← Zurück zur Startseite
Datenschutzerklärung
Version 2.4 — Gültig ab 9. März 2026
🔒 Audio & Transkription auf Schweizer Servern (Azure Zürich). KI-Textgenerierung auf europäischen Servern (Azure Schweden) — ausschliesslich mit anonymisierten Daten. Identifizierbare Patientendaten verlassen die Schweiz nicht. Keine dauerhafte Inhaltsspeicherung, kein KI-Training, nDSG-konform.
Datenfluss — So verarbeitet BlitzDoc Ihre Eingaben
🩺
1. Arzt gibt ein
Stichworte, Mundart, Freitext — am Praxis-PC
➔
🛡️
2. Anonymisierung
Namen, AHV, Daten werden lokal entfernt
➔
⚡
3. KI (Europa)
SOAP: nur anonyme Stichworte — EU-Server (Azure Schweden), TLS-verschlüsselt
➔
✅
4. Ergebnis
SOAP / Bericht zurück — nichts gespeichert
Keine Speicherung
Lokale Verarbeitung
Kein KI-Training
✓ Das Wichtigste auf einen Blick
- 🟢 Keine identifizierbaren Patientendaten auf dem Server — Für SOAP, Verlaufskontext, Kalender und Ambient Recording werden Patientennamen lokal im Browser entfernt. Für OCR und Übersetzung gelten separate Regelungen (siehe Abschnitt 4).
- 🟢 Keine dauerhafte Speicherung — Alle Daten existieren nur während der Verarbeitung im Arbeitsspeicher (RAM), danach sofort gelöscht.
- 🟢 Kein KI-Training — Ihre Eingaben und Ausgaben werden nicht zum Modelltraining verwendet.
- 🟢 Europäische Server — Audio & Transkription: Azure Zürich (Switzerland North). KI-Textgenerierung: EU-Server (Azure Schweden) — ausschliesslich mit anonymisierten Daten. Identifizierbare Patientendaten verlassen die Schweiz nicht. Kein Datentransfer in Drittstaaten.
- 🟢 Kein Tracking, keine Cookies — Keine Analytics, keine Werbung, keine externen Dienste.
- 🟢 nDSG-konform — Schweizer Datenschutzgesetz (nDSG, seit 1.9.2023) vollständig eingehalten.
1. Verantwortlicher
BlitzDoc
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch
2. Geltungsbereich
Diese Erklärung gilt für die Website blitzdoc.ch, das Web-Tool, den Vitomed Connector (Bookmarklet) und die europäische Server-Infrastruktur (Audio & Transkription: Azure Zürich; KI-Textgenerierung: Azure Schweden). Rechtsgrundlage: Schweizer Datenschutzgesetz (nDSG, seit 1.9.2023).
3. Erhobene Daten
| Datenkategorie | Speicherort | Speicherdauer |
|---|
| Eingabetext (Stichworte, Befunde) | EU-Server (RAM, anonymisiert) | Nur während Verarbeitung — 0 Sekunden persistent |
| Überweisungsbilder (OCR) | EU-Server (RAM) | Nur während Verarbeitung |
| Diktat (Spracherkennung) | Lokal (Browser) | Keine Speicherung |
| Ambient Recording (Sprachaufnahme) | Browser (RAM) → Azure Schweiz (Zürich) | Sofort nach Transkription gelöscht — 0 Sekunden persistent |
| Einstellungen & Token | Lokal (Browser) | Bis Löschung durch Nutzer |
| Stilprofil (Dokumentationsstil) | Lokal (Browser, localStorage) | Bis Löschung oder Zurücksetzen durch Nutzer — nicht auf dem Server gespeichert |
| Demo-Registrierung (Vorname, Nachname, E-Mail, Fachrichtung) | Server (RAM, Schweiz) | Temporär — nur während Serverbetrieb, keine persistente Speicherung |
| Session-Token (JWT) | Lokal (Browser, localStorage) | 30 Tage, dann automatische Erneuerung erforderlich |
| Bestätigungscode (6-stellig) | Server (RAM) | 15 Minuten, dann automatisch gelöscht |
| Server-Logdaten (IP, Zeitstempel) | Server (Schweiz) | Max. 30 Tage |
Demo-Registrierung & Zugang
Für den Zugang zum BlitzDoc Web-Tool ist eine einmalige Registrierung mit Vorname, Nachname, E-Mail-Adresse und optionaler Fachrichtung erforderlich. Der Ablauf:
- Ein 6-stelliger Bestätigungscode wird per E-Mail an die angegebene Adresse gesendet (Absender: info@blitzdoc.ch über Infomaniak SMTP, Schweizer Anbieter).
