Datenschutzerklärung

Version 1.0 — Gültig ab 1. März 2026 — Letzte Aktualisierung: März 2026

Sämtliche Daten werden ausschliesslich auf Servern in der Schweiz verarbeitet (Microsoft Azure, Region Switzerland North, Zürich). Es findet zu keinem Zeitpunkt eine Datenübertragung in die USA oder andere Drittstaaten statt. Die Verarbeitung erfolgt DSG- und DSGVO-konform.

Inhaltsverzeichnis

Verantwortlicher
Geltungsbereich
Erhobene Daten
Automatische Anonymisierung
Zweck der Verarbeitung
Rechtsgrundlagen
Serverstandort & Infrastruktur
Auftragsverarbeiter
Datenspeicherung & Löschung
Lokale Datenverarbeitung
Technische Sicherheit
Cookies & Tracking
Betroffenenrechte
Besondere Kategorien
Kinder & Jugendliche
Automatisierte Entscheidungen
Änderungen
Aufsichtsbehörde
Kontakt

1. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und Art. 5 lit. j des Schweizer Datenschutzgesetzes (DSG) ist:

BlitzDoc
Inhaber: dipl. Arzt A. Özdemir
E-Mail: info@blitzdoc.ch
Datenschutz-Anfragen: info@blitzdoc.ch
Website: https://blitzdoc.ch

Es wurde kein externer Datenschutzbeauftragter bestellt, da die gesetzlichen Schwellenwerte nicht erreicht werden. Der Verantwortliche steht Ihnen für sämtliche datenschutzrechtlichen Anliegen direkt zur Verfügung.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

die Website blitzdoc.ch (nachfolgend «Website»)
die Browser-Erweiterung «BlitzDoc» für Microsoft Edge und Google Chrome (nachfolgend «Erweiterung»)
den Backend-Server (nachfolgend «Backend»)
alle damit verbundenen Dienste und Schnittstellen (API)

Sie informiert gemäss dem Schweizer Bundesgesetz über den Datenschutz (DSG, SR 235.1, revidierte Fassung in Kraft seit 1. September 2023) sowie der Europäischen Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) über Art, Umfang und Zweck der Erhebung und Verarbeitung personenbezogener Daten.

3. Erhobene Daten

3.1 Bei Nutzung der Erweiterung (Kerndienst)

Datenkategorie	Beschreibung	Speicherort	Speicherdauer
Eingabetext (Stichworte)	Vom Arzt eingegebene klinische Stichworte zur SOAP-Generierung	Backend (RAM)	Nur während Verarbeitung, keine Speicherung
Verlaufskontext	Anonymisierte letzte Besuche aus dem Praxissystem (ohne Patientennamen)	Backend (RAM)	Nur während Verarbeitung
Überweisungsbilder	Vom Nutzer fotografierte oder gescannte Überweisungsscheine zur KI-gestützten Texterkennung (nur wenn aktiv verwendet)	Backend (RAM)	Nur während Verarbeitung
Diktat (Spracherkennung)	Gesprochene Eingabe über das Mikrofon des Nutzers. Verarbeitung erfolgt lokal über die Browser Web Speech API.	Lokal (Browser)	Keine Speicherung
Einstellungen	API-Konfiguration, bevorzugte Einstellungen	Lokal (Browser)	Bis Löschung durch Nutzer
Aktivitätslog	Lokales Protokoll genutzter Funktionen (für den Nutzer selbst)	Lokal (Browser)	Bis Löschung durch Nutzer
Authentifizierungs-Token	Zugangstoken zur API-Authentifizierung	Lokal (Browser)	Bis Löschung durch Nutzer

3.2 Bei Nutzung des Web-Tools (blitzdoc.ch/tool)

Datenkategorie	Beschreibung	Speicherort	Speicherdauer
Eingabetext (Stichworte)	Vom Arzt eingegebene klinische Stichworte zur SOAP-Generierung oder Berichterstellung	Backend (RAM)	Nur während Verarbeitung, keine Speicherung
Überweisungsbilder	Per Ctrl+V eingefügte Bilder zur KI-gestützten Texterkennung (nur wenn aktiv verwendet)	Backend (RAM)	Nur während Verarbeitung

Für das Web-Tool gelten dieselben Grundsätze wie für die Erweiterung: keine dauerhafte Speicherung, keine Nutzerdatenbank, keine Verwendung zum KI-Training. Die Verarbeitung erfolgt transient (siehe Abschnitt 9.1).

