KI-gestützte Transkription für Therapeuten in der Schweiz (2026): DSG-konforme Einrichtungs-Checkliste
Eine praxisnahe DSG-Compliance-Checkliste für Schweizer Therapeutinnen und Therapeuten, die 2026 KI-gestützte Transkription einführen. Einwilligung, Datenspeicherung, Zugriffskontrolle, Aufbewahrungsfristen und DSFA-Anforderungen.
Geschrieben von
Dya Clinical Team
Experten für Klinische Dokumentation
Immer mehr Therapeutinnen und Therapeuten in der Schweiz setzen auf KI-gestützte Transkription, um den Dokumentationsaufwand zu reduzieren und während der Sitzungen voll präsent zu bleiben. Doch in einem Land, in dem Gesundheitsdaten strengen rechtlichen Schutz geniessen, reicht es nicht aus, einfach „ein Tool einzuschalten". Das Bundesgesetz über den Datenschutz (DSG) — seit September 2023 in Kraft und aktiv durchgesetzt — stuft Gesundheitsinformationen als besonders schützenswerte Personendaten ein, was höhere Einwilligungsschwellen, obligatorische Folgenabschätzungen und erhebliche Strafen bei Nichteinhaltung nach sich zieht (bis zu CHF 250'000).
Dieser Artikel bietet eine praxisnahe Schritt-für-Schritt-Checkliste für Therapeutinnen, Therapeuten und Praxisverantwortliche, die KI-gestützte Transkription in der Schweiz einsetzen und dabei 2026 vollständig DSG-konform bleiben möchten.
Warum schweizspezifische Compliance wichtig ist
Das DSG ist keine Kopie der DSGVO. Obwohl es Kernprinzipien teilt — Zweckbindung, Datenminimierung, Transparenz — wirken sich mehrere Unterschiede direkt auf die Einrichtung Ihrer KI-Transkription aus:
- Besonders schützenswerte Daten erfordern ausdrückliche Einwilligung. Nach Artikeln 6(6) und 6(7) DSG verlangt die Bearbeitung von Gesundheitsdaten eine ausdrückliche, informierte und freiwillig erteilte Einwilligung. Stillschweigende Einwilligung oder vorangekreuzte Kästchen sind nicht zulässig.
- Automatisierte Entscheidungen unterliegen Informationspflichten. Artikel 21 DSG verlangt, dass Sie Patientinnen und Patienten informieren, wenn eine Entscheidung ausschliesslich auf automatisierter Verarbeitung beruht und erhebliche Auswirkungen auf sie hat.
- Bussen richten sich gegen natürliche Personen, nicht nur gegen Organisationen. Anders als bei der DSGVO können DSG-Strafen der verantwortlichen natürlichen Person auferlegt werden — also der Therapeutin, dem Therapeuten oder der Praxisleitung, nicht nur der juristischen Person.
- Der EDÖB hat bestätigt, dass das DSG auf KI anwendbar ist. Im Mai 2025 erklärte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ausdrücklich, dass das technologieneutrale DSG alle KI-basierten Datenbearbeitungen abdeckt, einschliesslich Transkription.
Mit der Unterzeichnung des Rahmenübereinkommens des Europarats über KI durch die Schweiz im März 2025 und einem KI-Gesetzesentwurf, der bis Ende 2026 zur Vernehmlassung erwartet wird, steigen die regulatorischen Anforderungen weiter.
Die DSG-konforme Einrichtungs-Checkliste 2026
Verwenden Sie die folgende Checkliste, um Ihren KI-Transkriptions-Workflow zu bewerten und einzurichten. Jeder Punkt entspricht einer spezifischen DSG-Anforderung.
