Rechtliche Informationen

Datenschutzerklärung

Stand: April 2026 · Version 1.1 · gültig für meditransfer.ch und alle Tenant-Portale unter *.meditransfer.ch

Das Wichtigste in Kürze

Wir verarbeiten Patientendaten ausschliesslich als Auftragsbearbeiter für medizinische Institutionen — nach Schweizer Recht, auf Schweizer Servern, mit technischen Massnahmen, die über die gesetzlichen Mindestanforderungen hinausgehen.

Alle Daten in der Schweiz
Datenbank, Datei-Speicher und Backups laufen ausschliesslich in der Region Zürich — keine Verarbeitung von Patientendaten ausserhalb der Schweiz.
Patientenidentifikatoren zusätzlich verschlüsselt
Name, Geburtsdatum, Adresse, AHV- und Versichertennummer sowie alle hochgeladenen Dokumente werden auf Anwendungsebene mit AES-256-GCM verschlüsselt — zusätzlich zur Transport- und Datenträgerverschlüsselung.
Getrennte Schlüsselverwaltung
Die Verschlüsselungs-Schlüssel liegen nicht beim Datenbankanbieter, sondern separat in der Anwendungs-Infrastruktur. Ein Datenbank-Dump allein enthält nur unlesbaren Chiffretext.
Ärztliches Berufsgeheimnis gewahrt
Meditransfer handelt als Hilfsperson im Sinne von Art. 321 StGB und ist vertraglich zur Verschwiegenheit verpflichtet.
Zwei-Faktor-Authentifizierung obligatorisch
Alle Nutzer des Dashboards müssen einen zweiten Faktor (TOTP oder Passkey / WebAuthn) einrichten — keine Ausnahmen für Admins.
Strikte Mandantentrennung
Jede Institution arbeitet in einem isolierten Mandantenbereich. Row-Level Security auf Datenbankebene stellt sicher, dass keine Institution jemals Daten einer anderen sehen kann — auch nicht bei Programmierfehlern in der Anwendung.
Entwicklung ausschliesslich in der Schweiz
Alle Entwicklerinnen und Entwickler, die an Meditransfer arbeiten oder je gearbeitet haben, sind in der Schweiz ansässig und unterstehen damit unmittelbar der schweizerischen Rechtsordnung — keine Offshore-Entwicklung, keine externen Subunternehmer ausserhalb der Schweiz.
Lückenloses, unveränderbares Audit-Log
Jeder datenschutzrelevante Zugriff wird append-only protokolliert — nicht löschbar, nicht überschreibbar. Erfüllt das DSV-Schutzziel der Nachvollziehbarkeit.

01Verantwortliche Stelle

Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) ist:

Pom Pom GmbH — Betreiberin der Plattform Meditransfer
Kalkbreitestrasse 6, 8003 Zürich
hello@meditransfer.ch

Für datenschutzrechtliche Anfragen wenden Sie sich bitte mit dem Betreff «Datenschutz» an die oben genannte E-Mail-Adresse. Die Beantwortung erfolgt in der Regel innert 30 Tagen (Art. 25 Abs. 7 DSG).

02Grundsätze der Datenbearbeitung

Meditransfer bearbeitet Personendaten ausschliesslich in Übereinstimmung mit dem Schweizer Datenschutzgesetz (nDSG, in Kraft seit dem 1. September 2023) und der zugehörigen Datenschutzverordnung (DSV). Besonders schützenswerte Personendaten — namentlich Gesundheitsdaten im Sinne von Art. 5 lit. c DSG — werden nur in dem Umfang bearbeitet, wie es zur Erbringung der vertraglich vereinbarten Dienstleistungen zwingend erforderlich ist.

Wir handeln nach den Grundsätzen der Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit (Art. 6 DSG). «Privacy by Design» und «Privacy by Default» (Art. 7 DSG) sind integraler Bestandteil unserer Softwarearchitektur: Datenminimierung, restriktive Zugriffsrechte und kurze Aufbewahrungsfristen sind technisch durchgesetzt, nicht nur organisatorisch empfohlen.

Alle Daten werden ausschliesslich auf Servern in der Schweiz (Region Zürich) gespeichert — inklusive Backups und Datei-Speicher.

