Datenschutz-Folgenabschätzung

Gemäss nDSG Art. 22 / DSGVO Art. 35 — Version 1.0, 4. März 2026

Warum diese DSFA? BlitzDoc verarbeitet Gesundheitsdaten (besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG) mittels KI-Technologie. Dies erfordert gemäss nDSG Art. 22 eine Datenschutz-Folgenabschätzung.

1. Beschreibung der Verarbeitung

Verantwortlicher	BlitzDoc — dipl. Arzt A. Özdemir, Schweiz
System	BlitzDoc Web-Tool + Vitomed Connector (Bookmarklet)
Zweck	KI-gestützte Erstellung medizinischer Dokumentation (SOAP-Notizen, Arztberichte)
Betroffene	Patienten (indirekt über ärztliche Eingaben), Ärzte (als Nutzer)
Rechtsgrundlage	Einwilligung (Art. 6 Abs. 6 lit. a DSG), berechtigtes Interesse des Arztes an effizienter Dokumentation
Datenstandort	Audio & Transkription: Schweiz (Azure Zürich, Switzerland North). KI-Textgenerierung: EU (Azure Schweden) — nur anonymisierte Daten

2. Verarbeitete Datenkategorien

Datenkategorie	Verarbeitungsort	Speicherdauer	Personenbezug
Arzt-Stichworte (Texteingabe)	Server (RAM)	0 Sekunden persistent	Anonymisiert vor Übertragung
Ambient Recording (Audio)	Browser (lokal) → Azure CH	Sofort nach Transkription gelöscht	Enthält Patientenstimme
Transkript (aus Audio)	Browser (lokal)	Nur Sitzungsdauer	Automatisch anonymisiert
Verlaufskontext (aus Vitomed)	Browser (lokal) → Server (RAM)	0 Sekunden persistent	Patientennamen lokal entfernt
Bilder (OCR)	Server (RAM)	0 Sekunden persistent	Vom Nutzer bereitgestellt
Kalender (Termine)	Browser (lokal) → Server (RAM)	0 Sekunden persistent	Patientennamen lokal entfernt
API-Token	Browser (localStorage)	Bis Löschung durch Nutzer	Nutzerbezogen

3. Risikoanalyse

3.1 Identifizierte Risiken

Risiko	Eintrittswahrscheinlichkeit	Schweregrad	Risikostufe
Re-Identifikation durch seltene Diagnose-Kombinationen	Gering	Mittel	Mittel
Unbefugter Zugriff auf Audio während Transkription	Sehr gering	Hoch	Mittel
Aufnahme ohne Patienteneinwilligung	Gering (technisch abgesichert)	Hoch	Mittel
KI generiert falsche medizinische Informationen	Mittel	Mittel	Mittel
Datenverlust durch Server-Ausfall	Gering	Gering	Gering
Token-Diebstahl durch Phishing	Gering	Mittel	Gering

3.2 Getroffene Massnahmen

Risiko	Massnahme	Restrisiko
Re-Identifikation	Automatische lokale Anonymisierung (Patientennamen, AHV-Nr., Geburtsdaten werden vor Übertragung entfernt). Keine dauerhafte Speicherung auf dem Server.	Gering
Unbefugter Audio-Zugriff	TLS 1.3 Verschlüsselung. Audio nur im RAM verarbeitet und sofort gelöscht. Azure Switzerland North mit ISO 27001 Zertifizierung. Kein Streaming während Aufnahme.	Gering
Aufnahme ohne Einwilligung	Connector fragt aktiv nach Bestätigung vor Aufnahmestart. Einwilligungsformular als Vorlage bereitgestellt. Hinweis auf Art. 179^ter StGB in der Benutzeroberfläche.	Gering
Falsche KI-Informationen	Arzt prüft und genehmigt jeden generierten Text. Keine automatische Eintragung ohne Bestätigung. Klare Kennzeichnung als «Vorschlag». Zweckbestimmung dokumentiert.	Gering
Datenverlust	Kein relevantes Risiko: keine Daten werden persistent gespeichert. Alle Daten existieren nur während der Verarbeitungsdauer im RAM.	Minimal
Token-Diebstahl	Token in localStorage (Browser-lokal, nicht über URL exponiert). UUID-Format (kryptografisch zufällig). Rate Limiting gegen Brute-Force.	Gering

4. Ambient Recording — Spezifische Bewertung

Die Sprachaufnahme-Funktion erfordert besondere Aufmerksamkeit, da sie Patientenstimmen verarbeitet:

Aspekt	Massnahme
Einwilligung	Pflicht gemäss Art. 179^ter StGB. Vorlage bereitgestellt (Einwilligungsformular). Connector fragt vor jeder Aufnahme.
Aufnahme	Ausschliesslich lokal im Browser-RAM. Kein Cloud-Streaming während Aufnahme.
Transkription	Azure Speech Services, Rechenzentrum Zürich (Switzerland North). Audio sofort nach Transkription gelöscht.
Anonymisierung	Transkript wird lokal anonymisiert: Patientennamen, AHV-Nr., Geburtsdaten automatisch entfernt.
KI-Verarbeitung	Nur anonymisierte Stichworte an EU-Server (Azure Schweden). Identifizierbare Patientendaten verlassen die Schweiz nicht. Kein Datentransfer in Drittstaaten (Schweden = EU/EWR). nDSG-konform.
Speicherung	Keinerlei dauerhafte Speicherung von Audio, Transkript oder SOAP-Ergebnis auf dem Server.

5. Technische und organisatorische Massnahmen (TOM)

Verschlüsselung: TLS 1.3 für alle Übertragungen, HTTPS-Only
Authentifizierung: Token-basierte API-Authentifizierung (UUID)
Datensparsamkeit: Keine Datenbank, keine persistente Speicherung, RAM-only Verarbeitung
Anonymisierung: Automatische lokale Entfernung von Patientenidentifikatoren vor Serverübertragung
Serverstandort: Audio & Transkription: Azure Zürich (Switzerland North). KI-Textgenerierung: Azure Schweden (EU) — nur anonymisierte Daten. Kein Datentransfer in Drittstaaten.
Privacy by Design: Optionale Funktionen (Diktat, OCR, Ambient Recording) standardmässig deaktiviert
Rate Limiting: Schutz vor Missbrauch und Überlastung
Auftragsverarbeitung: DPA mit Microsoft Azure (Schweiz)
Zugriffskontrolle: Pro-Nutzer-Token, keine geteilten Credentials

6. Ergebnis der Folgenabschätzung

✓ Das Restrisiko ist tragbar. Die getroffenen technischen und organisatorischen Massnahmen reduzieren alle identifizierten Risiken auf ein akzeptables Niveau. Insbesondere:

Keine dauerhafte Speicherung von Gesundheitsdaten auf dem Server
Automatische Anonymisierung vor jeder Serverübertragung
Audio & Transkription: Schweizer Server (Azure Zürich). KI-Textgenerierung: EU-Server (Azure Schweden) — nur mit anonymisierten Daten
Ärztliche Prüfpflicht als letzte Kontrollinstanz
Patienteneinwilligung bei Sprachaufnahme obligatorisch

7. Überprüfung

Diese DSFA wird bei wesentlichen Änderungen der Verarbeitungsprozesse, bei Einführung neuer Funktionen oder mindestens jährlich überprüft und aktualisiert.

8. Kontakt

BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch

Erstellt: 4. März 2026 — Nächste Überprüfung: März 2027