3.3 Bei Nutzung der Website (allgemein)

Datenkategorie	Beschreibung	Speicherdauer
Server-Logdaten	IP-Adresse (anonymisiert), Zeitstempel, angeforderte URL, HTTP-Statuscode, Referrer, User-Agent	Max. 30 Tage (Azure-Infrastruktur)
E-Mail-Adresse (Newsletter)	Freiwillig angegebene E-Mail-Adresse für Produkt-Updates und Vorzugskonditionen	Bis Widerruf durch den Nutzer
Kontaktformular	Name, E-Mail-Adresse und Nachricht bei freiwilliger Kontaktaufnahme	Bis zur Bearbeitung der Anfrage

3.4 Daten, die NICHT erhoben werden

Patientennamen oder andere direkte Patientenidentifikatoren
AHV-Nummern, Versicherungsnummern oder Patienten-IDs
Diagnosen mit Personenbezug
E-Mail-Adressen oder Telefonnummern der Praxisnutzer (ausser bei direkter Kontaktaufnahme)
Nutzungsprofile, Verhaltensanalysen oder Bewegungsdaten
Daten für KI-Trainings oder Modellverbesserungen

4. Automatische Anonymisierung

Die Erweiterung implementiert eine mehrstufige Anonymisierung:

Namenerkennung: Patientennamen werden aus der Kopfzeile des Praxissystems gelesen und vor der Übertragung automatisch aus sämtlichen Texten entfernt.
Kontextbereinigung: Der Verlaufskontext wird so aufbereitet, dass nur medizinische Sachverhalte (Datum, Besuchsgrund, Befund) übertragen werden, niemals Personenbezeichnungen.
Überweisungs-Einlesung: Fotografierte Überweisungsscheine werden an die KI-API übermittelt, um die enthaltenen Informationen (Zuweiser, Fragestellung, Diagnose) zu extrahieren. EXIF-Daten werden nicht ausgelesen.

Technischer Hinweis: Die Anonymisierung erfolgt clientseitig (im Browser des Nutzers), bevor Daten den Computer des Arztes verlassen. Der Backend-Server erhält ausschliesslich bereits anonymisierte Daten.

5. Zweck der Datenverarbeitung

Zweck	Verarbeitete Daten	Rechtsgrundlage
Generierung von SOAP-Notizen	Stichworte, Verlaufskontext, Besuchsgrund	Einwilligung / Vertrag
Textbaustein-Expansion	Eingegebene Kürzel	Lokal (keine Übertragung)
IP-Bereinigung / Umformulierung	Eingereichte Textfelder	Einwilligung / Vertrag
Überweisungs-Einlesung	Fotografierte/gescannte Überweisungsscheine	Einwilligung / Vertrag
Diktat (Spracherkennung)	Gesprochene Eingabe (lokal verarbeitet)	Einwilligung
Betrieb und Wartung	Server-Logdaten	Berechtigtes Interesse
Sicherheit und Missbrauchsschutz	Authentifizierungs-Token, IP-Adresse	Berechtigtes Interesse

Eine Verarbeitung zu Werbezwecken, Profilbildung oder automatisierten Scoring-Zwecken findet nicht statt.

6. Rechtsgrundlagen

6.1 Schweizer Datenschutzgesetz (DSG)

Art. 6 DSG — Grundsätze: Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Erkennbarkeit, Treu und Glauben
Art. 8 DSG — Datensicherheit: Angemessene technische und organisatorische Massnahmen
Art. 16–17 DSG — Bekanntgabe ins Ausland: Nur in Staaten mit angemessenem Schutzniveau (EU/EWR gilt als angemessen gemäss Anhang 1 DSV)
Art. 19 DSG — Informationspflicht: Diese Datenschutzerklärung erfüllt die Informationspflicht
Art. 25–27 DSG — Auskunfts- und Betroffenenrechte

6.2 EU-Datenschutz-Grundverordnung (DSGVO)

Sofern die DSGVO anwendbar ist (z.B. bei Nutzung durch Praxen innerhalb des EU/EWR-Raums oder bei Verarbeitung personenbezogener Daten von EU-Bürgern), gelten folgende Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Zustimmung bei Erstnutzung der Erweiterung)
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der vereinbarten Dienste)
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Betrieb, Sicherheit, Missbrauchsschutz)
Art. 9 Abs. 2 lit. h DSGVO — Verarbeitung zu Zwecken der Gesundheitsversorgung (soweit Gesundheitsdaten betroffen sind)

7. Serverstandort und Infrastruktur

Komponente	Anbieter	Standort	Zertifizierung
Backend-Server (API)	Microsoft Azure App Service	Switzerland North (Zürich)	ISO 27001, SOC 2, DSGVO DPA
KI-Verarbeitung	Azure OpenAI Service	Switzerland North (Zürich)	SOC 2, DSGVO DPA, kein Datentraining
Website (Hosting)	Azure Static Web Apps	Global CDN (statische Inhalte)	ISO 27001, SOC 2
DNS / Domain	Infomaniak	Schweiz	—

Datenfluss: Browser des Arztes → (TLS 1.3) → Azure Backend (Schweiz) → Azure OpenAI (Schweiz) → Azure Backend → Browser des Arztes. Keine Daten verlassen die Schweiz.

