suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
22397f1d2865a5b88ece72dfad33f302e6fcfbf9
aza/AzA march 2026 - Kopie (7)/security/handovers/STEP_8_LEGAL.md
suro 3bdc930d6e update
2026-04-16 13:32:32 +02:00

60 lines
2.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# STEP 8 Datenschutzerklärung & KI-Einwilligung
## Ziel
Erstellung rechtlich belastbarer Texte für DSG (Schweiz), DSGVO (EU),
medizinische Daten und KI-Verarbeitung.
## Erstellte Dateien
### /legal/privacy_policy.md
Vollständige Datenschutzerklärung mit:
- Verantwortlicher (Platzhalter für Praxisdaten)
- 4 Verarbeitungszwecke (Dokumentation, Kommunikation, Organisation, KI)
- Datenarten inkl. expliziter Nennung von Gesundheitsdaten (Art. 5 DSG)
- Rechtsgrundlagen DSG + DSGVO
- Speicherorte (lokal + Supabase + OpenAI API)
- Auftragsverarbeiter: OpenAI (USA, SCCs), Supabase (EU-Hosting, USA-Sitz)
- Drittlandübertragung dokumentiert
- Betroffenenrechte DSG + DSGVO
- Beschwerderecht (EDÖB + EU-Aufsicht)
- Kontaktstelle
### /legal/ai_consent.md
KI-Einwilligungserklärung mit:
- Erklärung aller 4 KI-Einsatzgebiete (Transkription, KG, Interaktion, Textprüfung)
- Konkrete Angabe der übermittelten Daten pro Funktion
- Benennung des Anbieters (OpenAI) und der Modelle
- Drittlandhinweis (USA, SCCs)
- Klare Abgrenzung: Was KI NICHT entscheidet (keine Diagnosen, keine Therapie)
- Ärztliche Verantwortung explizit festgehalten
- Widerrufsrecht mit konkreten Folgen
- Dokumentationspflicht
- Unterschriftenfelder (Einwilligung + Widerruf)
## Betroffene Dateien
| Datei | Aktion |
|-------|--------|
| /legal/privacy_policy.md | NEU erstellt |
| /legal/ai_consent.md | NEU erstellt |
## Datengrundlage
Alle Aussagen basieren auf dem tatsächlichen Code-Stand:
- OpenAI API-Nutzung: Transkription (gpt-4o-mini-transcribe), Text (gpt-5.2/5-mini/5-nano)
- Supabase Cloud-Sync (eu-central-1)
- Lokale Datenspeicherung (JSON, SQLite)
- Implementierte Sicherheitsmassnahmen aus STEP 4.x und 6
## Offene Punkte
1. **Verantwortlicher:** Platzhalter muss mit echten Praxisdaten ausgefüllt werden
2. **Juristische Prüfung:** Beide Dokumente müssen vor Produktiveinsatz von
einer rechtskundigen Person geprüft werden
3. **AV-Vertrag OpenAI:** DPA/AVV mit OpenAI muss geprüft/abgeschlossen werden
4. **AV-Vertrag Supabase:** DPA/AVV mit Supabase muss geprüft/abgeschlossen werden
5. **Einwilligungsformular:** Muss in druckbare Form gebracht werden (PDF/Papier)
6. **Kantonale Besonderheiten:** Aufbewahrungsfristen variieren je nach Kanton
## Risiken
- Ohne juristische Prüfung sind die Texte nicht rechtsverbindlich
- AV-Verträge mit OpenAI und Supabase fehlen noch (RED im Audit)
- Drittlandübertragung USA ist datenschutzrechtlich sensibel
Reference in New Issue View Git Blame Copy Permalink