03Welche Daten wir bearbeiten und zu welchem Zweck

a) Nutzung der Marketingwebsite

Beim Besuch von meditransfer.ch werden technische Zugriffsdaten (IP-Adresse, Browser, Zeitstempel) in Server-Logs erfasst. Zweck: Sicherheit und Betrieb. Rechtsgrundlage: berechtigtes Interesse (Art. 31 Abs. 2 lit. c DSG). Speicherdauer: 30 Tage.

b) Kontaktaufnahme

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, bearbeiten wir Name, E-Mail-Adresse und Nachrichteninhalt zum Zweck der Beantwortung Ihrer Anfrage. Speicherdauer: bis Abschluss der Korrespondenz, danach gemäss gesetzlicher Aufbewahrungspflicht (in der Regel 10 Jahre, Art. 958f OR).

c) SaaS-Plattform (Kundenkonto)

Im Rahmen des Vertragsverhältnisses mit medizinischen Institutionen bearbeitet Meditransfer ausschliesslich als Auftragsbearbeiter (Art. 9 DSG):

Benutzerkontodaten der zugelassenen Nutzer (Ärzte, MPAs, Administratoren): Name, E-Mail-Adresse, Rolle, Authentifizierungsdaten (Passwort-Hash, TOTP-Geheimnis, Passkey-Credential)
Zuweisungsdaten (Patientenreferenzen): jene Daten, die die verantwortliche medizinische Institution auf der Plattform erfasst; dazu gehören Patientennamen, Geburtsdatum, Adresse, AHV- und Versichertennummer, Diagnosen, Medikation, weitere Gesundheitsdaten sowie allfällige medizinische Dokumente
Kommunikationsmetadaten: Zeitstempel, Statusänderungen, Kommentare, interne Zuordnungen

Zweck: Bereitstellung und Betrieb der digitalen Zuweisungsplattform gemäss Auftragsbearbeitungsvertrag (ABV). Verantwortlich für die inhaltliche Datenbearbeitung — also Zweckbestimmung, Auswahl der Empfänger, Löschfristen — ist jeweils die medizinische Institution (Auftraggeberin).

d) Rechnungsstellung und Zahlungsabwicklung

Rechnungsdaten (Firmenname, Adresse, E-Mail) werden für Buchhaltungszwecke aufbewahrt. Zahlungen werden über Stripe Inc. abgewickelt; Meditransfer erhält keine vollständigen Kreditkartendaten — nur die von Stripe ausgegebene Kunden- und Rechnungsreferenz.

04Medizinisches Berufsgeheimnis (Art. 321 StGB)

Die über die Plattform verarbeiteten Patientendaten unterliegen dem ärztlichen Berufsgeheimnis gemäss Art. 321 StGB. Dieses erstreckt sich nach bundesgerichtlicher Rechtsprechung auch auf Hilfspersonen — dazu zählen IT-Dienstleister, denen die Institution kraft Hilfspersonenstellung Daten anvertraut.

Meditransfer verpflichtet sich gegenüber jeder beauftragenden Institution ausdrücklich:

Patientendaten nicht für eigene Zwecke zu nutzen
sie nicht an unbefugte Dritte weiterzugeben
ausschliesslich nach dokumentierter Weisung der verantwortlichen medizinischen Institution zu handeln
sämtliche Mitarbeitende und Subauftragsbearbeiter zur entsprechenden Verschwiegenheit zu verpflichten

Zugriffe auf Patientendaten durch Meditransfer-Mitarbeitende erfolgen nur in genau definierten Supportfällen, auf explizite Anforderung der Institution und werden lückenlos im unveränderbaren Audit-Log protokolliert.

Entwicklungsteam in der Schweiz. Sämtliche Entwicklerinnen und Entwickler, die je Zugriff auf Quellcode oder Infrastruktur hatten, sind in der Schweiz ansässig und unterstehen damit unmittelbar der schweizerischen Rechtsordnung einschliesslich Art. 321 StGB. Wir setzen keine Offshore-Entwicklung und keine externen Subunternehmer ausserhalb der Schweiz ein.

05Verschlüsselung & technische Sicherheitsmassnahmen

Gemäss Art. 8 DSG in Verbindung mit Art. 3 DSV setzen wir technische und organisatorische Massnahmen («TOMs») ein, die an den vier Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit ausgerichtet sind. Für Patientendaten gehen wir bewusst über den gesetzlichen Mindeststandard hinaus.