- Nach erfolgreicher Bestätigung wird ein Session-Token (JWT) generiert und im Browser (localStorage) gespeichert. Dieses Token ermöglicht den automatischen Zugang für 30 Tage ohne erneute Code-Eingabe.
- Die Registrierungsdaten werden nur temporär im Arbeitsspeicher (RAM) des Servers gehalten und nicht dauerhaft in einer Datenbank gespeichert.
- Das Session-Token enthält: E-Mail, Vorname, Nachname, Fachrichtung und Ablaufzeitpunkt — verschlüsselt mit HMAC-SHA256.
- Sie können Ihren Zugang jederzeit durch Löschen der Browser-Daten (localStorage) beenden.
Was BlitzDoc NICHT erhebt
- Patientennamen, AHV-Nummern, Versicherungs-IDs
- Nutzungsprofile, Verhaltensanalysen, Standortdaten
- Biometrische Daten
- Daten für KI-Training
4. Anonymisierung
Der Vitomed Connector entfernt automatisch Patientennamen und erkennbare Identifikatoren (AHV, Telefon, E-Mail) lokal im Browser, bevor etwas an den Server gesendet wird.
- Namenerkennung: Patientennamen aus dem Praxissystem werden erkannt und entfernt
- Pattern-Filterung: AHV-Nummern, Telefon, E-Mail werden per Regex erkannt
- Kontextbereinigung: Nur medizinische Sachverhalte werden übertragen
Connector-Funktionen im Detail
Der Connector bietet verschiedene Funktionen, die lokal auf Vitomed-Daten zugreifen. Nachfolgend ist für jede Funktion dokumentiert, welche Daten lokal gelesen und was an den Server übertragen wird:
- Verlaufskontext: Liest die letzten Konsultationstexte lokal aus Vitomed. Patientennamen werden lokal erkannt und entfernt. An den Server werden ausschliesslich anonymisierte medizinische Verlaufstexte übertragen.
- Kalender-Analyse (Termin Assistent): Liest Kalendereinträge lokal aus Vitomed, einschliesslich Zeiten, Arztkürzel und Termintypen. Patientennamen werden lokal entfernt. An den Server werden ausschliesslich Zeiten, Arztkürzel und Termintypen übertragen — keine Patientenidentifikatoren.
- Auto-Insert: Reine Ausgabefunktion (Server → Vitomed). Das KI-Ergebnis wird lokal in die Vitomed-Felder geschrieben. Es werden keine Daten vom Praxis-PC an den Server gesendet.
- Textbausteine (F9): Rein lokale Funktion — keine Server-Kommunikation.
- OCR (Ctrl+V): Das vom Nutzer eingefügte Bild wird an den Server zur Textextraktion übertragen, aber nicht dauerhaft gespeichert.
- Übersetzung (Ctrl+Alt+X): Der markierte Text wird vor der Übertragung automatisch anonymisiert (Patientennamen, AHV-Nr, Geburtsdaten werden lokal entfernt).
- Ambient Recording (Sprachaufnahme): Die Konsultation wird lokal im Browser aufgezeichnet. Das Audio wird an Azure Speech Services in Zürich (Switzerland North) zur Transkription gesendet — das Audiomaterial verlässt die Schweiz nicht und wird sofort nach Transkription gelöscht. Das Transkript wird lokal im Browser anonymisiert (Patientennamen, AHV-Nr., Geburtsdaten entfernt). Die SOAP-Generierung erfolgt auf EU-Servern (Azure Schweden) — ausschliesslich mit anonymisierten Daten. Einwilligung des Patienten ist vor der Aufnahme zwingend erforderlich (Art. 179ter StGB).
Grenzen: Seltene Diagnose-Kombinationen oder manuell eingegebene Personendaten können nicht automatisch erkannt werden. Bei Nutzung des Web-Tools (ohne Connector) steht eine automatische Grundfilterung gängiger Muster (z.B. AHV-Nummern) zur Verfügung, jedoch ohne Gewähr auf Vollständigkeit. Bei der Übersetzungsfunktion (Ctrl+Alt+X) erfolgt keine automatische Anonymisierung. Die Verantwortung für die Anonymisierung liegt beim Nutzer.
