Datenschutzerklärung
Stand: 26. Juni 2026
Diese Datenschutzerklärung beschreibt, wie die DeepMed Zurich AG Personendaten bearbeitet, wenn Sie diese Website und unsere Dienste nutzen.
1. Verantwortlicher und Kontakt
Verantwortlich für die in dieser Datenschutzerklärung beschriebene Bearbeitung von Personendaten ist:
DeepMed Zurich AG
Toblerstrasse 80
8044 Zürich, Schweiz
E-Mail: contact@deepmed.ch
Website: www.deepmed.ch
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns unter den oben genannten Kontaktdaten erreichen.
2. Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, wie wir Personendaten bearbeiten, wenn Sie unsere Website besuchen, mit uns kommunizieren, unsere Produkte oder Dienstleistungen nutzen oder in einer sonstigen geschäftlichen Beziehung zu uns stehen.
Unsere Angebote richten sich primär an Geschäftskunden, insbesondere an Organisationen, Praxen, Kliniken, Gutachterstellen und andere Unternehmen oder Institutionen. Daneben können einzelne Produkte, insbesondere unsere Chatlösung, auch direkt von Privatpersonen genutzt werden.
Soweit wir für einen Geschäftskunden Personendaten im Auftrag bearbeiten, insbesondere Inhalte, die der Geschäftskunde oder dessen Nutzer in unsere Plattform eingeben, richtet sich diese Bearbeitung zusätzlich nach dem jeweiligen Auftragsbearbeitungsvertrag mit dem Geschäftskunden. Diese Datenschutzerklärung beschreibt in solchen Fällen vor allem unsere eigenen Datenbearbeitungen, etwa für Website, Vertragsabschluss, Accountverwaltung, Support, Abrechnung und Systemsicherheit.
3. Unsere Rolle im Datenschutz
Je nach Nutzung unserer Leistungen können wir datenschutzrechtlich unterschiedliche Rollen einnehmen.
Wenn wir Personendaten für eigene Zwecke bearbeiten, sind wir Verantwortlicher. Dies betrifft insbesondere Daten im Zusammenhang mit unserer Website, Kommunikation, Vertragsanbahnung, Vertragsabschluss, Abrechnung, Accountverwaltung, Support, Systemsicherheit, Administration und Erfüllung gesetzlicher Pflichten.
Wenn ein Geschäftskunde unsere Plattform nutzt und dabei eigene Inhalte, Patientendaten, Gutachteninhalte, Berichte, Chatverläufe, hochgeladene Dateien oder sonstige Daten in die Plattform eingibt, bearbeiten wir diese Daten grundsätzlich im Auftrag dieses Geschäftskunden. Der Geschäftskunde bleibt in diesem Fall für die Rechtmässigkeit der Bearbeitung, die Information der betroffenen Personen, die Festlegung der Bearbeitungszwecke und die Behandlung von Betroffenenbegehren verantwortlich. Die Einzelheiten werden im jeweiligen Auftragsbearbeitungsvertrag geregelt.
Wenn eine Privatperson unsere Chatlösung direkt nutzt, bearbeiten wir die für diese Nutzung erforderlichen Daten grundsätzlich als Verantwortlicher.
4. Arten von Personendaten
Je nach Beziehung zu uns bearbeiten wir insbesondere folgende Kategorien von Personendaten:
• Stammdaten, zum Beispiel Name, Adresse, E-Mail-Adresse, Telefonnummer, Firma, Funktion, Sprache und sonstige Kontaktangaben.
• Vertrags- und Abrechnungsdaten, zum Beispiel Angaben zur Vertragsbeziehung, gewählte Produkte, Laufzeiten, Rechnungsdaten, Zahlungsstatus und Korrespondenz zur Vertragsabwicklung.
• Accountdaten, zum Beispiel Benutzername, E-Mail-Adresse, Passwort-Hash, Rollen, Berechtigungen, Organisationseinheit, Login-Status und technische Einstellungen.
• Kommunikationsdaten, zum Beispiel E-Mails, Supportanfragen, Feedback, Gesprächsnotizen und sonstige Inhalte der Kommunikation mit uns.