7.1 Microsoft Azure Data Processing Agreement

Mit Microsoft besteht ein Auftragsverarbeitungsvertrag (Data Protection Addendum, DPA) gemäss Art. 28 DSGVO bzw. Art. 9 DSG. Microsoft verpflichtet sich vertraglich, Daten ausschliesslich innerhalb der gewählten Region (Switzerland North) zu verarbeiten und nicht für eigene Zwecke zu verwenden.

7.2 OpenAI über Azure OpenAI Service

BlitzDoc nutzt OpenAI-Modelle ausschliesslich über den Azure OpenAI Service. Im Gegensatz zur direkten OpenAI-API gelten hier folgende Garantien:

Daten werden nicht zum Training von OpenAI-Modellen verwendet
Daten werden nicht an OpenAI Inc. (USA) übertragen
Verarbeitung erfolgt ausschliesslich in der Azure-Region Switzerland North (Zürich)
Microsofts DSGVO-DPA deckt auch den Azure OpenAI Service ab

8. Auftragsverarbeiter (Unterauftragnehmer)

Auftragsverarbeiter	Zweck	Standort	Grundlage
Microsoft Corporation (Azure)	Hosting, KI-Verarbeitung	Schweiz (Zürich)	DPA gem. Art. 28 DSGVO

Weitere Auftragsverarbeiter werden nicht eingesetzt. Es findet keine Weitergabe an sonstige Dritte statt, es sei denn, wir sind gesetzlich dazu verpflichtet (z.B. aufgrund einer richterlichen Verfügung).

9. Datenspeicherung und Löschung

9.1 Echtzeit-Verarbeitung (Transient Processing)

Die KI-Verarbeitung erfolgt nach dem Prinzip der transienten Verarbeitung:

Anfrage wird über TLS 1.3 an den Backend-Server übermittelt
Backend leitet die anonymisierten Daten an Azure OpenAI weiter
Antwort wird an den Browser zurückgeleitet
Sämtliche Daten werden sofort nach Antwortgenerierung aus dem Arbeitsspeicher gelöscht

Es existiert keine Datenbank, kein Logging von Anfragen und keine Archivierung von Verarbeitungsinhalten auf dem Backend-Server.

9.2 Server-Logdaten

Standard-Zugriffsprotokollen (Access Logs) werden von der Azure-Infrastruktur automatisch erstellt und nach maximal 30 Tagen gelöscht. Diese enthalten keine Inhalte der KI-Verarbeitung, sondern ausschliesslich HTTP-Metadaten (Zeitstempel, HTTP-Methode, Statuscode, IP-Adresse).

9.3 Lokale Daten im Browser

Folgende Daten werden lokal im Browser gespeichert (chrome.storage.local) und können jederzeit durch den Nutzer gelöscht werden:

API-Einstellungen (Provider, Modell, Zugangsdaten)
Aktivitätslog (Anzahl verarbeiteter Texte pro Tag)
Nutzungseinwilligung (Disclaimer-Akzeptanz)

Die Löschung erfolgt durch Deinstallation der Erweiterung oder manuell über die Einstellungen.

10. Lokale Datenverarbeitung (ohne Serverübertragung)

Folgende Funktionen werden vollständig lokal im Browser ausgeführt, ohne dass Daten an einen Server übertragen werden:

Diktat: Die Spracherkennung nutzt die Browser-eigene Web Speech API. Audiodaten werden lokal verarbeitet und nicht an BlitzDoc-Server übertragen.
Textbausteine: Die medizinischen Textbausteine sind in der Erweiterung gespeichert und werden lokal expandiert.
Anonymisierung: Die Entfernung von Patientennamen erfolgt clientseitig.
Verlaufsanalyse: Das Auslesen des Verlaufskontexts aus dem Praxissystem erfolgt lokal im Browser.
Formularautomatisierung: Das Ausfüllen von Praxissystem-Formularen (SOAP-Felder, Terminformular) erfolgt lokal.
Einstellungsverwaltung: Alle Konfigurationen werden lokal gespeichert.