5. Serverstandort & Infrastruktur
Audio- und Transkriptionsverarbeitung erfolgt auf Schweizer Servern (Azure Zürich, Switzerland North). Die KI-Textgenerierung (SOAP, Arztberichte, Korrektur) erfolgt auf EU-Servern (Azure Schweden) — ausschliesslich mit anonymisierten Daten. Identifizierbare Patientendaten (Namen, AHV-Nummern, Geburtsdaten) werden lokal im Browser entfernt und verlassen die Schweiz nicht. Schweden gehört zum EU/EWR-Raum — kein Datentransfer in Drittstaaten. Mit dem Cloud-Anbieter (Microsoft Azure) besteht ein Auftragsverarbeitungsvertrag (DPA). Kein Training mit Nutzerdaten und keine Weitergabe an unbefugte Dritte.
| Verarbeitungsschritt | Standort | Datenkategorie |
|---|
| Sprachtranskription (Ambient Recording) | Schweiz (Azure Zürich) | Audio → sofort gelöscht |
| Anonymisierung | Lokal (Browser des Nutzers) | Transkript → nicht übertragen |
| KI-Textgenerierung (SOAP) | EU (Azure Schweden) | Nur anonymisierte Stichworte — keine identifizierbaren Patientendaten |
| Regex-Anonymisierung (lokal) | Lokal (Browser des Nutzers) | Regelbasierte PII-Erkennung — Patientennamen, AHV-Nr, Geburtsdaten werden vor der Übertragung entfernt |
Audio und Transkripte bleiben in der Schweiz (Azure Zürich). Für die KI-Textgenerierung werden ausschliesslich anonymisierte Daten an EU-Server (Azure Schweden) übertragen. Personenbezogene Daten werden lokal im Browser durch regelbasierte Muster (Regex) sowie serverseitig durch eine zusätzliche Anonymisierungsschicht erkannt und vor der KI-Verarbeitung entfernt. Schweden gehört zum EU/EWR-Raum — kein Datentransfer in Drittstaaten.
6. KI-Transparenz
BlitzDoc nutzt ein KI-Sprachmodell zur Textgenerierung. Die Verarbeitung erfolgt über europäische Cloud-Infrastruktur (Azure Schweden) — ausschliesslich mit anonymisierten Daten. Zusätzlich werden Ergebnisse durch unabhängige KI-Systeme auf medizinische Korrektheit geprüft (Cross-Provider-Qualitätssicherung).
- Die KI generiert Textvorschläge — der Arzt prüft und bestätigt jede Übernahme
- Jede KI-Anfrage ist zustandslos: Die KI selbst «lernt» nicht und hat kein Gedächtnis über Anfragen hinweg. Optionale Stil-Personalisierung: BlitzDoc kann Ihren Dokumentationsstil (z.B. Detailgrad, Anredeform) aus Ihren bisherigen Ergebnissen ableiten. Dieses Stilprofil wird ausschliesslich lokal in Ihrem Browser (localStorage) gespeichert und nicht auf dem Server. Bei jeder Anfrage wird das lokale Stilprofil als anonymer Hinweis (ohne Patientendaten) an die KI mitgesendet, damit die Ausgabe Ihrem Stil entspricht. Sie können das Stilprofil jederzeit zurücksetzen oder löschen.
- Beim Vitomed Connector: optionale Eintragung (Auto-Insert) nur nach ärztlicher Prüfung und Bestätigung
- Kein Profiling, keine automatisierten Einzelentscheidungen (Art. 6 Abs. 7 DSG)
Gemäss Schweizer MepV und KI-Regelwerken ist BlitzDoc als Assistenzsystem mit begrenztem Risiko eingestuft, da es keine autonome Diagnosestellung oder Behandlungsentscheidung vornimmt.
6b. Ambient Recording — Sprachaufnahme
Die Funktion «Ambient Recording» ermöglicht die Aufnahme von Arzt-Patienten-Gesprächen zur automatischen SOAP-Dokumentation. Folgende Massnahmen gewährleisten den Datenschutz:
- Einwilligung: Der Patient muss vor Beginn der Aufnahme informiert werden und seine Einwilligung erteilen. Der Connector fragt aktiv nach Bestätigung. Rechtsgrundlage: Art. 179ter StGB (Verbot des Abhörens und Aufnehmens fremder Gespräche), Art. 321 StGB (Berufsgeheimnis).