1. Einwilligung der Patientin / des Patienten
DSG-Grundlage: Artikel 6, 7, 8, 19
Vor der Aufnahme jeder Sitzung benötigen Sie eine dokumentierte, ausdrückliche Einwilligung. Folgendes bedeutet „ausdrücklich" im Schweizer Recht:
- Separates Einwilligungsformular. Integrieren Sie die Einwilligung zur Transkription nicht in eine allgemeine Behandlungsvereinbarung. Erstellen Sie ein eigenständiges Dokument oder einen klar abgegrenzten Abschnitt.
- Verständliche Sprache. Beschreiben Sie den Vorgang in Worten, die die Patientin oder der Patient versteht — vermeiden Sie juristischen Fachjargon.
- Konkreter Zweck. Geben Sie genau an, was das KI-Tool tut: „Dieses Tool zeichnet unser Gespräch auf und erstellt eine schriftliche Zusammenfassung zur Dokumentation Ihrer therapeutischen Behandlung."
- Aktives Opt-in. Verwenden Sie ein Kontrollkästchen oder eine Unterschrift — kein vorangekreuztes Kästchen, kein Schweigen, kein „die Fortsetzung der Sitzung gilt als Einwilligung".
- Recht auf Ablehnung ohne Konsequenzen. Stellen Sie klar, dass die Ablehnung der KI-Transkription die Qualität der therapeutischen Betreuung in keiner Weise beeinträchtigt.
- Widerrufsmechanismus. Erläutern Sie, wie die Patientin oder der Patient die Einwilligung jederzeit widerrufen kann und was mit bereits verarbeiteten Daten geschieht.
Muster-Einwilligungstext:
Ich willige in die Audioaufnahme dieser Sitzung mittels eines
KI-gestützten Transkriptionstools ein. Die Aufnahme wird verarbeitet,
um schriftliche klinische Notizen für mein Therapiedossier zu erstellen.
Ich verstehe, dass:
- Die Aufnahme auf Servern in der Schweiz verarbeitet wird
- Keine Audio- oder Textdaten zum Training von KI-Modellen
verwendet werden
- Ich diese Einwilligung jederzeit durch Mitteilung an meine
Therapeutin / meinen Therapeuten widerrufen kann
- Der Widerruf meiner Einwilligung mein Recht auf therapeutische
Behandlung nicht beeinträchtigt
- Meine Daten gemäss der Aufbewahrungsrichtlinie der Praxis
gespeichert werden (siehe Details unten)
☐ Ich stimme zu ☐ Ich stimme nicht zu
Unterschrift: _______________ Datum: _______________
2. Datenspeicherung und Lokalisierung
DSG-Grundlage: Artikel 16, 17 (grenzüberschreitende Datenübermittlung)
Wo Ihre Daten gespeichert und verarbeitet werden, ist eine entscheidende Compliance-Frage.
- Bevorzugen Sie eine in der Schweiz gehostete Infrastruktur. Das DSG gestattet grenzüberschreitende Übermittlungen nur in Länder mit angemessenem Schutzniveau (festgelegt durch den Bundesrat) oder mit geeigneten Garantien. Die Nutzung von Servern in der Schweiz vermeidet diese Komplexität vollständig.
- Überprüfen Sie den Datenstandort Ihres Anbieters. Lassen Sie sich schriftlich bestätigen, dass Audiodateien und Transkriptionsresultate in der Schweiz verarbeitet und gespeichert werden. Manche Anbieter leiten Daten über US- oder EU-Cloud-Provider, obwohl sie sich als „Schweizer Lösung" vermarkten.
- Kein Training mit Ihren Daten. Stellen Sie sicher, dass die AGB des Anbieters ausdrücklich festhalten, dass Patientenaufnahmen und Transkriptionen nicht zum Training oder zur Verbesserung von KI-Modellen verwendet werden.
- Verschlüsselung im Ruhezustand und bei der Übertragung. Daten müssen mit branchenüblichen Protokollen verschlüsselt sein (mindestens AES-256 für die Speicherung, TLS 1.3 für die Übertragung).
