M
MendX

Datenschutzrichtlinie

Zuletzt aktualisiert: 29.7.2025

Version: 3.0 - Vollständige DSG-Compliance

Gültig ab: 1. September 2023 (DSG-Inkrafttreten)

Inhaltsverzeichnis

1. Verantwortlicher und Anwendungsbereich

2. Rechtlicher Rahmen und Anwendbarkeit

3. Rechtliche Grundlagen der Datenbearbeitung

4. Kategorien bearbeiteter Personendaten

5. Zwecke der Datenbearbeitung

6. Empfänger und Kategorien von Empfängern

7. Grenzüberschreitende Datenübertragungen

8. Aufbewahrungsfristen

9. Datensicherheit und technische Maßnahmen

10. Rechte der betroffenen Personen

11. Automatisierte Entscheidungsfindung

12. Berufliche Schweigepflicht

13. Datenschutzverletzungen

14. Compliance-Überwachung

15. Änderungen und Kontakt

1. Verantwortlicher und Anwendungsbereich

1.1 Verantwortlicher im Sinne des DSG

MendX Systems

Praxisverwaltungssystem für Physiotherapie

E-Mail: mendxproject@gmail.com

Verantwortlicher gemäß Art. 5 lit. j DSG für die Bearbeitung personenbezogener Daten

1.2 Anwendungsbereich und Geltung

Diese Datenschutzrichtlinie gilt für die Bearbeitung personenbezogener Daten durch MendX Systems im Rahmen der Bereitstellung von Dienstleistungen für Physiotherapiepraxen in der Schweiz. Sie regelt die Bearbeitung von Patientendaten, Behandlungsinformationen und sonstigen personenbezogenen Daten im Kontext der physiotherapeutischen Versorgung.

Rechtliche Grundlage:

Diese Richtlinie entspricht dem Schweizer Bundesgesetz über den Datenschutz (DSG) vom 25. September 2020, in Kraft seit 1. September 2023, sowie der Verordnung zum Bundesgesetz über den Datenschutz (VDSG).

1.3 Definitionen

Personendaten: Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 lit. a DSG)

Besonders schützenswerte Personendaten: Daten über die Gesundheit, religiöse Anschauungen, rassische Zugehörigkeit und weitere sensitive Kategorien (Art. 5 lit. c DSG)

Bearbeitung: Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren (Art. 5 lit. d DSG)

2. Rechtlicher Rahmen und Anwendbarkeit

2.1 Schweizer Bundesgesetz über den Datenschutz (DSG)

Das DSG regelt die Bearbeitung personenbezogener Daten durch private Personen und Bundesorgane. Es stärkt die Rechte der betroffenen Personen und harmonisiert das Schweizer Datenschutzrecht mit internationalen Standards, insbesondere der EU-DSGVO.

Grundsätze der Datenbearbeitung (Art. 6 DSG)

  • • Rechtmäßigkeit und Verhältnismäßigkeit
  • • Treu und Glauben
  • • Zweckbindung
  • • Datenminimierung
  • • Richtigkeit

Besonders schützenswerte Daten (Art. 12 DSG)

  • • Gesundheitsdaten
  • • Genetische und biometrische Daten
  • • Daten über religiöse Anschauungen
  • • Erhöhte Schutzanforderungen

2.2 Gesundheitsspezifische Rechtsgrundlagen

Bundesebene

  • • Bundesgesetz über die Forschung am Menschen (HFG)
  • • Bundesgesetz über das elektronische Patientendossier (EPDG)
  • • Strafgesetzbuch Art. 321 (Berufliche Schweigepflicht)
  • • Medizinalberufegesetz (MedBG)

Kantonsebene

  • • Kantonale Gesundheitsgesetze
  • • Berufszulassungsanforderungen
  • • Praxisregistrierungspflichten
  • • Aufsichtsrechtliche Bestimmungen

3. Rechtliche Grundlagen der Datenbearbeitung

Die Bearbeitung personenbezogener Daten durch MendX erfolgt ausschließlich auf Grundlage der nachfolgenden rechtlichen Grundlagen gemäß Art. 6 und 12 DSG:

3.1 Ausdrückliche Einwilligung (Art. 12 Abs. 2 lit. a DSG)

Für die Bearbeitung besonders schützenswerter Gesundheitsdaten liegt eine ausdrückliche Einwilligung der betroffenen Person vor.