• Technische Daten und Sicherheitsdaten, zum Beispiel IP-Adresse, Zeitstempel, Logfiles, Geräte- und Browserinformationen, Authentifizierungsereignisse, Zugriffsprotokolle und Fehlerberichte.
• Nutzungsdaten, zum Beispiel Informationen darüber, welche Funktionen genutzt werden, wann ein Zugriff erfolgt ist und welche technischen Vorgänge zur Bereitstellung, Sicherung und Verbesserung unserer Dienste erforderlich sind.
• Inhaltsdaten, soweit Sie oder ein Geschäftskunde solche Daten in unsere Produkte eingeben, hochladen oder dort erzeugen. Dazu können insbesondere Chatinhalte, Prompts, hochgeladene Dateien, Transkripte, Berichtsentwürfe, finale Berichte, medizinische Angaben, Gutachteninhalte und sonstige Dokumentationsinhalte gehören.
Je nach Produkt und Nutzung können Inhaltsdaten auch besonders schützenswerte Personendaten enthalten, insbesondere Gesundheitsdaten. Bei Geschäftskunden werden solche Inhaltsdaten grundsätzlich im Auftrag des jeweiligen Geschäftskunden bearbeitet.
5. Zwecke der Bearbeitung
Wir bearbeiten Personendaten insbesondere zu folgenden Zwecken:
• Bereitstellung unserer Website und unserer Produkte.
• Anbahnung, Abschluss, Durchführung und Beendigung von Verträgen.
• Einrichtung und Verwaltung von Benutzerkonten.
• Authentifizierung, Rechteverwaltung und Zugriffskontrolle.
• Bereitstellung von SaaS-Funktionen, einschliesslich Speicherung, Anzeige, Bearbeitung und Verarbeitung von Inhalten nach Weisung des Nutzers oder des Geschäftskunden.
• Betrieb von KI-Funktionen, soweit diese Bestandteil des jeweiligen Produkts sind.
• Support, Fehleranalyse, Wartung und Verbesserung der technischen Stabilität.
• Abrechnung, Buchhaltung und Erfüllung gesetzlicher Aufbewahrungspflichten.
• Sicherstellung der Informationssicherheit, Missbrauchserkennung, Protokollierung und Nachvollziehbarkeit sicherheitsrelevanter Vorgänge.
• Kommunikation mit Kunden, Nutzern, Interessenten, Lieferanten und sonstigen Geschäftspartnern.
• Durchsetzung und Abwehr rechtlicher Ansprüche.
• Erfüllung gesetzlicher Pflichten und behördlicher Anordnungen.
6. Rechtsgrundlagen
Wir bearbeiten Personendaten nach Massgabe des schweizerischen Datenschutzgesetzes. Soweit die Datenschutz-Grundverordnung der Europäischen Union anwendbar ist, stützen wir die Bearbeitung insbesondere auf folgende Rechtsgrundlagen:
• Vertragserfüllung oder vorvertragliche Massnahmen, wenn die Bearbeitung für den Abschluss oder die Durchführung eines Vertrags erforderlich ist.
• Erfüllung rechtlicher Verpflichtungen, insbesondere im Bereich Buchhaltung, Aufbewahrungspflichten, Sicherheit und behördliche Mitwirkungspflichten.
• Berechtigte Interessen, insbesondere an einem sicheren, stabilen und effizienten Betrieb unserer Website und Produkte, an der Verwaltung unserer Geschäftsbeziehungen, an der Verbesserung unserer technischen Infrastruktur, an der Verhinderung von Missbrauch sowie an der Geltendmachung und Abwehr rechtlicher Ansprüche.
• Einwilligung, soweit wir im Einzelfall eine Einwilligung einholen.
Bei besonders schützenswerten Personendaten, insbesondere Gesundheitsdaten, erfolgt die Bearbeitung entweder im Auftrag eines Geschäftskunden, auf Grundlage einer Einwilligung, zur Vertragserfüllung, zur Erfüllung rechtlicher Pflichten oder auf einer anderen nach anwendbarem Recht zulässigen Grundlage.
