Datenschutzerklärung

Version 2.6 — Gültig ab 14. April 2026

🔒 Schweizer & europäischer Datenschutz: Alle Daten werden ausschliesslich auf Microsoft Azure Servern in der Schweiz (Switzerland North) sowie für die Audio-Transkription im EU/EWR-Raum (Sweden Central) verarbeitet. Keine Übermittlung in die USA oder andere Drittländer. Der EU/EWR-Raum ist gemäss revFADP datenschutzrechtlich der Schweiz gleichgestellt (Angemessenheitsbeschluss). Keine dauerhafte Inhaltsspeicherung, kein KI-Training, nDSG-konform.

Datenfluss — So verarbeitet BlitzDoc Ihre Eingaben

🩺

1. Arzt gibt ein

Stichworte, Mundart, Freitext — am Praxis-PC

➔

🛡️

2. Anonymisierung

Namen, AHV, Daten werden lokal entfernt

➔

⚡

3. Schweizer KI

SOAP: nur anonyme Stichworte — Schweizer Server, TLS-verschlüsselt

➔

✅

4. Ergebnis

SOAP / Bericht zurück — nichts gespeichert

Keine Speicherung

Lokale Verarbeitung

Kein KI-Training

✓ Das Wichtigste auf einen Blick

🟢 Keine identifizierbaren Patientendaten auf dem Server — Für SOAP, Verlaufskontext, Kalender und Ambient Recording werden Patientennamen lokal im Browser entfernt. Für OCR und Übersetzung gelten separate Regelungen (siehe Abschnitt 4).
🟢 Keine dauerhafte Speicherung — Alle Daten existieren nur während der Verarbeitung im Arbeitsspeicher (RAM), danach sofort gelöscht.
🟢 Kein KI-Training — Ihre Eingaben und Ausgaben werden nicht zum Modelltraining verwendet.
🟢 Schweizer & EU/EWR-Datenresidenz — Alle Daten werden auf Microsoft Azure Servern in der Schweiz (Switzerland North) und für die Audio-Transkription im EU/EWR-Raum (Sweden Central) verarbeitet. Keine Übermittlung in die USA oder andere Drittländer.
🟢 Kein Tracking, keine Cookies — Keine Analytics, keine Werbung, keine externen Dienste.
🟢 nDSG-konform — Schweizer Datenschutzgesetz (nDSG, seit 1.9.2023) vollständig eingehalten.

1. Verantwortlicher

BlitzDoc
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch

2. Geltungsbereich

Diese Erklärung gilt für die Website blitzdoc.ch, das Web-Tool, den Vitomed Connector (Bookmarklet) und die Microsoft Azure Server-Infrastruktur (Switzerland North und Sweden Central). Datenverarbeitung erfolgt ausschliesslich in der Schweiz oder im EU/EWR-Raum — keine Übermittlung in die USA. Rechtsgrundlage: Schweizer Datenschutzgesetz (nDSG, seit 1.9.2023) und EU-Angemessenheitsbeschluss gemäss revFADP.

3. Erhobene Daten

Datenkategorie	Speicherort	Speicherdauer
Eingabetext (Stichworte, Befunde)	Schweizer Server (RAM, anonymisiert)	Nur während Verarbeitung — 0 Sekunden persistent
Überweisungsbilder (OCR)	Schweizer Server (RAM)	Nur während Verarbeitung
Diktat (Spracherkennung)	Lokal (Browser)	Keine Speicherung
Ambient Recording (Sprachaufnahme)	Browser (RAM) → Microsoft Azure Sweden Central (EU/EWR) für Transkription — KI-Textgenerierung anschliessend in Azure Schweiz (Zürich)	Sofort nach Transkription gelöscht — 0 Sekunden persistent
Einstellungen & Token	Lokal (Browser)	Bis Löschung durch Nutzer
Stilprofil (Dokumentationsstil)	Lokal (Browser, localStorage)	Bis Löschung oder Zurücksetzen durch Nutzer — nicht auf dem Server gespeichert
Demo-Registrierung (Vorname, Nachname, E-Mail, Fachrichtung)	Server (RAM, Schweiz)	Temporär — nur während Serverbetrieb, keine persistente Speicherung
Session-Token (JWT)	Lokal (Browser, localStorage)	30 Tage, dann automatische Erneuerung erforderlich
Bestätigungscode (6-stellig)	Server (RAM)	15 Minuten, dann automatisch gelöscht
Server-Logdaten (IP, Zeitstempel)	Server (Schweiz)	Max. 30 Tage

Demo-Registrierung & Zugang

Für den Zugang zum BlitzDoc Web-Tool ist eine einmalige Registrierung mit Vorname, Nachname, E-Mail-Adresse und optionaler Fachrichtung erforderlich. Der Ablauf:

Ein 6-stelliger Bestätigungscode wird per E-Mail an die angegebene Adresse gesendet (Absender: info@blitzdoc.ch über Infomaniak SMTP, Schweizer Anbieter).
Nach erfolgreicher Bestätigung wird ein Session-Token (JWT) generiert und im Browser (localStorage) gespeichert. Dieses Token ermöglicht den automatischen Zugang für 30 Tage ohne erneute Code-Eingabe.
Die Registrierungsdaten werden nur temporär im Arbeitsspeicher (RAM) des Servers gehalten und nicht dauerhaft in einer Datenbank gespeichert.
Das Session-Token enthält: E-Mail, Vorname, Nachname, Fachrichtung und Ablaufzeitpunkt — verschlüsselt mit HMAC-SHA256.
Sie können Ihren Zugang jederzeit durch Löschen der Browser-Daten (localStorage) beenden.

Was BlitzDoc NICHT erhebt

Patientennamen, AHV-Nummern, Versicherungs-IDs
Nutzungsprofile, Verhaltensanalysen, Standortdaten
Biometrische Daten
Daten für KI-Training

4. Anonymisierung

Der Vitomed Connector entfernt automatisch Patientennamen und erkennbare Identifikatoren (AHV, Telefon, E-Mail) lokal im Browser, bevor etwas an den Server gesendet wird.

Namenerkennung: Patientennamen aus dem Praxissystem werden erkannt und entfernt
Pattern-Filterung: AHV-Nummern, Telefon, E-Mail werden per Regex erkannt
Kontextbereinigung: Nur medizinische Sachverhalte werden übertragen

Connector-Funktionen im Detail

Der Connector bietet verschiedene Funktionen, die lokal auf Vitomed-Daten zugreifen. Nachfolgend ist für jede Funktion dokumentiert, welche Daten lokal gelesen und was an den Server übertragen wird:

Verlaufskontext: Liest die letzten Konsultationstexte lokal aus Vitomed. Patientennamen werden lokal erkannt und entfernt. An den Server werden ausschliesslich anonymisierte medizinische Verlaufstexte übertragen.
Kalender-Analyse (Termin Assistent): Liest Kalendereinträge lokal aus Vitomed, einschliesslich Zeiten, Arztkürzel und Termintypen. Patientennamen werden lokal entfernt. An den Server werden ausschliesslich Zeiten, Arztkürzel und Termintypen übertragen — keine Patientenidentifikatoren.
Auto-Insert: Reine Ausgabefunktion (Server → Vitomed). Das KI-Ergebnis wird lokal in die Vitomed-Felder geschrieben. Es werden keine Daten vom Praxis-PC an den Server gesendet.
Textbausteine (F9): Rein lokale Funktion — keine Server-Kommunikation.
OCR (Ctrl+V): Das vom Nutzer eingefügte Bild wird an den Server zur Textextraktion übertragen, aber nicht dauerhaft gespeichert.
Übersetzung (Ctrl+Alt+X): Der markierte Text wird vor der Übertragung automatisch anonymisiert (Patientennamen, AHV-Nr, Geburtsdaten werden lokal entfernt).
Ambient Recording (Sprachaufnahme): Die Konsultation wird lokal im Browser aufgezeichnet. Das Audio wird an Microsoft Azure Sweden Central (EU/EWR) zur Transkription übertragen — das Audiomaterial verlässt den europäischen Wirtschaftsraum nicht und wird sofort nach Transkription gelöscht. Das Transkript wird lokal im Browser anonymisiert (Patientennamen, AHV-Nr., Geburtsdaten entfernt). Die SOAP-Generierung erfolgt auf Schweizer Servern (Azure Zürich, Switzerland North). Keine Übermittlung in die USA. Einwilligung des Patienten ist vor der Aufnahme zwingend erforderlich (Art. 179^ter StGB).

Grenzen: Seltene Diagnose-Kombinationen oder manuell eingegebene Personendaten können nicht automatisch erkannt werden. Bei Nutzung des Web-Tools (ohne Connector) steht eine automatische Grundfilterung gängiger Muster (z.B. AHV-Nummern) zur Verfügung, jedoch ohne Gewähr auf Vollständigkeit. Bei der Übersetzungsfunktion (Ctrl+Alt+X) erfolgt keine automatische Anonymisierung. Die Verantwortung für die Anonymisierung liegt beim Nutzer.