Anwendungsbereich:

  • KI-gestützte Datenanalyse
  • Erweiterte Behandlungsempfehlungen
  • Forschungszwecke (optional)

3.2 Gesundheitsversorgung (Art. 12 Abs. 2 lit. d DSG)

Bearbeitung durch Gesundheitsfachpersonen für die unmittelbare Gesundheitsversorgung der betroffenen Person.

Anwendungsbereich:

  • Behandlungsplanung und -durchführung
  • Krankenaktenführung
  • Terminkoordination

3.3 Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSG)

Erfüllung rechtlicher Verpflichtungen nach Schweizer Recht.

Anwendungsbereich:

  • Aufbewahrung von Krankenakten (20 Jahre)
  • Versicherungsabrechnung
  • Meldepflichten an Behörden

3.4 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSG)

Wahrung berechtigter Interessen, sofern die Grundrechte der betroffenen Person nicht überwiegen.

Anwendungsbereich:

  • Praxisverwaltung und -organisation
  • Qualitätssicherung
  • IT-Sicherheit und -wartung

Interessenabwägung bei berechtigten Interessen

Bei der Bearbeitung aufgrund berechtigter Interessen führen wir eine sorgfältige Interessenabwägung durch. Dabei berücksichtigen wir die Erwartungen der betroffenen Person, die Art der Daten, den Bearbeitungskontext und mögliche Auswirkungen auf die Grundrechte. Die Bearbeitung erfolgt nur, wenn unsere berechtigten Interessen die Grundrechte der betroffenen Person nicht überwiegen.

3. Kategorien verarbeiteter Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

3.1 Persönliche Identifikatoren

  • Name, Geburtsdatum, Geschlecht, Adresse
  • Kontaktdaten (E-Mail, Telefonnummer)
  • AHV-Nummer (nur für Abrechnung, falls erforderlich)

3.2 Besonders schützenswerte Gesundheitsdaten (DSG Art. 5 lit. c)

  • Medizinische Zustände, Diagnosen, Symptome
  • Behandlungsnotizen und Fortschrittsberichte
  • Schmerzskalen und Mobilitätsmessungen
  • Krankengeschichte und Vorbehandlungen
  • Körperliche Messwerte (Größe, Gewicht)

3.3 Versicherungs- und Abrechnungsdaten

  • Versicherungsanbieter und Policennummern
  • GLN- und ZSR-Nummern der Behandler
  • TARMED-Behandlungscodierung
  • Abrechnungsunterlagen und Zahlungsstatus

3.4 Lebensstil- und psychosoziale Daten

  • Beruf und Aktivitätsniveau
  • Psychosoziale Faktoren
  • Bewertungsantworten aus Formularen

4. Zwecke der Datenverarbeitung

Ihre Daten werden ausschließlich für folgende legitime Gesundheitszwecke verarbeitet:

  • Patientenbetreuung: Koordination und Planung der physiotherapeutischen Behandlung
  • Krankenaktenführung: Dokumentation gemäß Schweizer medizinischen Standards
  • Terminplanung: Verwaltung von Terminen und Praxisabläufen
  • Versicherungsabrechnung: Elektronische Abrechnung nach generalInvoiceRequest_500.xsd Standard
  • Qualitätsverbesserung: Verfolgung von Behandlungsergebnissen
  • Compliance: Erfüllung regulatorischer Anforderungen

KI-gestützte Datenverarbeitung

Mit Ihrer ausdrücklichen Einwilligung verarbeiten wir Ihre anonymisierten Bewertungsdaten mit KI-Tools (OpenAI) zur Generierung physiotherapeutischer Analysen. Dabei gelten folgende Sicherheitsvorkehrungen:

  • Datenminimierung: Nur relevante, anonymisierte Daten werden übertragen
  • Keine Datenspeicherung durch den KI-Anbieter nach Verarbeitung
  • Menschliche Aufsicht für alle KI-Empfehlungen obligatorisch
  • Klare Kennzeichnung KI-generierter Inhalte
  • Opt-out-Möglichkeit jederzeit verfügbar

5. Datensicherheit und technische Maßnahmen

Wir implementieren umfassende technische und organisatorische Maßnahmen gemäß DSG Artikel 8:

5.1 Technische Sicherheitsmaßnahmen

  • Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Daten im Ruhezustand
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrollle (RBAC) mit Row-Level Security
  • Authentifizierung: Starke Passwort-Anforderungen und Session-Management
  • Backup: Automatisierte, verschlüsselte Backups an mehreren geografischen Standorten
  • Monitoring: Kontinuierliche Sicherheitsüberwachung und Dependency-Scanning