7. Nutzung unserer Plattform durch Geschäftskunden
Unsere Produkte werden überwiegend durch Geschäftskunden genutzt. In diesem Fall stellt der Geschäftskunde seinen berechtigten Nutzern den Zugang zur Plattform zur Verfügung und legt fest, welche Daten eingegeben, bearbeitet, gespeichert oder gelöscht werden.
Der Geschäftskunde entscheidet insbesondere über den Zweck der Bearbeitung, die zulässigen Nutzer, Rollen und Berechtigungen, die zu bearbeitenden Inhalte, die Information der betroffenen Personen und die Einhaltung allfälliger beruflicher Geheimhaltungspflichten.
Wir bearbeiten die vom Geschäftskunden oder dessen Nutzern eingegebenen Inhalte grundsätzlich nur, um die vereinbarten Leistungen zu erbringen, die Plattform technisch zu betreiben, Support zu leisten, Sicherheitsmassnahmen umzusetzen und gesetzliche oder vertragliche Pflichten zu erfüllen. Weitere Einzelheiten zur Bearbeitung im Auftrag des Geschäftskunden werden im Auftragsbearbeitungsvertrag geregelt.
8. Nutzung unserer Chatlösung durch Privatpersonen
Soweit wir unsere Chatlösung direkt gegenüber Privatpersonen anbieten, bearbeiten wir die dafür erforderlichen Personendaten als Verantwortlicher. Dies umfasst insbesondere Daten zur Registrierung, Authentifizierung, Verwaltung des Benutzerkontos, Bereitstellung der Chatfunktion, Speicherung und Anzeige von Chatverläufen, Verarbeitung eingegebener Inhalte, Support, Abrechnung, Systemsicherheit und Erfüllung gesetzlicher Pflichten.
Der Nutzer entscheidet selbst, welche Inhalte er in die Chatlösung eingibt. Besonders schützenswerte Personendaten sollten nur eingegeben werden, wenn dies für den jeweiligen Zweck erforderlich ist und die betroffene Person hierzu berechtigt ist.
9. KI-Funktionen und medizinische Verantwortung
Unsere Produkte können KI-Funktionen enthalten. Diese können insbesondere dazu dienen, Texte zu strukturieren, Entwürfe zu erzeugen, Berichtsteile vorzuschlagen, Dokumente auszuwerten oder administrative Arbeitsabläufe zu unterstützen.
Unsere Plattform dient der administrativen Unterstützung bei der Erstellung, Strukturierung, Bearbeitung und Verwaltung von Berichten und Dokumentationen. Sie ist nicht dazu bestimmt, Diagnosen zu stellen, Therapieentscheidungen zu treffen, medizinische Notfälle zu beurteilen, eine Triage vorzunehmen oder den fachlichen Entscheid eines Arztes oder eines sonst zuständigen Fachspezialisten zu ersetzen.
KI-generierte Inhalte sind Entwürfe oder Vorschläge. Sie müssen vor einer weiteren Verwendung durch den zuständigen Nutzer geprüft, korrigiert und freigegeben werden. Die fachliche Verantwortung verbleibt beim jeweiligen Kunden, Nutzer oder zuständigen Arzt.
Wir verwenden Kundendaten, Patientendaten, medizinische Inhalte, Prompts, hochgeladene Dateien, Transkripte, Chatverläufe und generierte Berichtsinhalte nicht zum Training allgemeiner KI-Modelle, nicht für Werbung, nicht für Profiling und nicht für eigene medizinische Analysen. Technische Nutzungs-, Sicherheits- und Leistungsdaten können wir in aggregierter oder anonymisierter Form auswerten, soweit dies zur Sicherheit, Stabilität, Fehlerbehebung und technischen Weiterentwicklung unserer Produkte erforderlich ist.
10. Cookies, Google Analytics und ähnliche Technologien
Auf unserer öffentlichen Website verwenden wir Cookies und ähnliche Technologien, um die Website technisch bereitzustellen und die Nutzung unserer Website zu analysieren.