- Speicherort der Backups. Falls Backups existieren, müssen auch diese in der Schweiz oder in einer Jurisdiktion mit angemessenem Schutzniveau liegen, mit denselben Zugriffskontrollen wie der primäre Speicher.
Fragen an Ihren Anbieter:
| Frage | Erwartete Antwort |
|---|---|
| Wo werden Audiodateien verarbeitet? | Server in der Schweiz |
| Wo werden Transkriptionen gespeichert? | Server in der Schweiz |
| Werden Patientendaten für das Modell-Training verwendet? | Nein |
| Welche Verschlüsselungsstandards verwenden Sie? | AES-256 im Ruhezustand, TLS 1.3 bei der Übertragung |
| Können Sie einen Auftragsbearbeitungsvertrag (ABV) bereitstellen? | Ja, DSG-konform |
| Beauftragen Sie Unterauftragsbearbeiter ausserhalb der Schweiz? | Nein, oder mit angemessenen Garantien |
3. Zugriffskontrolle
DSG-Grundlage: Artikel 7, 8 (Datensicherheitspflichten)
Die Beschränkung des Zugriffs auf Patiententranskriptionen ist sowohl eine rechtliche Pflicht als auch eine praktische Schutzmassnahme.
- Rollenbasierter Zugriff. Nur die behandelnde Therapeutin bzw. der behandelnde Therapeut und autorisiertes klinisches Personal sollten auf die Transkriptionen einer Patientin oder eines Patienten zugreifen. Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC) in Ihrem System.
- Individuelle Konten. Gemeinsam genutzte Anmeldedaten verunmöglichen die Nachverfolgung, wer auf welche Daten zugegriffen hat. Jedes Teammitglied benötigt eigene Zugangsdaten.
- Multi-Faktor-Authentifizierung (MFA). Verlangen Sie MFA für jedes System, das Gesundheitsdaten speichert. Dies ist gängige Praxis und wird von den Schweizer Behörden zunehmend erwartet.
- Zugriffsprotokolle. Protokollieren Sie jeden Zugriff auf Patiententranskriptionen — wer hat was eingesehen oder bearbeitet, und wann. Gemäss der Verordnung über das elektronische Patientendossier (EPDV) müssen Zugriffsprotokolle 10 Jahre aufbewahrt werden.
- Geräteverwaltung. Legen Sie fest, welche Geräte auf Transkriptionsdaten zugreifen dürfen. Private Smartphones ohne Verschlüsselung oder Bildschirmsperre stellen ein Risiko dar.
- Administratorzugriff des Anbieters. Klären Sie, ob der KI-Anbieter zu Support- oder Debugging-Zwecken auf Ihre Patientendaten zugreifen kann und unter welchen Bedingungen.
Minimale Zugriffskontrollmatrix:
| Rolle | Sitzung aufzeichnen | Transkription einsehen | Transkription bearbeiten | Transkription löschen | Benutzer verwalten |
|---|---|---|---|---|---|
| Behandelnde/r Therapeut/in | Ja | Ja | Ja | Nein | Nein |
| Klinische/r Supervisor/in | Nein | Ja (eigene Patient/innen) | Nein | Nein | Nein |
| Praxisadministration | Nein | Nein | Nein | Nein | Ja |
| IT-Administration | Nein | Nein | Nein | Nein | Ja |
4. Datenaufbewahrung und Löschung
DSG-Grundlage: Artikel 6 (Verhältnismässigkeit, Zweckbindung)
Das Schweizer Recht verlangt, Daten nur so lange aufzubewahren, wie sie einem dokumentierten Zweck dienen — schreibt aber auch Mindestaufbewahrungsfristen für Therapiedossiers vor.
- Audioaufnahmen: zeitnah löschen. Sobald die Transkription erstellt und von der Therapeutin oder dem Therapeuten validiert wurde, löschen Sie die Original-Audioaufnahme. Es gibt selten eine rechtliche Grundlage für die langfristige Speicherung von Rohaufnahmen.