Mehrstufiges Verschlüsselungskonzept

① Transport (TLS 1.3)
Jede Verbindung zwischen Browser, Meditransfer-Servern und Datenbank ist mit TLS 1.3 verschlüsselt. HTTP Strict Transport Security (HSTS) ist aktiviert.
② Datenträger (Encryption at Rest)
Datenbank und Datei-Speicher sind auf Infrastrukturebene AES-256-verschlüsselt (Managed Encryption durch den Infrastrukturanbieter, Schlüssel im HSM).
③ Anwendungsebene — zusätzliche Feldverschlüsselung
Zusätzlich zu ① und ② verschlüsselt Meditransfer alle patientenidentifizierenden Felder bereits in der Anwendungsschicht, bevor sie die Datenbank erreichen. Die Datenbank sieht nur Chiffretext — die Schlüssel liegen auf einer separaten Infrastruktur (sog. Key Separation).

Was wird auf Anwendungsebene verschlüsselt?

Die folgenden Felder werden vor dem Speichern in der Datenbank mit einem eigenen Schlüssel verschlüsselt und erst beim autorisierten Lesezugriff wieder entschlüsselt:

• Vorname & Nachname
• Geburtsdatum
• Strasse, PLZ, Ort
• Telefonnummer
• E-Mail-Adresse
• AHV-Nummer
• Versichertennummer
• Alle hochgeladenen Dokumente (Arztberichte, Bildgebung, Laborberichte etc.)

Transparenz-Hinweis: Klinische Freitextfelder (Diagnose, Medikation, Fragestellung) liegen derzeit nicht auf Anwendungsebene verschlüsselt vor, sind aber durch ①, ②, durch Row-Level Security auf Datenbankebene, strikte Mandantentrennung und Zwei-Faktor-Authentifizierung geschützt.

Technische Details für IT-Verantwortliche

Algorithmus: AES-256-GCM (NIST SP 800-38D)
Initialisierungsvektor: 12 Byte, kryptografisch zufällig pro Verschlüsselung
Authentifikations-Tag: 16 Byte GMAC — jede Manipulation am Chiffretext scheitert an der Integritätsprüfung
AAD-Bindung: Jeder Chiffretext ist kryptografisch an (Mandant, Datensatz, Feldname) gebunden. Ein «Row-Swap-Angriff» — das Einsetzen eines fremden Chiffretexts in einen anderen Datensatz — scheitert am Authentifikations-Tag.
Schlüsselverwaltung: Schlüssel werden ausserhalb der Datenbank gehalten (Key Separation). Eine kompromittierte Datenbank ohne Schlüssel ergibt unlesbaren Chiffretext.
Schlüsselrotation: Versionierte Schlüssel; jede Version kann unabhängig rotiert werden, ohne bestehende Daten neu zu verschlüsseln.
Such-Index: Exakte Suche über verschlüsselte Felder (Nachname, E-Mail) erfolgt über einen HMAC-SHA256-Blind-Index — die Datenbank enthält keine Klartext-Indizes.

Weitere organisatorische und technische Massnahmen

Zwei-Faktor-Authentifizierung (TOTP oder Passkey / WebAuthn) ist für alle Dashboard-Nutzer verpflichtend
Row-Level Security auf Datenbankebene — jede Abfrage wird unausweichlich auf den eigenen Mandanten eingeschränkt; ein Programmierfehler in der Anwendung kann diese Trennung nicht umgehen
Strikte Mandantentrennung für Datenbank und Datei-Speicher
Rollen- und berechtigungsbasierte Zugriffe (Ärztin / Arzt, MPA, Admin) nach dem Prinzip der minimalen Rechte
Lückenloses Audit-Log aller datenschutzrelevanten Zugriffe — append-only, nicht überschreibbar, nicht löschbar
Automatische Sperrung nach fehlgeschlagenen Login-Versuchen; verpflichtende Sitzungszeitüberschreitungen
E-Mail-Benachrichtigungen anonymisiert — Benachrichtigungen an zuweisende Ärztinnen, Ärzte oder Praxis-Mitarbeitende enthalten nie Patientennamen oder medizinische Informationen im Klartext
CAPTCHA-Schutz (Cloudflare Turnstile) auf öffentlichen Formularen gegen automatisierte Missbrauchsversuche
Content Security Policy (CSP) sowie Rate-Limiting auf Anwendungsebene

06Subauftragsbearbeiter

Zur Leistungserbringung setzen wir sorgfältig ausgewählte Subauftragsbearbeiter ein. Alle sind vertraglich auf das Schweizer Datenschutzniveau verpflichtet; wir schliessen Standardvertragsklauseln bzw. einen ABV gemäss Art. 9 DSG mit jedem Anbieter ab.