Wir nutzen Google Analytics, einen Webanalysedienst von Google. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics hilft uns zu verstehen, wie Besucher unsere Website nutzen, welche Seiten aufgerufen werden, wie Nutzer auf unsere Website gelangen und wie wir unser Informationsangebot verbessern können.
Google Analytics kann insbesondere technische Informationen und Nutzungsinformationen bearbeiten, zum Beispiel IP-Adresse, Geräte- und Browserinformationen, ungefährer Standort, aufgerufene Seiten, Zeitpunkt und Dauer des Besuchs, Referrer-URL, Interaktionen mit der Website sowie zufällig erzeugte Kennungen, die in Cookies oder ähnlichen Technologien gespeichert werden können.
Wir verwenden Google Analytics nicht, um Sie unmittelbar zu identifizieren, und wir verwenden Google Analytics nicht zur Auswertung von Plattforminhalten, Patientendaten, medizinischen Inhalten, Prompts, Chatverläufen, hochgeladenen Dateien oder generierten Berichten. Google Analytics wird nur für die öffentliche Website eingesetzt, nicht zur inhaltlichen Analyse der Nutzung unserer geschützten Plattformbereiche.
Soweit Google Analytics Cookies oder ähnliche Technologien setzt, erfolgt der Einsatz nur, wenn Sie hierzu eingewilligt haben, soweit eine solche Einwilligung nach anwendbarem Recht erforderlich ist. Sie können eine erteilte Einwilligung jederzeit über die Cookie-Einstellungen unserer Website widerrufen oder anpassen.
Die durch Google Analytics erzeugten Informationen können an Google-Gesellschaften und Google-Dienstleister übermittelt und dort bearbeitet werden, insbesondere in Irland, anderen Staaten des Europäischen Wirtschaftsraums, der Schweiz und den USA. Für Übermittlungen in Staaten ohne angemessenes Datenschutzniveau stützt sich Google nach eigenen Angaben auf geeignete Garantien, insbesondere Standardvertragsklauseln oder andere anwendbare Übermittlungsmechanismen.
Weitere Informationen zur Bearbeitung von Daten durch Google finden Sie in den Datenschutzhinweisen und den Bedingungen von Google.
11. Empfänger von Personendaten
Wir geben Personendaten nur weiter, wenn dies für die Erbringung unserer Leistungen erforderlich ist, eine gesetzliche Pflicht besteht, eine Einwilligung vorliegt oder ein anderer rechtlicher Grund besteht.
Empfänger können insbesondere sein:
• Hosting-, Cloud- und Infrastrukturdienstleister.
• Anbieter von KI-, Texterkennungs-, Sprach- oder sonstigen technischen Diensten, soweit diese für die jeweilige Produktfunktion erforderlich sind.
• E-Mail-, Kommunikations-, Support- und Wartungsdienstleister.
• Anbieter von Analyse- und Cookie-Management-Diensten, insbesondere Google Analytics, soweit diese auf unserer öffentlichen Website eingesetzt werden.
• Zahlungs-, Buchhaltungs- und Administrationsdienstleister.
• Berater, insbesondere Rechtsanwälte, Treuhänder, Revisoren und IT-Sicherheitsexperten.
• Behörden, Gerichte oder andere öffentliche Stellen, soweit wir rechtlich dazu verpflichtet oder berechtigt sind.
• Geschäftskunden, wenn ein Nutzer die Plattform im Rahmen einer Organisation verwendet und der Geschäftskunde nach Rollen- und Berechtigungskonzept Zugriff auf Daten innerhalb seiner Organisation hat.
Dienstleister werden sorgfältig ausgewählt und, soweit erforderlich, vertraglich zur Vertraulichkeit, Datensicherheit und Bearbeitung nach unseren Weisungen verpflichtet. Bei Geschäftskunden werden Einzelheiten zu Unterauftragsbearbeitern grundsätzlich im Auftragsbearbeitungsvertrag oder in separaten Unterlagen geregelt.