- Transkriptionen im Patientendossier: 20 Jahre Aufbewahrung. Gemäss den kantonalen Gesundheitsgesetzen und dem Obligationenrecht (Verjährungsfrist bei Personenschäden) sind Patientendossiers — einschliesslich Transkriptionen, die Teil des klinischen Dossiers sind — 20 Jahre ab dem letzten Eintrag aufzubewahren.
- Zugriffsprotokolle: 10 Jahre Aufbewahrung. Gemäss der Verordnung über das elektronische Patientendossier müssen Zugriffsprotokolle 10 Jahre aufbewahrt werden und dürfen in dieser Zeit nicht gelöscht werden.
- Löschung nach Ablauf der Aufbewahrungsfrist. Nach Ablauf der Frist müssen die Daten gelöscht werden, es sei denn, die Patientin oder der Patient willigt ausdrücklich in eine weitere Speicherung ein.
- Dokumentieren Sie Ihre Richtlinie. Erstellen Sie einen Aufbewahrungsplan, der Audiodateien, Transkriptionstexte, Metadaten und Zugriffsprotokolle umfasst. Stellen Sie diesen den Patientinnen und Patienten auf Anfrage zur Verfügung.
Empfohlener Aufbewahrungsplan:
| Datentyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Audio-Rohaufnahme | Löschung nach Validierung der Transkription (max. 48 Std.) | Grundsatz der Datenminimierung |
| Transkription (im Patientendossier) | 20 Jahre ab letztem Eintrag | Kantonale Gesundheitsgesetze, OR Art. 128a |
| Sitzungsmetadaten (Datum, Dauer) | 20 Jahre (Teil des Patientendossiers) | Kantonale Gesundheitsgesetze |
| Zugriffs-/Auditprotokolle | 10 Jahre | EPDV Art. 10 |
| Einwilligungsdokumente | Dauer der Behandlung + 20 Jahre | DSG Art. 6 + Beweispflicht |
5. Datenschutz-Folgenabschätzung (DSFA)
DSG-Grundlage: Artikel 22
Eine DSFA ist obligatorisch, wenn die Datenbearbeitung voraussichtlich ein hohes Risiko für die Rechte der betroffenen Personen mit sich bringt. Die KI-gestützte Transkription von Therapiesitzungen — mit besonders schützenswerten Gesundheitsdaten, neuer Technologie und potenziell verletzlichen Betroffenen — erreicht diese Schwelle eindeutig.
Ihre DSFA sollte umfassen:
- Beschreibung der Bearbeitung. Welche Daten werden erhoben, wie werden sie verarbeitet und von wem?
- Zweck und Erforderlichkeit. Warum ist KI-gestützte Transkription nötig, und ist sie verhältnismässig?
- Risikobewertung. Welche Risiken bestehen hinsichtlich Datenverlust, fehlerhafter Transkription, unbefugtem Zugriff oder Re-Identifizierung?
- Massnahmen zur Risikominderung. Wie reduzieren Verschlüsselung, Zugriffskontrollen, Einwilligung und Anbieterverträge die einzelnen Risiken?
- Bewertung des Restrisikos. Bleibt nach den Massnahmen ein hohes Risiko bestehen? Falls ja, müssen Sie den EDÖB vor der Weiterführung konsultieren.
Ressourcen für Schweizer DSFA:
- Das Merkblatt des EDÖB zu DSFA: veröffentlicht auf edoeb.admin.ch
- Die DSFA-Vorlage der VUD (Vereinigung für Unternehmensdatenschutz): verfügbar auf vud.ch/dpia, mit einem KI-gestützten Ausfüllwerkzeug
Wenn Sie eine Einzelpraxis führen, mag eine DSFA unverhältnismässig erscheinen — aber das DSG befreit Einzelpraktizierende nicht von dieser Pflicht, wenn sie mit KI-Tools besonders schützenswerte Daten in grossem Umfang bearbeiten.
6. Transparenz und Patienteninformation
DSG-Grundlage: Artikel 19, 20, 21
Über die Einwilligung hinaus bestehen fortlaufende Informationspflichten gegenüber den Patientinnen und Patienten.
- Datenschutzerklärung. Aktualisieren Sie die Datenschutzerklärung Ihrer Praxis, um die KI-Transkription zu erwähnen, einschliesslich Anbietername, Verarbeitungsort und Datenflüsse.
- Information über automatisierte Verarbeitung. Wenn das KI-Tool Entscheidungen trifft, die die Patientin oder den Patienten betreffen (z. B. Erkennung klinischer Risikoindikatoren), müssen Sie dies offenlegen und das Recht auf Überprüfung durch eine Person einräumen.
- Auskunftsrecht. Patientinnen und Patienten können jederzeit eine Kopie ihrer Transkriptionen verlangen. Sie müssen innerhalb von 30 Tagen antworten.
- Recht auf Berichtigung. Enthält eine Transkription Fehler, kann die Patientin oder der Patient eine Korrektur verlangen.
- Aushang oder mündlicher Hinweis. Erwägen Sie, in Ihrem Behandlungsraum einen Hinweis anzubringen: „Diese Praxis verwendet ein KI-gestütztes Tool zur Unterstützung der Sitzungsdokumentation. Details finden Sie in unserer Datenschutzerklärung."
7. Sorgfaltspflicht gegenüber dem Anbieter
DSG-Grundlage: Artikel 9 (Datenbearbeitung durch Dritte)
Wenn Sie einen Drittanbieter für KI-Transkription nutzen, bleiben Sie Verantwortlicher. Der Anbieter ist Ihr Auftragsbearbeiter — und Sie sind für dessen Compliance verantwortlich.
- Auftragsbearbeitungsvertrag (ABV). Schliessen Sie einen schriftlichen ABV mit Ihrem Anbieter ab, der Bearbeitungsumfang, Sicherheitsmassnahmen, Unterauftragsbearbeiter, Meldepflichten bei Verletzungen und Bedingungen für Datenrückgabe/-löschung festlegt.
- Sicherheitszertifizierungen. Achten Sie auf ISO 27001- oder ISO 13485-Zertifizierung (Medizinprodukt), SOC-2-Berichte oder gleichwertige Audits.
- Transparenz bei Unterauftragsbearbeitern. Klären Sie, ob der Anbieter die Verarbeitung an andere Unternehmen weitergibt und wo sich diese befinden.
- Klausel zur Meldung von Datenverletzungen. Der Anbieter muss Sie unverzüglich über jede Datenverletzung informieren, damit Sie beurteilen können, ob eine Meldung an den EDÖB erforderlich ist (vorgeschrieben, wenn die Verletzung ein hohes Risiko für die Rechte der Betroffenen birgt).
- Ausstiegsstrategie. Stellen Sie sicher, dass Sie alle Daten exportieren und löschen können, falls Sie den Anbieter wechseln.
Übersichtstabelle
| Bereich | Zentrale Anforderung | DSG-Artikel |
|---|---|---|
| Einwilligung | Ausdrücklich, informiert, spezifisch, freiwillig | Art. 6(7) |
| Speicherung | Schweiz bevorzugt; Verschlüsselung obligatorisch | Art. 7, 16 |
| Zugriffskontrolle | Rollenbasiert, protokolliert, MFA-geschützt | Art. 7, 8 |
| Aufbewahrung | Audio: zeitnah löschen; Dossiers: 20 Jahre | Art. 6 + kantonales Recht |
| DSFA | Obligatorisch bei KI + besonders schützenswerten Gesundheitsdaten | Art. 22 |
| Transparenz | Datenschutzerklärung, Information über automatisierte Verarbeitung | Art. 19, 20, 21 |
| Anbieter | Schriftlicher ABV, Sicherheitsaudit, Unterauftragsbearbeiterliste | Art. 9 |
Was als Nächstes kommt
Die regulatorische Landschaft der Schweiz entwickelt sich weiter. Wichtige Entwicklungen für 2026 und darüber hinaus:
- KI-Gesetzesentwurf (erwartet Ende 2026). Der Bundesrat hat das EJPD mit der Ausarbeitung eines Gesetzes zur Umsetzung des KI-Übereinkommens des Europarats beauftragt. Dieses könnte erweiterte Transparenzpflichten, Risikomanagement-Anforderungen und sektorspezifische Regeln für KI im Gesundheitswesen einführen.
