Auftragsverarbeitungsvertrag (AVV)
Gemäss Art. 9 DSG. Gültig ab: Mai 2026
Präambel
Dieser Auftragsverarbeitungsvertrag ("AVV") präzisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Rahmen der Nutzung der CuraCore Software. Der behandelnde Arzt bzw. die medizinische Einrichtung agiert als Verantwortlicher, Hefti Horizon agiert als Auftragsbearbeiter.
1. Gegenstand und Dauer der Verarbeitung
Gegenstand der Verarbeitung ist die temporäre Verarbeitung von Gesundheitsdaten (wie Diagnosen und Anamnesen) zur KI-gestützten Erstellung medizinischer und administrativer Dokumente (z.B. Kostengutsprachen). Die Verarbeitung erfolgt für die Dauer der Nutzung der Software.
2. Subunternehmer
Der Auftragsbearbeiter ist berechtigt, zur Erbringung der Dienstleistung folgende Subunternehmer heranzuziehen. Wir setzen auf höchste lokale Datensouveränität in der Schweiz.
- Subunternehmer für die KI-gestützte Textverarbeitung: Infomaniak AG, Schweiz (LLM-Modell: Apertus).
Sämtliche Datenverarbeitung für das KI-Modell findet zu 100% auf Servern in Genf, Schweiz statt. - Subunternehmer für Datenbank-Hosting (Supabase): Supabase Inc. (gehostet auf Schweizer Serverinfrastruktur in Zürich).
Ausschliessliche Speicherung von Arztprofilen und Accountdaten. Es werden keine Patientendaten gespeichert. - Subunternehmer für Zahlungsabwicklung: Stripe Inc. (Kreditkarten- und Accountabrechnung; verarbeitet keine Patientendaten).
Der Auftragsbearbeiter stellt sicher, dass alle Subunternehmer vertraglich an die gleichen strengen Datenschutzanforderungen gebunden sind, die in diesem AVV sowie dem Schweizer DSG festgelegt sind.
3. Technische und organisatorische Massnahmen (TOM)
Der Auftragsbearbeiter gewährleistet ein dem Risiko angemessenes Schutzniveau gemäss Art. 8 DSG und setzt folgende Sicherheitsmassnahmen um:
- Verschlüsselung (Art. 8 DSG): Obwohl wir keine klinischen Patientendaten speichern, sichern wir sämtliche System-Metadaten (Data at Rest) mittels AES-256 Verschlüsselung. Die Datenübertragung (Data in Transit) erfolgt über sichere Transportprotokolle mit mindestens TLS 1.2 oder höher.
- Souveräne Schlüsselverwaltung (Art. 16 DSG): Die Entschlüsselungsschlüssel werden über in der Schweiz ansässige Schlüsselverwaltungsdienste verwaltet.
- Logische Isolation: Die Software-Infrastruktur setzt logisch getrennte Netzwerkstrukturen über Virtual Private Clouds (VPCs) und private Subnetze ein, um unbefugten Zugriff zu verhindern.
- Sicherheitsüberwachung: Kontinuierliche Überwachung mit SIEM- und EDR-Systemen zur Erkennung und Abwehr von Bedrohungen in Echtzeit.
- Physische Sicherheit: Serverinfrastrukturen in nach ISO 27001, ISO 27017 und ISO 27018 zertifizierten Schweizer Rechenzentren.
- Kein KI-Modelltraining: Patientendaten und klinische Dokumenteninhalte werden von uns niemals zum Training eigener oder fremder KI-Modelle verwendet.
- Datenminimierung & Protokollierung: Da Patientendaten nach der temporären Verarbeitung (Zero Data Retention) serverseitig nicht gespeichert werden, erfolgt keine anwendungsseitige Zugriffsprotokollierung (Logging) von Patientendaten. Der Datenzugriff und die Datenhaltung verbleiben vollständig auf dem lokalen System des Arztes.
3a. Wahrung des ärztlichen Berufsgeheimnisses (Art. 321 StGB)
Der Auftragsbearbeiter (Hefti Horizon) sowie alle beigezogenen Subunternehmer anerkennen ausdrücklich, im Rahmen dieses Vertragsverhältnisses als Hilfspersonen des Arztes im Sinne von Art. 321 des Schweizerischen Strafgesetzbuches (StGB) tätig zu sein.
Sie unterstellen sich vollumfänglich der ärztlichen Schweigepflicht. Den Mitarbeitenden des Auftragsbearbeiters ist bekannt, dass die Verletzung des Berufsgeheimnisses gemäss Art. 321 StGB mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft wird, und dass diese Geheimhaltungspflicht auch nach Beendigung des Auftragsverhältnisses uneingeschränkt fortbesteht.
4. Rechte des Verantwortlichen und Unterstützungspflichten
Der Verantwortliche behält vollumfänglich die Kontrolle über die Daten. Die finale Verantwortung für die Richtigkeit der generierten Dokumente liegt zu 100 % beim behandelnden Arzt. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten gemäss DSG sowie bei der Durchführung einer allfälligen Datenschutz-Folgenabschätzung (DPIA) nach Art. 22 DSG durch Bereitstellung der dafür erforderlichen technischen und organisatorischen Systeminformationen.