDoc verarbeitet Gesundheitsdaten (besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG) mittels KI-Technologie. Dies erfordert gemäss nDSG Art. 22 eine Datenschutz-Folgenabschätzung.
| Verantwortlicher | BlitzDoc — dipl. Arzt A. Özdemir, Schweiz |
|---|---|
| System | BlitzDoc Web-Tool + Vitomed Connector (Bookmarklet) |
| Zweck | KI-gestützte Erstellung medizinischer Dokumentation (SOAP-Notizen, Arztberichte) |
| Betroffene | Patienten (indirekt über ärztliche Eingaben), Ärzte (als Nutzer) |
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 6 lit. a DSG), berechtigtes Interesse des Arztes an effizienter Dokumentation |
| Datenstandort | KI-Textgenerierung (SOAP, Berichte): Schweiz (Microsoft Azure Switzerland North). Audio-Transkription: EU/EWR (Microsoft Azure Sweden Central) — gpt-4o-transcribe-diarize ist aktuell nicht in der Schweizer Region verfügbar. EU/EWR ist gemäss revFADP der Schweiz datenschutzrechtlich gleichgestellt (Angemessenheitsbeschluss). Keine Übermittlung in die USA oder andere Drittländer. |
| Datenkategorie | Verarbeitungsort | Speicherdauer | Personenbezug |
|---|---|---|---|
| Arzt-Stichworte (Texteingabe) | Server (RAM) | 0 Sekunden persistent | Anonymisiert vor Übertragung |
| Ambient Recording (Audio) | Browser (lokal) → Microsoft Azure Sweden Central (EU/EWR) | Sofort nach Transkription gelöscht | Enthält Patientenstimme — Verarbeitung im EU/EWR-Raum gemäss revFADP-Adequacy |
| Transkript (aus Audio) | Browser (lokal) | Nur Sitzungsdauer | Automatisch anonymisiert |
| Verlaufskontext (aus Vitomed) | Browser (lokal) → Server (RAM) | 0 Sekunden persistent | Patientennamen lokal entfernt |
| Bilder (OCR) | Server (RAM) | 0 Sekunden persistent | Vom Nutzer bereitgestellt |
| Kalender (Termine) | Browser (lokal) → Server (RAM) | 0 Sekunden persistent | Patientennamen lokal entfernt |
| API-Token | Browser (localStorage) | Bis Löschung durch Nutzer | Nutzerbezogen |
| Risiko | Eintrittswahrscheinlichkeit | Schweregrad | Risikostufe |
|---|---|---|---|
| Re-Identifikation durch seltene Diagnose-Kombinationen | Gering | Mittel | Mittel |
| Unbefugter Zugriff auf Audio während Transkription | Sehr gering | Hoch | Mittel |
| Aufnahme ohne Patienteneinwilligung | Gering (technisch abgesichert) | Hoch | Mittel |
| KI generiert falsche medizinische Informationen | Mittel | Mittel | Mittel |
| Datenverlust durch Server-Ausfall | Gering | Gering | Gering |
| Token-Diebstahl durch Phishing | Gering | Mittel | Gering |
| Risiko | Massnahme | Restrisiko |
|---|---|---|
| Re-Identifikation | Automatische lokale Anonymisierung (Patientennamen, AHV-Nr., Geburtsdaten werden vor Übertragung entfernt). Keine dauerhafte Speicherung auf dem Server. | Gering |
| Unbefugter Audio-Zugriff | TLS 1.3 Verschlüsselung. Audio nur im RAM verarbeitet und sofort gelöscht. Azure Switzerland North mit ISO 27001 Zertifizierung. Kein Streaming während Aufnahme. | Gering |
| Aufnahme ohne Einwilligung | Connector fragt aktiv nach Bestätigung vor Aufnahmestart. Einwilligungsformular als Vorlage bereitgestellt. Hinweis auf Art. 179ter StGB in der Benutzeroberfläche. | Gering |
| Falsche KI-Informationen | Arzt prüft und genehmigt jeden generierten Text. Keine automatische Eintragung ohne Bestätigung. Klare Kennzeichnung als «Vorschlag». Zweckbestimmung dokumentiert. | Gering |
| Datenverlust | Kein relevantes Risiko: keine Daten werden persistent gespeichert. Alle Daten existieren nur während der Verarbeitungsdauer im RAM. | Minimal |
| Token-Diebstahl | Token in localStorage (Browser-lokal, nicht über URL exponiert). UUID-Format (kryptografisch zufällig). Rate Limiting gegen Brute-Force. | Gering |
Die Sprachaufnahme-Funktion erfordert besondere Aufmerksamkeit, da sie Patientenstimmen verarbeitet:
| Aspekt | Massnahme |
|---|---|
| Einwilligung | Pflicht gemäss Art. 179ter StGB. Vorlage bereitgestellt (Einwilligungsformular). Connector fragt vor jeder Aufnahme. |
| Aufnahme | Ausschliesslich lokal im Browser-RAM. Kein Cloud-Streaming während Aufnahme. |
| Transkription | Microsoft Azure OpenAI gpt-4o-transcribe-diarize, Rechenzentrum Sweden Central (EU/EWR). Das Modell ist aktuell nicht in der Schweizer Azure-Region verfügbar. EU/EWR ist gemäss revFADP der Schweiz datenschutzrechtlich gleichgestellt (Adequacy). Keine Übermittlung in die USA. Audio sofort nach Transkription gelöscht. Microsoft Online Services DPA mit Zero-Retention-Klausel. |
| Anonymisierung | Transkript wird lokal anonymisiert: Patientennamen, AHV-Nr., Geburtsdaten automatisch entfernt. |
| KI-Verarbeitung | Nur anonymisierte Stichworte an Schweizer Server (Microsoft Azure Zürich, Switzerland North) für SOAP-Generierung. nDSG-konform. |
| Speicherung | Keinerlei dauerhafte Speicherung von Audio, Transkript oder SOAP-Ergebnis auf dem Server. |
✓ Das Restrisiko ist tragbar. Die getroffenen technischen und organisatorischen Massnahmen reduzieren alle identifizierten Risiken auf ein akzeptables Niveau. Insbesondere:
Diese DSFA wird bei wesentlichen Änderungen der Verarbeitungsprozesse, bei Einführung neuer Funktionen oder mindestens jährlich überprüft und aktualisiert.
BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch
Erstellt: 4. März 2026 — Aktualisiert: 14. April 2026 (Region-Erweiterung Audio-Transkription auf Sweden Central, EU/EWR-Adequacy gemäss revFADP) — Nächste Überprüfung: April 2027