12. Datenstandort und Datenbearbeitung im Ausland
Die produktive Speicherung und reguläre Bearbeitung von Kundendaten erfolgt nach aktueller produkt- und kundenspezifischer Systemkonfiguration in der Schweiz oder in einem vertraglich festgelegten Datenstandort. Einzelne Produkte oder Produktbestandteile können auf unterschiedlichen Cloud-Infrastrukturen betrieben werden. Der konkrete Datenstandort und allfällige Unterauftragsbearbeiter werden für Geschäftskunden im jeweiligen Vertrag, im Auftragsbearbeitungsvertrag oder in separaten Unterlagen festgelegt. Soweit KI-Dienste eingesetzt werden, erfolgt deren reguläre Nutzung nach aktueller Systemkonfiguration über Microsoft-Azure-Dienste in der Schweiz und der EU (Schweden).
Eine Übermittlung von produktiven Kundendaten in Drittstaaten findet nach aktueller Systemkonfiguration nicht statt.
Es kann jedoch nicht ausgeschlossen werden, dass einzelne administrative oder rechtlich bedingte Vorgänge einen Auslandsbezug aufweisen, zum Beispiel bei Kommunikation mit Dienstleistern, Supportfällen, Abrechnung, gesetzlich vorgeschriebenen Offenlegungen oder der Nutzung einzelner Dienste ausserhalb des produktiven Plattformbetriebs. In solchen Fällen stellen wir sicher, dass die gesetzlichen Voraussetzungen erfüllt sind, insbesondere durch Angemessenheitsbeschlüsse, Standardvertragsklauseln, vertragliche Verpflichtungen, technische Schutzmassnahmen oder andere geeignete Garantien.
Bei Geschäftskunden werden Einzelheiten zum Datenstandort, zu Unterauftragsbearbeitern und zu allfälligen Auslandbezügen grundsätzlich im Auftragsbearbeitungsvertrag oder in separaten Unterlagen geregelt.
Die vorstehenden Angaben zur produktiven Speicherung und regulären Bearbeitung von Kundendaten betreffen unsere Plattform und die dort verarbeiteten Inhalte. Für die Nutzung unserer öffentlichen Website können einzelne Dienste mit Auslandbezug eingesetzt werden, insbesondere Google Analytics. Solche Dienste verarbeiten keine Plattforminhalte, Patientendaten, medizinischen Inhalte, Prompts, Chatverläufe, hochgeladenen Dateien oder generierten Berichte.
13. Speicherdauer und Löschung
Wir speichern Personendaten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist, wie es vertraglich vereinbart wurde oder wie wir gesetzlich dazu verpflichtet sind.
Vertrags-, Abrechnungs- und Buchhaltungsdaten speichern wir grundsätzlich für die Dauer der Vertragsbeziehung und anschliessend im Rahmen der gesetzlichen Aufbewahrungsfristen, in der Regel bis zu zehn Jahre.
Accountdaten speichern wir grundsätzlich so lange, wie das jeweilige Benutzerkonto besteht oder wie dies für die Vertragsdurchführung, Sicherheit, Nachvollziehbarkeit oder Erfüllung gesetzlicher Pflichten erforderlich ist.
Inhaltsdaten in der Plattform speichern wir nach den für das jeweilige Produkt geltenden Einstellungen, Vertragsbedingungen oder Weisungen des Geschäftskunden. Soweit keine abweichende Frist vereinbart ist, beträgt die Standard-Speicherfrist für produktive Plattforminhalte ein Jahr.
Nach Ablauf der jeweiligen Speicherfrist werden Daten gelöscht, anonymisiert oder zur Löschung markiert. Soweit Daten zur Löschung markiert werden, erfolgt die vollständige Löschung innerhalb einer angemessenen Frist nach Massgabe der technischen Prozesse.
Backups werden ausschliesslich zur Wiederherstellung der Systemverfügbarkeit nach Sicherheitsvorfällen oder technischen Störungen verwendet und gemäss den vorgesehenen Backup- und Löschprozessen überschrieben oder gelöscht.
Soweit gesetzliche Aufbewahrungspflichten, Beweissicherungsinteressen oder rechtliche Ansprüche einer sofortigen Löschung entgegenstehen, beschränken wir die weitere Bearbeitung auf das hierfür erforderliche Mass.
14. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, um Personendaten vor Verlust, Missbrauch, unbefugtem Zugriff, unbefugter Offenlegung, Veränderung oder Zerstörung zu schützen. Dazu gehören insbesondere:
• Verschlüsselte Übertragung über HTTPS/TLS.
• Verschlüsselte Speicherung in der Datenbank.
• Zusätzliche Verschlüsselung von Patientendaten mit kundenspezifischen Schlüsseln.
• Rollen- und Berechtigungskonzepte.
• Individuelle Benutzerkonten.
• Multi-Faktor-Authentisierung für interne Zugriffe.
• Beschränkung des Zugriffs auf berechtigtes Personal.
• Protokollierung von Zugriffen auf Patientendaten.
• Trennung von Entwicklungs-, Test-, Demo- und Produktivumgebungen.
• Verwendung synthetischer Daten in Entwicklungs- und Testumgebungen.
• Regelmässige Sicherheitsprüfungen, Audits und technische Kontrollen.
• Schulung und Verpflichtung von Mitarbeitern mit Zugriff auf Personendaten.
Die konkreten technischen und organisatorischen Massnahmen können je nach Produkt, Kunde und Schutzbedarf variieren. Bei Geschäftskunden werden weitere Einzelheiten grundsätzlich in den TOM und im Auftragsbearbeitungsvertrag geregelt.
15. Vertraulichkeit
Unsere Mitarbeiter und beigezogenen Dritten werden, soweit sie Zugriff auf Personendaten oder vertrauliche Informationen erhalten können, zur Vertraulichkeit verpflichtet. Zugriff auf besonders schützenswerte Personendaten, insbesondere Gesundheitsdaten, erhalten nur Personen, die diesen Zugriff für ihre Aufgabe benötigen und entsprechend instruiert sind.
16. Rechte betroffener Personen
Sie haben nach Massgabe des anwendbaren Datenschutzrechts insbesondere das Recht, Auskunft über die Bearbeitung Ihrer Personendaten zu verlangen, unrichtige Personendaten berichtigen zu lassen, die Löschung von Personendaten zu verlangen, die Einschränkung der Bearbeitung zu verlangen, der Bearbeitung zu widersprechen, eine erteilte Einwilligung zu widerrufen und, soweit anwendbar, die Herausgabe oder Übertragung bestimmter Daten zu verlangen.
Zur Ausübung Ihrer Rechte können Sie uns über die in Abschnitt 1 genannten Kontaktdaten kontaktieren. Wir können einen geeigneten Nachweis Ihrer Identität verlangen, um Missbrauch zu verhindern.
Soweit wir Personendaten im Auftrag eines Geschäftskunden bearbeiten, ist grundsätzlich der jeweilige Geschäftskunde für die Behandlung solcher Begehren verantwortlich. In solchen Fällen können wir Ihr Begehren an den Geschäftskunden weiterleiten oder Sie bitten, sich direkt an den Geschäftskunden zu wenden. Wir unterstützen den Geschäftskunden nach Massgabe des Auftragsbearbeitungsvertrags.
Wenn Sie der Ansicht sind, dass die Bearbeitung Ihrer Personendaten gegen Datenschutzrecht verstösst, können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden. In der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
17. Kommunikation per E-Mail
Wenn Sie mit uns per E-Mail kommunizieren, bearbeiten wir die von Ihnen übermittelten Angaben zur Bearbeitung Ihrer Anfrage und zur Pflege der Geschäftsbeziehung.
E-Mail-Kommunikation kann Sicherheitsrisiken aufweisen. Senden Sie uns besonders vertrauliche oder besonders schützenswerte Informationen nur dann per E-Mail, wenn dies erforderlich ist oder wenn geeignete Schutzmassnahmen bestehen.
18. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung jederzeit anpassen, insbesondere bei Änderungen unserer Produkte, unserer Datenbearbeitungen oder der rechtlichen Anforderungen. Es gilt die jeweils auf unserer Website veröffentlichte Version. Bei wesentlichen Änderungen können wir registrierte Nutzer oder Geschäftskunden zusätzlich in geeigneter Form informieren.