- Lokale Aufnahme: Das Audio wird ausschliesslich im Browser-RAM (Arbeitsspeicher) des Praxis-PCs aufgezeichnet. Während der Aufnahme findet kein Streaming und keine Cloud-Übertragung statt.
- Transkription in der Schweiz: Nach Beendigung der Aufnahme wird das Audio an Azure Speech Services in Zürich (Switzerland North) übertragen. Die Transkription erfolgt vollständig innerhalb der Schweizer Landesgrenzen. Das Audio wird sofort nach Transkription gelöscht und nicht gespeichert.
- Anonymisierung: Das Transkript wird lokal im Browser anonymisiert — Patientennamen, Geburtsdaten, AHV-Nummern und andere Identifikatoren werden entfernt.
- SOAP-Generierung: Nur anonymisierte medizinische Stichworte werden an den EU-Server (Azure Schweden) zur SOAP-Erstellung weitergeleitet.
- Keine Speicherung: Weder Audio, Transkript noch SOAP-Ergebnis werden dauerhaft auf einem Server gespeichert.
Datenfluss Ambient Recording: Mikrofon (lokal) → Browser-RAM (lokal) → Azure Zürich (Transkription, CH) → Browser (Anonymisierung, lokal) → Azure Schweden (KI/SOAP, EU — nur anonymisierte Daten) → SOAP-Ergebnis (lokal in Vitomed).
7. Cookies, localStorage & Tracking
BlitzDoc verwendet keine Cookies, keine Analytics und kein Tracking.
Keine Google Analytics, kein Matomo, keine Pixel, keine Social-Media-Plugins, keine externen Schriftarten (z.B. Google Fonts), keine externen CDNs. Ein Cookie-Banner ist daher nicht erforderlich.
BlitzDoc nutzt ausschliesslich localStorage (lokaler Browser-Speicher) für folgende Zwecke:
- Session-Token: Ermöglicht automatischen Demo-Zugang für 30 Tage (Schlüssel:
blitzdoc_demo_token)
- Benutzereinstellungen: Registrierungsdaten und Tour-Status (Schlüssel:
blitzdoc_demo_accepted, blitzdoc_tour_completed)
- Stilprofil: Ihr persönlicher Dokumentationsstil (Detailgrad, Anredeform, Schreibmuster) wird lokal im Browser gespeichert (Schlüssel:
blitzdoc_style_profile). Dieses Profil enthält keine Patientendaten, sondern nur statistische Stilmerkmale. Es wird bei KI-Anfragen als anonymer Hinweis mitgesendet. Sie können es jederzeit im Profil-Bereich zurücksetzen.
Diese Daten verbleiben ausschliesslich im Browser des Nutzers und werden nicht an Dritte übermittelt. Sie können jederzeit über die Browser-Einstellungen gelöscht werden.
8. Sicherheitsmassnahmen (TOM)
Gemäss Art. 8 DSG:
- Verschlüsselung: TLS 1.3 für alle Übertragungen, HTTPS-Only
- Authentifizierung: Token-basierte API-Authentifizierung
- Datensparsamkeit: Keine Datenbank, kein CRM, automatische Anonymisierung vor Übertragung
- Privacy by Default: Optionale Funktionen (Diktat, OCR) standardmässig deaktiviert
- Rate Limiting: Schutz vor Missbrauch und Überlastung
- Incident Response: Dokumentierte Prozesse für den Fall einer Sicherheitsverletzung. Meldung an EDÖB gemäss Art. 24 DSG
9. Ihre Rechte
Sie haben gemäss DSG folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf einer Einwilligung und Beschwerde bei einer Aufsichtsbehörde.
Praktischer Hinweis: Da BlitzDoc keine personenbezogenen Daten dauerhaft speichert, entfällt in der Praxis die Notwendigkeit der meisten Betroffenenrechte. Lokale Browserdaten können jederzeit eigenständig gelöscht werden.
Anfragen an: info@blitzdoc.ch — Antwort innerhalb von 30 Tagen.
10. Kontakt & Aufsichtsbehörden
BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch
Schweiz: EDÖB, Feldeggweg 1, CH-3003 Bern — www.edoeb.admin.ch
Deutschland: Datenschutzaufsichtsbehörden der Länder
Österreich: Datenschutzbehörde, Barichgasse 40–42, A-1030 Wien — www.dsb.gv.at
Diese Datenschutzerklärung kann bei gesetzlichen Änderungen oder neuen Funktionen angepasst werden. Die aktuelle Version ist stets auf dieser Seite einsehbar.