11. Technische und organisatorische Massnahmen (TOM)

Gemäss Art. 8 DSG und Art. 32 DSGVO setzen wir folgende Schutzmassnahmen ein:

11.1 Vertraulichkeit

TLS 1.3 für sämtliche Datenübertragungen (Browser ↔ Backend ↔ KI)
Token-basierte API-Authentifizierung (Bearer Token)
Keine Speicherung von Zugangsdaten auf dem Server
Zugriff auf Azure-Ressourcen ausschliesslich über gesicherte Kanäle

11.2 Integrität

Content Security Policy (CSP) in der Erweiterung
Input-Validierung auf dem Backend-Server
Automatische Sicherheitsupdates der Azure-Plattform

11.3 Verfügbarkeit

Azure App Service SLA (99.95% Verfügbarkeit)
Automatisches Scaling bei Lastspitzen
Lokale Textbausteine funktionieren auch offline

11.4 Datensparsamkeit (Privacy by Design)

Automatische Anonymisierung vor Serverübertragung
Keine dauerhafte Datenspeicherung auf dem Server
Minimale Datenerhebung: nur das für den Dienst Notwendige
Keine Nutzerdatenbank, kein CRM, kein Tracking

12. Cookies und Tracking

BlitzDoc verwendet keine Cookies, keine Web-Analytics und kein Tracking.

Keine First-Party-Cookies
Keine Third-Party-Cookies
Kein Google Analytics, Matomo oder vergleichbare Dienste
Keine Pixel, Beacons oder Fingerprinting-Technologien
Keine Social-Media-Plugins oder eingebettete Inhalte Dritter
Kein Retargeting oder Remarketing

Ein Cookie-Banner ist daher nicht erforderlich.

13. Betroffenenrechte

Sie haben gemäss DSG und DSGVO folgende Rechte:

Recht	Beschreibung	Rechtsgrundlage
Auskunft	Auskunft über über Sie gespeicherte Daten	Art. 25 DSG / Art. 15 DSGVO
Berichtigung	Korrektur unrichtiger Daten	Art. 6 Abs. 5 DSG / Art. 16 DSGVO
Löschung	Löschung Ihrer personenbezogenen Daten	Art. 17 DSGVO
Einschränkung	Einschränkung der Verarbeitung	Art. 18 DSGVO
Datenübertragbarkeit	Übergabe Ihrer Daten in maschinenlesbarem Format	Art. 28 DSG / Art. 20 DSGVO
Widerspruch	Widerspruch gegen die Verarbeitung	Art. 21 DSGVO
Widerruf	Widerruf einer erteilten Einwilligung (ohne Rückwirkung)	Art. 7 Abs. 3 DSGVO

Praktischer Hinweis: Da BlitzDoc keine personenbezogenen Nutzerdaten dauerhaft speichert (weder auf dem Server noch in einer Datenbank), entfällt in der Praxis die Notwendigkeit der meisten Betroffenenrechte. Lokale Browserdaten können jederzeit eigenständig gelöscht werden. Wir stehen Ihnen dennoch für jegliche Anfragen zur Verfügung.

Anfragen richten Sie bitte an info@blitzdoc.ch. Wir beantworten Anfragen in der Regel innerhalb von 30 Tagen.

14. Besondere Kategorien personenbezogener Daten

Die Erweiterung verarbeitet im Kontext der ärztlichen Dokumentation potentiell Gesundheitsdaten im Sinne von Art. 5 lit. c Ziff. 2 DSG bzw. Art. 9 Abs. 1 DSGVO («besondere Kategorien»).

Diese Verarbeitung ist zulässig auf Grundlage von:

Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung zu Zwecken der Gesundheitsversorgung
Art. 6 Abs. 7 DSG: Einwilligung des Nutzers
Der Nutzer (behandelnder Arzt) ist als medizinische Fachperson für die datenschutzkonforme Nutzung innerhalb seiner Praxis verantwortlich

Durch die automatische Anonymisierung vor der Serverübertragung wird sichergestellt, dass die an den Server übermittelten Daten keinen Personenbezug mehr aufweisen und somit nicht mehr als personenbezogene Daten im Sinne des Datenschutzrechts gelten.

15. Kinder und Jugendliche

BlitzDoc richtet sich ausschliesslich an medizinische Fachpersonen und ist nicht für die Nutzung durch Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine Daten von Minderjährigen.

16. Automatisierte Einzelentscheidungen und Profiling

Es finden keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO statt. Die KI-generierten Texte stellen Vorschläge dar, die stets vom behandelnden Arzt geprüft und bestätigt werden müssen. Ein Profiling der Nutzer erfolgt nicht.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, insbesondere bei gesetzlichen Änderungen, neuen Funktionen oder geänderten Verarbeitungsvorgängen. Die jeweils aktuelle Version wird auf dieser Seite veröffentlicht. Wesentliche Änderungen werden zusätzlich über die Erweiterung mitgeteilt. Das Datum der letzten Aktualisierung ist oben angegeben.

18. Zuständige Aufsichtsbehörde

Schweiz:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
CH-3003 Bern
www.edoeb.admin.ch

Sie haben das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen geltendes Datenschutzrecht verstösst.

19. Kontakt

Für sämtliche datenschutzrechtlichen Anliegen, Auskunftsbegehren oder Beschwerden wenden Sie sich bitte an:

BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch