suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
27290c3fd92f1a7ca1e354395defbf4eb29a4f94
aza/AzA march 2026/security/handovers/STEP_8_LEGAL.md
suro faf4ca10c9 update
2026-03-25 22:03:39 +01:00

2.4 KiB
Raw Blame History

STEP 8 Datenschutzerklärung & KI-Einwilligung

Ziel

Erstellung rechtlich belastbarer Texte für DSG (Schweiz), DSGVO (EU), medizinische Daten und KI-Verarbeitung.

Erstellte Dateien

/legal/privacy_policy.md

Vollständige Datenschutzerklärung mit:

  • Verantwortlicher (Platzhalter für Praxisdaten)
  • 4 Verarbeitungszwecke (Dokumentation, Kommunikation, Organisation, KI)
  • Datenarten inkl. expliziter Nennung von Gesundheitsdaten (Art. 5 DSG)
  • Rechtsgrundlagen DSG + DSGVO
  • Speicherorte (lokal + Supabase + OpenAI API)
  • Auftragsverarbeiter: OpenAI (USA, SCCs), Supabase (EU-Hosting, USA-Sitz)
  • Drittlandübertragung dokumentiert
  • Betroffenenrechte DSG + DSGVO
  • Beschwerderecht (EDÖB + EU-Aufsicht)
  • Kontaktstelle

/legal/ai_consent.md

KI-Einwilligungserklärung mit:

  • Erklärung aller 4 KI-Einsatzgebiete (Transkription, KG, Interaktion, Textprüfung)
  • Konkrete Angabe der übermittelten Daten pro Funktion
  • Benennung des Anbieters (OpenAI) und der Modelle
  • Drittlandhinweis (USA, SCCs)
  • Klare Abgrenzung: Was KI NICHT entscheidet (keine Diagnosen, keine Therapie)
  • Ärztliche Verantwortung explizit festgehalten
  • Widerrufsrecht mit konkreten Folgen
  • Dokumentationspflicht
  • Unterschriftenfelder (Einwilligung + Widerruf)

Betroffene Dateien

Datei Aktion
/legal/privacy_policy.md NEU erstellt
/legal/ai_consent.md NEU erstellt

Datengrundlage

Alle Aussagen basieren auf dem tatsächlichen Code-Stand:

  • OpenAI API-Nutzung: Transkription (gpt-4o-mini-transcribe), Text (gpt-5.2/5-mini/5-nano)
  • Supabase Cloud-Sync (eu-central-1)
  • Lokale Datenspeicherung (JSON, SQLite)
  • Implementierte Sicherheitsmassnahmen aus STEP 4.x und 6

Offene Punkte

  1. Verantwortlicher: Platzhalter muss mit echten Praxisdaten ausgefüllt werden
  2. Juristische Prüfung: Beide Dokumente müssen vor Produktiveinsatz von einer rechtskundigen Person geprüft werden
  3. AV-Vertrag OpenAI: DPA/AVV mit OpenAI muss geprüft/abgeschlossen werden
  4. AV-Vertrag Supabase: DPA/AVV mit Supabase muss geprüft/abgeschlossen werden
  5. Einwilligungsformular: Muss in druckbare Form gebracht werden (PDF/Papier)
  6. Kantonale Besonderheiten: Aufbewahrungsfristen variieren je nach Kanton

Risiken

  • Ohne juristische Prüfung sind die Texte nicht rechtsverbindlich
  • AV-Verträge mit OpenAI und Supabase fehlen noch (RED im Audit)
  • Drittlandübertragung USA ist datenschutzrechtlich sensibel
Reference in New Issue View Git Blame Copy Permalink