5.2 Organisatorische Maßnahmen

  • Need-to-know-Prinzip für Datenzugriff
  • Regelmäßige Sicherheitsschulungen
  • Sichere Entwicklungspraktiken und Code-Reviews
  • Incident-Response-Verfahren

6. Drittanbieter und Auftragsverarbeiter

Wir arbeiten nur mit FADP-konformen Drittanbietern zusammen:

Supabase (Datenbank-Hosting)

  • SOC 2 Type II und ISO 27001 zertifiziert
  • EU-Rechenzentren für Schweizer Datenresidenz
  • Standardvertragsklauseln und DSGVO-Konformität

Vercel (Web-Hosting)

  • ISO 27001 und SOC 2 Type II konform
  • Globales CDN mit EU/Schweizer Endpunkten
  • Kein Zugriff auf Anwendungsdateninhalt

OpenAI (KI-Verarbeitung)

  • SOC 2 Type II zertifiziert
  • Nur anonymisierte Daten, keine Speicherung nach Verarbeitung
  • Schweiz-USA Data Privacy Framework Teilnahme

Resend (E-Mail-Versand)

  • Nur transaktionale E-Mails, keine Marketing-Kommunikation
  • DSGVO und Schweizer Datenschutzrecht konform
  • Verschlüsselte Übertragung

7. Grenzüberschreitende Datenübertragungen

Datenübertragungen erfolgen nur in Länder mit angemessenem Datenschutzniveau oder mit entsprechenden Sicherheitsvorkehrungen:

  • EU/EWR: Direkte Übertragung aufgrund Angemessenheitsentscheidung
  • USA: Nur an Data Privacy Framework-zertifizierte Unternehmen
  • Andere Länder: Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen

8. Datenaufbewahrung

Wir halten uns an Schweizer Aufbewahrungsfristen:

  • Krankenakten: Mindestens 20 Jahre (Schweizer medizinische Standards)
  • Finanzunterlagen: 10 Jahre (Schweizer Handelsrecht)
  • Betriebsdaten: Solange für laufende Patientenversorgung erforderlich
  • Löschung: Sichere Datenvernichtung nach Ablauf der Aufbewahrungsfristen

9. Ihre Rechte nach DSG

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

9.1 Auskunftsrecht (DSG Art. 25)

  • Kostenlose Auskunft über verarbeitete Daten
  • Informationen über Verarbeitungszwecke und Empfänger
  • Antwort innerhalb von 30 Tagen

9.2 Berichtigungs- und Löschungsrecht (DSG Art. 32)

  • Korrektur unrichtiger Daten
  • Löschung (vorbehaltlich gesetzlicher Aufbewahrungspflichten)
  • Benachrichtigung von Dritten bei Korrekturen

9.3 Weitere Rechte

  • Widerspruchsrecht: Gegen Verarbeitung aus berechtigten Interessen
  • Einschränkung: Beschränkung der Verarbeitung
  • Datenportabilität: Erhalt Ihrer Daten in strukturiertem Format
  • Widerruf: Einwilligung jederzeit widerrufbar (ohne Rückwirkung)

Ausübung Ihrer Rechte:

Kontaktieren Sie uns unter mendxproject@gmail.com oder nutzen Sie die Funktionen in Ihrem Benutzerkonto.

10. Berufliche Schweigepflicht

Alle Datenverarbeitungen unterliegen der beruflichen Schweigepflicht gemäß Schweizer Strafgesetzbuch Artikel 321. Physiotherapeuten und autorisiertes Personal sind zur Vertraulichkeit verpflichtet.

11. Datenschutzverletzungen

Bei Datenschutzverletzungen mit hohem Risiko für Ihre Rechte:

  • Meldung an den EDÖB innerhalb von 72 Stunden
  • Benachrichtigung betroffener Personen ohne unzumäßige Verzögerung
  • Dokumentation aller Vorfälle und Maßnahmen

12. Automatisierte Entscheidungsfindung

Bei KI-gestützten Analysen haben Sie das Recht auf:

  • Information über die Verarbeitungslogik
  • Menschliche Überprüfung aller KI-Empfehlungen
  • Widerspruch gegen automatisierte Verarbeitung
  • Erklärung der Entscheidungsgrundlagen

13. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)

Feldeggweg 1, 3003 Bern

Tel: +41 (0)58 462 43 95

E-Mail: info@edoeb.admin.ch

14. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie aktualisieren, um Änderungen in unseren Praktiken oder rechtlichen Anforderungen zu reflektieren. Wesentliche Änderungen werden Ihnen per E-Mail oder über unsere Plattform mitgeteilt.