Die vollständige Liste unserer Subauftragsbearbeiter mit Zweck, Datenstandort und Sitz finden Sie auf der Seite Subauftragsbearbeiter.

Datentransfer ins Ausland: Der Bundesrat hat die USA im Rahmen des Swiss-U.S. Data Privacy Framework als angemessenen Drittstaat anerkannt, sofern der jeweilige Anbieter am Framework teilnimmt. Für andere Fälle verwenden wir die vom EDÖB anerkannten Standardvertragsklauseln im Sinne von Art. 16 Abs. 2 lit. d DSG.

Die produktive Datenbank und der Datei-Speicher mit sämtlichen Patientendaten befinden sich ausschliesslich in der Schweiz (Supabase-Region Zürich). Anbieter mit US-Sitz verarbeiten keine Klartext-Patientendaten.

07Aufbewahrungsfristen

Personendaten werden nur so lange aufbewahrt, wie es für den jeweiligen Bearbeitungszweck notwendig ist oder gesetzliche Aufbewahrungspflichten bestehen:

Patienten- und Zuweisungsdaten: gemäss Weisung der verantwortlichen medizinischen Institution. Für Krankenakten gelten kantonal unterschiedliche Aufbewahrungsfristen (meist 10 bis 20 Jahre).
Geschäftsunterlagen (Rechnungen, Buchhaltung): 10 Jahre gemäss Art. 958f OR.
Server-Logs: 30 Tage.
Audit-Log: aus Compliance- und Rekonstruktionsgründen für die Dauer des Kundenverhältnisses plus 10 Jahre.
Bei Vertragsende: vollständiger Export der Tenant-Daten auf Anfrage; Löschung innert 30 Tagen nach Abschluss der Datenportierung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

08Ihre Rechte als betroffene Person

Gemäss Schweizer Datenschutzgesetz haben Sie folgende Rechte:

Auskunft (Art. 25 DSG) — welche Daten von Ihnen bearbeitet werden
Berichtigung (Art. 32 Abs. 1 DSG) — unrichtige Daten korrigieren lassen
Löschung oder Vernichtung (Art. 32 Abs. 2 lit. c DSG) — soweit keine gesetzliche Aufbewahrungspflicht besteht
Einschränkung der Bearbeitung
Datenherausgabe bzw. -übertragbarkeit (Art. 28 DSG) — Erhalt Ihrer Daten in einem gängigen elektronischen Format
Widerspruch gegen die Bearbeitung bei unzumutbarer Beeinträchtigung

Wichtig für Patientinnen und Patienten: Da Meditransfer als Auftragsbearbeiter handelt, richten sich Rechte betreffend Patientendaten primär an die behandelnde medizinische Institution (Verantwortliche im Sinne des DSG). Wir leiten entsprechende Anfragen unverzüglich an die zuständige Institution weiter.

Anfragen richten Sie an: hello@meditransfer.ch

09Meldepflichten & Aufsichtsbehörde

Meldepflicht bei Datenschutzverletzungen. Erkennt Meditransfer eine Verletzung der Datensicherheit mit wahrscheinlich hohem Risiko für die Persönlichkeit oder Grundrechte betroffener Personen, informieren wir die verantwortliche Institution unverzüglich, damit diese ihrer Meldepflicht gegenüber dem EDÖB gemäss Art. 24 DSG nachkommen kann.

Beschwerde bei der Aufsichtsbehörde. Sie haben das Recht, sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zu beschweren: www.edoeb.admin.ch.

10Änderungen dieser Datenschutzerklärung

Meditransfer behält sich vor, diese Datenschutzerklärung anzupassen, insbesondere um sie an geänderte Rechtsvorschriften oder Dienstleistungsanpassungen anzugleichen. Die jeweils aktuelle Version ist auf meditransfer.ch veröffentlicht; wesentliche Änderungen werden unseren Kunden mindestens 30 Tage im Voraus per E-Mail mitgeteilt.

Fragen zum Datenschutz?

Kontakt aufnehmen