AzA%20march%202026/security/handovers/STEP_8_LEGAL.md

# STEP 8 – Datenschutzerklärung & KI-Einwilligung

## Ziel
Erstellung rechtlich belastbarer Texte für DSG (Schweiz), DSGVO (EU),
medizinische Daten und KI-Verarbeitung.

## Erstellte Dateien

### /legal/privacy_policy.md
Vollständige Datenschutzerklärung mit:
- Verantwortlicher (Platzhalter für Praxisdaten)
- 4 Verarbeitungszwecke (Dokumentation, Kommunikation, Organisation, KI)
- Datenarten inkl. expliziter Nennung von Gesundheitsdaten (Art. 5 DSG)
- Rechtsgrundlagen DSG + DSGVO
- Speicherorte (lokal + Supabase + OpenAI API)
- Auftragsverarbeiter: OpenAI (USA, SCCs), Supabase (EU-Hosting, USA-Sitz)
- Drittlandübertragung dokumentiert
- Betroffenenrechte DSG + DSGVO
- Beschwerderecht (EDÖB + EU-Aufsicht)
- Kontaktstelle

### /legal/ai_consent.md
KI-Einwilligungserklärung mit:
- Erklärung aller 4 KI-Einsatzgebiete (Transkription, KG, Interaktion, Textprüfung)
- Konkrete Angabe der übermittelten Daten pro Funktion
- Benennung des Anbieters (OpenAI) und der Modelle
- Drittlandhinweis (USA, SCCs)
- Klare Abgrenzung: Was KI NICHT entscheidet (keine Diagnosen, keine Therapie)
- Ärztliche Verantwortung explizit festgehalten
- Widerrufsrecht mit konkreten Folgen
- Dokumentationspflicht
- Unterschriftenfelder (Einwilligung + Widerruf)

## Betroffene Dateien
| Datei | Aktion |
|-------|--------|
| /legal/privacy_policy.md | NEU erstellt |
| /legal/ai_consent.md | NEU erstellt |

## Datengrundlage
Alle Aussagen basieren auf dem tatsächlichen Code-Stand:
- OpenAI API-Nutzung: Transkription (gpt-4o-mini-transcribe), Text (gpt-5.2/5-mini/5-nano)
- Supabase Cloud-Sync (eu-central-1)
- Lokale Datenspeicherung (JSON, SQLite)
- Implementierte Sicherheitsmassnahmen aus STEP 4.x und 6

## Offene Punkte
1. **Verantwortlicher:** Platzhalter – muss mit echten Praxisdaten ausgefüllt werden
2. **Juristische Prüfung:** Beide Dokumente müssen vor Produktiveinsatz von
   einer rechtskundigen Person geprüft werden
3. **AV-Vertrag OpenAI:** DPA/AVV mit OpenAI muss geprüft/abgeschlossen werden
4. **AV-Vertrag Supabase:** DPA/AVV mit Supabase muss geprüft/abgeschlossen werden
5. **Einwilligungsformular:** Muss in druckbare Form gebracht werden (PDF/Papier)
6. **Kantonale Besonderheiten:** Aufbewahrungsfristen variieren je nach Kanton

## Risiken
- Ohne juristische Prüfung sind die Texte nicht rechtsverbindlich
- AV-Verträge mit OpenAI und Supabase fehlen noch (RED im Audit)
- Drittlandübertragung USA ist datenschutzrechtlich sensibel
-												update

											
										
										
											2026-03-25 22:03:39 +01:00
+								# STEP 8 – Datenschutzerklärung & KI-Einwilligung
 								## Ziel
 								Erstellung rechtlich belastbarer Texte für DSG (Schweiz), DSGVO (EU),
 								medizinische Daten und KI-Verarbeitung.
 								## Erstellte Dateien
 								### /legal/privacy_policy.md
 								Vollständige Datenschutzerklärung mit:
 								- Verantwortlicher (Platzhalter für Praxisdaten)
 								- 4 Verarbeitungszwecke (Dokumentation, Kommunikation, Organisation, KI)
 								- Datenarten inkl. expliziter Nennung von Gesundheitsdaten (Art. 5 DSG)
 								- Rechtsgrundlagen DSG + DSGVO
 								- Speicherorte (lokal + Supabase + OpenAI API)
 								- Auftragsverarbeiter: OpenAI (USA, SCCs), Supabase (EU-Hosting, USA-Sitz)
 								- Drittlandübertragung dokumentiert
 								- Betroffenenrechte DSG + DSGVO
 								- Beschwerderecht (EDÖB + EU-Aufsicht)
 								- Kontaktstelle
 								### /legal/ai_consent.md
 								KI-Einwilligungserklärung mit:
 								- Erklärung aller 4 KI-Einsatzgebiete (Transkription, KG, Interaktion, Textprüfung)
 								- Konkrete Angabe der übermittelten Daten pro Funktion
 								- Benennung des Anbieters (OpenAI) und der Modelle
 								- Drittlandhinweis (USA, SCCs)
 								- Klare Abgrenzung: Was KI NICHT entscheidet (keine Diagnosen, keine Therapie)
 								- Ärztliche Verantwortung explizit festgehalten
 								- Widerrufsrecht mit konkreten Folgen
 								- Dokumentationspflicht
 								- Unterschriftenfelder (Einwilligung + Widerruf)
 								## Betroffene Dateien
 								| Datei | Aktion |
 								|-------|--------|
 								| /legal/privacy_policy.md | NEU erstellt |
 								| /legal/ai_consent.md | NEU erstellt |
 								## Datengrundlage
 								Alle Aussagen basieren auf dem tatsächlichen Code-Stand:
 								- OpenAI API-Nutzung: Transkription (gpt-4o-mini-transcribe), Text (gpt-5.2/5-mini/5-nano)
 								- Supabase Cloud-Sync (eu-central-1)
 								- Lokale Datenspeicherung (JSON, SQLite)
 								- Implementierte Sicherheitsmassnahmen aus STEP 4.x und 6
 								## Offene Punkte
 . **Verantwortlicher:** Platzhalter – muss mit echten Praxisdaten ausgefüllt werden
 . **Juristische Prüfung:** Beide Dokumente müssen vor Produktiveinsatz von
 								   einer rechtskundigen Person geprüft werden
 . **AV-Vertrag OpenAI:** DPA/AVV mit OpenAI muss geprüft/abgeschlossen werden
 . **AV-Vertrag Supabase:** DPA/AVV mit Supabase muss geprüft/abgeschlossen werden
 . **Einwilligungsformular:** Muss in druckbare Form gebracht werden (PDF/Papier)
 . **Kantonale Besonderheiten:** Aufbewahrungsfristen variieren je nach Kanton
 								## Risiken
 								- Ohne juristische Prüfung sind die Texte nicht rechtsverbindlich
 								- AV-Verträge mit OpenAI und Supabase fehlen noch (RED im Audit)
 								- Drittlandübertragung USA ist datenschutzrechtlich sensibel