15. Kontakt und Datenschutzbeauftragte

Allgemeine Anfragen:

MendX Systems

E-Mail: mendxproject@gmail.com

Datenschutzanfragen:

E-Mail: mendxproject@gmail.com

Antwortzeit: Innerhalb von 30 Tagen

14. Compliance-Überwachung und Risikomanagement

14.1 Datenschutz-Folgenabschätzung (DSFA)

Für Hochrisiko-Datenbearbeitungen führen wir systematische Datenschutz-Folgenabschätzungen durch:

Hochrisiko-Aktivitäten

  • • Großmaßstäbliche Gesundheitsdatenbearbeitung
  • • KI-gestützte automatisierte Entscheidungen
  • • Grenzüberschreitende Datenübertragungen
  • • Biometrische Datenverarbeitung

Risikominderungsmaßnahmen

  • • Technische Schutzmaßnahmen (Verschlüsselung)
  • • Organisatorische Sicherheitsvorkehrungen
  • • Regelmäßige Sicherheitsaudits
  • • Mitarbeiterschulungen

14.2 Kontinuierliche Compliance-Überwachung

Technische Überwachung

  • • Automatisierte Sicherheitsscans
  • • Zugriffsprotokolle
  • • Anomalieerkennung

Organisatorische Kontrollen

  • • Regelmäßige Compliance-Reviews
  • • Datenschutzschulungen
  • • Vertragsmanagement

Rechtliche Überwachung

  • • Gesetzesänderungen
  • • Behördliche Leitlinien
  • • Rechtsprechung

15. Änderungen und Kontaktinformationen

15.1 Änderungen dieser Datenschutzrichtlinie

Diese Datenschutzrichtlinie kann zur Anpassung an geänderte Rechtslage, neue Technologien oder Geschäftspraktiken aktualisiert werden. Wesentliche Änderungen werden den betroffenen Personen rechtzeitig mitgeteilt.

Benachrichtigungsverfahren

  • • E-Mail-Benachrichtigung bei wesentlichen Änderungen
  • • Prominente Anzeige auf der Website
  • • Angemessene Übergangsfristen
  • • Möglichkeit zur Widerspruch bei Änderungen

15.2 Kontakt und Datenschutzanfragen

Allgemeine und Datenschutzanfragen

MendX Systems

Praxisverwaltungssystem für Physiotherapie

E-Mail: mendxproject@gmail.com

Antwortzeit: Innerhalb von 5 Werktagen

Datenschutzanfragen: Auskunft, Berichtigung, Löschung und alle weiteren Rechte gemäß DSG

Aufsichtsbehörde

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)

Feldeggweg 1, 3003 Bern

Tel: +41 (0)58 462 43 95

E-Mail: info@edoeb.admin.ch

Website: www.edoeb.admin.ch

Beschwerderecht: Art. 49 DSG

Rechtliche Bestätigung und Compliance-Erklärung

Gesetzeskonformität: Diese Datenschutzrichtlinie entspricht vollumfänglich dem Schweizer Bundesgesetz über den Datenschutz (DSG) vom 25. September 2020, in Kraft seit 1. September 2023, sowie der Verordnung zum Bundesgesetz über den Datenschutz (VDSG).

Internationale Standards: Die Richtlinie berücksichtigt internationale Datenschutzstandards, insbesondere die EU-DSGVO, um den Angemessenheitsstatus der Schweiz zu wahren.

Letzte Aktualisierung: 29.7.2025 - Version 3.0 (Vollständige DSG-Compliance)

Überprüfung: Diese Richtlinie unterliegt kontinuierlicher Überprüfung und wird bei Änderungen der Rechtslage oder unserer Datenbearbeitungspraktiken entsprechend angepasst.

Compliance-Bestätigung

MendX Systems bestätigt hiermit die Einhaltung aller anwendbaren Datenschutzbestimmungen und verpflichtet sich zur kontinuierlichen Compliance-Überwachung gemäß den Anforderungen des DSG und internationaler Best Practices.