- KI/ML-Strategie von Swissmedic. Die Schweizerische Zulassungs- und Aufsichtsbehörde für Heilmittel baut ihren eigenen KI-Einsatz aus und könnte Leitlinien für KI-gestützte Dokumentationstools herausgeben.
- Neue Fristen für die Geräteregistrierung. Die UDI-Registrierungspflichten treten am 1. Juli 2026 in Kraft — relevant, falls Ihr KI-Transkriptionstool als Medizinprodukt eingestuft wird.
Die beste Vorbereitung ist, jetzt konforme Grundlagen zu schaffen. Praxen, die bereits die DSG-Anforderungen erfüllen, werden sich deutlich leichter an neue Regelungen anpassen als jene, die erst aufholen müssen.
Quellen
Dieser Artikel stützt sich auf folgende offizielle und fachspezifische Referenzen:
- EDÖB: KI und Datenschutz — Leitlinien des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, die bestätigen, dass das DSG auf KI-Systeme anwendbar ist.
- EDÖB: Geltendes Datenschutzrecht direkt auf KI anwendbar — Update vom Mai 2025 zur KI-spezifischen Anwendbarkeit des DSG.
- EDÖB: Einsicht, Aufbewahrung und Vernichtung von Patientendaten — Offizielle Leitlinien zu Aufbewahrung von Therapiedossiers und Patientenrechten.
- EDÖB: Merkblatt Datenschutz-Folgenabschätzung (PDF) — DSFA-Anforderungen gemäss Artikel 22 DSG.
- VUD: Vorlage Datenschutz-Folgenabschätzung — Schweizer DSFA-Vorlage mit KI-gestütztem Ausfüllwerkzeug.
- KMU Admin Schweiz: Neues Bundesgesetz über den Datenschutz (nDSG) — Übersicht des Bundes zum revidierten DSG.
- Pestalozzi Attorneys: Die Schweiz setzt ihren Kurs bei der KI-Gesetzgebung — Analyse des regulatorischen Ansatzes des Bundesrats für KI und des erwarteten Gesetzesentwurfs 2026.
- Lenz & Staehelin: Die Schweiz skizziert ihren regulatorischen Ansatz für KI — Rechtsanalyse der sektorspezifischen KI-Regulierungsstrategie der Schweiz.
- ICLG: Digital-Health-Gesetze und -Vorschriften — Schweiz — Überblick über die Digital-Health-Compliance in der Schweiz einschliesslich Fristen für Medizinprodukte.
- 360core: Schweizer gesetzliche Aufbewahrungsfristen für Patientendossiers — Referenz für die 20-jährige Aufbewahrungspflicht gemäss kantonalen Gesundheitsgesetzen.
Verwandte Artikel:
- Vollständiger Leitfaden zur KI-gestützten medizinischen Transkription 2025
- Sitzungsbericht-Vorlage für Therapeuten: Struktur, Beispiele und häufige Fehler
- KI-Schreibassistent vs. Diktat vs. manuelle Notizen: Was ist die beste Lösung für Ihre Praxis?
Sie suchen ein in der Schweiz gehostetes, DSG-konformes KI-Transkriptionstool für Ihre Praxis? Testen Sie Dya Clinical 7 Tage kostenlos.