5. Serverstandort & Infrastruktur

Schweizer & EU/EWR-Datenresidenz (Microsoft Azure): Die KI-Textgenerierung (SOAP, Arztberichte, Korrektur) erfolgt ausschliesslich auf Schweizer Servern (Azure Zürich, Switzerland North). Die Audio-Transkription (Ambient Recording) erfolgt auf Microsoft Azure Servern im EU/EWR-Raum (Sweden Central), da das verwendete Transkriptionsmodell (gpt-4o-transcribe-diarize) aktuell nicht in der Schweizer Region verfügbar ist. Keine Übermittlung in die USA oder andere Drittländer. Der EU/EWR-Raum ist gemäss revFADP datenschutzrechtlich der Schweiz gleichgestellt (Angemessenheitsbeschluss). Identifizierbare Patientendaten (Namen, AHV-Nummern, Geburtsdaten) werden zusätzlich lokal im Browser entfernt. Mit Microsoft besteht ein Auftragsverarbeitungsvertrag (Microsoft Online Services DPA, Standardvertragsklauseln nicht erforderlich aufgrund EU-Adequacy). Kein Training mit Nutzerdaten und keine Weitergabe an unbefugte Dritte.

Verarbeitungsschritt	Standort	Datenkategorie
Sprachtranskription (Ambient Recording)	EU/EWR (Microsoft Azure Sweden Central)	Audio → sofort gelöscht, kein Training
Anonymisierung	Lokal (Browser) + Schweiz (Server)	Patientennamen, AHV-Nr, Geburtsdaten werden entfernt
KI-Textgenerierung (SOAP)	Schweiz (Microsoft Azure Switzerland North)	Nur anonymisierte Stichworte — keine identifizierbaren Patientendaten
Web-Hosting & Logs	Schweiz	IP-Adressen, max. 30 Tage

Alle Datenverarbeitung findet ausschliesslich in der Schweiz oder im EU/EWR-Raum (Microsoft Azure) statt — keine Übermittlung in die USA. Personenbezogene Daten werden lokal im Browser durch regelbasierte Muster (Regex) sowie serverseitig durch eine zusätzliche Anonymisierungsschicht erkannt und vor der KI-Verarbeitung entfernt.

6. KI-Transparenz

BlitzDoc nutzt ein KI-Sprachmodell zur Textgenerierung. Die SOAP-Verarbeitung erfolgt auf Schweizer Servern (Microsoft Azure Switzerland North). Die Audio-Transkription erfolgt auf Microsoft Azure Servern im EU/EWR-Raum (Sweden Central). Keine Übermittlung in die USA.

Die KI generiert Textvorschläge — der Arzt prüft und bestätigt jede Übernahme
Jede KI-Anfrage ist zustandslos: Die KI selbst «lernt» nicht und hat kein Gedächtnis über Anfragen hinweg. Optionale Stil-Personalisierung: BlitzDoc kann Ihren Dokumentationsstil (z.B. Detailgrad, Anredeform) aus Ihren bisherigen Ergebnissen ableiten. Dieses Stilprofil wird ausschliesslich lokal in Ihrem Browser (localStorage) gespeichert und nicht auf dem Server. Bei jeder Anfrage wird das lokale Stilprofil als anonymer Hinweis (ohne Patientendaten) an die KI mitgesendet, damit die Ausgabe Ihrem Stil entspricht. Sie können das Stilprofil jederzeit zurücksetzen oder löschen.
Beim Vitomed Connector: optionale Eintragung (Auto-Insert) nur nach ärztlicher Prüfung und Bestätigung
Kein Profiling, keine automatisierten Einzelentscheidungen (Art. 6 Abs. 7 DSG)

Gemäss Schweizer MepV und KI-Regelwerken ist BlitzDoc als Assistenzsystem mit begrenztem Risiko eingestuft, da es keine autonome Diagnosestellung oder Behandlungsentscheidung vornimmt.

6b. Ambient Recording — Sprachaufnahme

Die Funktion «Ambient Recording» ermöglicht die Aufnahme von Arzt-Patienten-Gesprächen zur automatischen SOAP-Dokumentation. Folgende Massnahmen gewährleisten den Datenschutz:

Einwilligung: Der Patient muss vor Beginn der Aufnahme informiert werden und seine Einwilligung erteilen. Der Connector fragt aktiv nach Bestätigung. Rechtsgrundlage: Art. 179^ter StGB (Verbot des Abhörens und Aufnehmens fremder Gespräche), Art. 321 StGB (Berufsgeheimnis).
Lokale Aufnahme: Das Audio wird ausschliesslich im Browser-RAM (Arbeitsspeicher) des Praxis-PCs aufgezeichnet. Während der Aufnahme findet kein Streaming und keine Cloud-Übertragung statt.
Transkription im EU/EWR-Raum: Nach Beendigung der Aufnahme wird das Audio an Microsoft Azure Sweden Central (EU/EWR) übertragen. Die Transkription erfolgt mit dem Modell gpt-4o-transcribe-diarize, das aktuell nicht in der Schweizer Azure-Region verfügbar ist. Keine Übermittlung in die USA. Das Audio wird sofort nach Transkription gelöscht und nicht gespeichert. Microsoft Azure ist gemäss EU-Angemessenheitsbeschluss (revFADP) datenschutzrechtlich der Schweiz gleichgestellt.
Anonymisierung: Das Transkript wird lokal im Browser anonymisiert — Patientennamen, Geburtsdaten, AHV-Nummern und andere Identifikatoren werden entfernt.
SOAP-Generierung in der Schweiz: Nur anonymisierte medizinische Stichworte werden an den Schweizer Server (Azure Zürich, Switzerland North) zur SOAP-Erstellung weitergeleitet.
Keine Speicherung: Weder Audio, Transkript noch SOAP-Ergebnis werden dauerhaft auf einem Server gespeichert.

Datenfluss Ambient Recording: Mikrofon (lokal) → Browser-RAM (lokal) → Microsoft Azure Sweden Central (Transkription, EU/EWR) → Browser (Anonymisierung, lokal) → Microsoft Azure Switzerland North (KI/SOAP) → SOAP-Ergebnis (lokal in Vitomed). Alle Schritte in der Schweiz oder im EU/EWR-Raum — keine Übermittlung in die USA.

7. Cookies, localStorage & Tracking

BlitzDoc verwendet keine Cookies, keine Analytics und kein Tracking.

Keine Google Analytics, kein Matomo, keine Pixel, keine Social-Media-Plugins, keine externen Schriftarten (z.B. Google Fonts), keine externen CDNs. Ein Cookie-Banner ist daher nicht erforderlich.

BlitzDoc nutzt ausschliesslich localStorage (lokaler Browser-Speicher) für folgende Zwecke:

Session-Token: Ermöglicht automatischen Demo-Zugang für 30 Tage (Schlüssel: blitzdoc_demo_token)
Benutzereinstellungen: Registrierungsdaten und Tour-Status (Schlüssel: blitzdoc_demo_accepted, blitzdoc_tour_completed)
Stilprofil: Ihr persönlicher Dokumentationsstil (Detailgrad, Anredeform, Schreibmuster) wird lokal im Browser gespeichert (Schlüssel: blitzdoc_style_profile). Dieses Profil enthält keine Patientendaten, sondern nur statistische Stilmerkmale. Es wird bei KI-Anfragen als anonymer Hinweis mitgesendet. Sie können es jederzeit im Profil-Bereich zurücksetzen.

Diese Daten verbleiben ausschliesslich im Browser des Nutzers und werden nicht an Dritte übermittelt. Sie können jederzeit über die Browser-Einstellungen gelöscht werden.

8. Sicherheitsmassnahmen (TOM)

Gemäss Art. 8 DSG:

Verschlüsselung: TLS 1.3 für alle Übertragungen, HTTPS-Only
Authentifizierung: Token-basierte API-Authentifizierung
Datensparsamkeit: Keine Datenbank, kein CRM, automatische Anonymisierung vor Übertragung
Privacy by Default: Optionale Funktionen (Diktat, OCR) standardmässig deaktiviert
Rate Limiting: Schutz vor Missbrauch und Überlastung
Incident Response: Dokumentierte Prozesse für den Fall einer Sicherheitsverletzung. Meldung an EDÖB gemäss Art. 24 DSG

9. Ihre Rechte

Sie haben gemäss DSG folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf einer Einwilligung und Beschwerde bei einer Aufsichtsbehörde.

Praktischer Hinweis: Da BlitzDoc keine personenbezogenen Daten dauerhaft speichert, entfällt in der Praxis die Notwendigkeit der meisten Betroffenenrechte. Lokale Browserdaten können jederzeit eigenständig gelöscht werden.

Anfragen an: info@blitzdoc.ch — Antwort innerhalb von 30 Tagen.

10. Kontakt & Aufsichtsbehörden

BlitzDoc — Datenschutz
E-Mail: info@blitzdoc.ch
Website: https://blitzdoc.ch

Schweiz: EDÖB, Feldeggweg 1, CH-3003 Bern — www.edoeb.admin.ch

Deutschland: Datenschutzaufsichtsbehörden der Länder

Österreich: Datenschutzbehörde, Barichgasse 40–42, A-1030 Wien — www.dsb.gv.at

Diese Datenschutzerklärung kann bei gesetzlichen Änderungen oder neuen Funktionen angepasst werden. Die aktuelle Version ist stets auf dieser Seite einsehbar.