Datenschutzerklärung

1. Verantwortliche Stelle

PHORO – Adrian Lanz
Brüelstrasse 3b, 5312 Döttingen, Schweiz
E-Mail: info@phoro.ch

PHOROgenogramm richtet sich an Fachpersonen in der Schweiz und in der EU/dem EWR. Daher gelten sowohl das Schweizer Datenschutzgesetz (nDSG/DSG) als auch – für Nutzende mit Sitz in der EU/dem EWR – die Datenschutz-Grundverordnung (DSGVO), Art. 3 Abs. 2.

2. Datenschutzverantwortlicher

Adrian Lanz
E-Mail: info@phoro.ch

3. Zweck der Datenverarbeitung

PHOROgenogramm ist ein klinischer Genogramm-Editor für Fachpersonen aus Therapie, Beratung, Sonderpädagogik und Sozialarbeit. Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der:

• Erstellung und Verwaltung von Genogrammen (Familienstammbäumen mit klinischen Daten)
• Bereitstellung des Benutzerkontos und Authentifizierung
• Kollaboration zwischen Fachpersonen (Sharing, Supervision)
• Export und Archivierung von Falldokumentation

Wichtig: Die in Genogrammen erfassten Daten betreffen in der Regel Dritte (Klient:innen, Familienmitglieder). Die Verantwortung für die Rechtmässigkeit der Erfassung dieser Daten liegt bei der nutzenden Fachperson. PHORO stellt das technische Werkzeug bereit und verarbeitet die Daten ausschliesslich im Auftrag.

4. Rechtsgrundlage

Für Nutzende in der EU/dem EWR (DSGVO):

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung des Dienstes)
• Art. 9 Abs. 2 lit. h DSGVO – Verarbeitung von Gesundheitsdaten zum Zweck der Gesundheitsversorgung, durch Fachpersonen mit Schweigepflicht
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (für optionale Funktionen wie Kollaboration und Export)

Für Nutzende in der Schweiz (nDSG):

• Art. 6 Abs. 6 und 7 nDSG – Bearbeitung besonders schützenswerter Personendaten (Gesundheitsdaten) mit ausdrücklicher Einwilligung
• Art. 31 nDSG – Informationspflicht bei Beschaffung von Personendaten

5. Kategorien personenbezogener Daten

6. Empfänger und Auftragsverarbeitung

Ihre Daten werden verarbeitet durch:

• Infomaniak Network SA (Webhosting, Datenbankhosting, E-Mail) – Schweizer Unternehmen mit Sitz in Genf. Sämtliche Daten werden ausschliesslich in Rechenzentren in der Schweiz gespeichert und verarbeitet. Es besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäss Art. 28 DSGVO und Art. 9 nDSG.

Infomaniak unterliegt als Schweizer Unternehmen dem Schweizer Datenschutzgesetz (nDSG) und verarbeitet keine Daten ausserhalb der Schweiz. Eine Übermittlung in Drittländer findet nicht statt.

Keine weiteren Empfänger: Genogramm-Daten werden nicht an Dritte weitergegeben, nicht für Werbezwecke verwendet und nicht für KI-Training eingesetzt.

7. Datenstandort und internationale Datenübermittlung

Sämtliche Daten werden ausschliesslich in der Schweiz gespeichert und verarbeitet (Rechenzentren von Infomaniak Network SA). Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt.

Für Nutzende in der EU/dem EWR: Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), sodass der Datenzugriff aus der EU auf in der Schweiz gespeicherte Daten keinen zusätzlichen Garantien bedarf.

8. Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Bei Kontolöschung (unter «Konto» → «Konto und alle Daten löschen») werden sämtliche personenbezogenen Daten einschliesslich aller Genogramme unwiderruflich gelöscht.

Audit-Log-Einträge (ohne personenbezogene Inhalte, nur Aktionstyp und Zeitstempel) werden nach 12 Monaten automatisch gelöscht.

9. Ihre Rechte

Nach DSGVO (für Nutzende in der EU/dem EWR):

• Auskunft (Art. 15 DSGVO) – über die gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) – fehlerhafter Daten
• Löschung (Art. 17 DSGVO) – über die Kontolöschung oder per Anfrage
• Einschränkung (Art. 18 DSGVO) – der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Export als JSON im Bereich «Export»
• Widerspruch (Art. 21 DSGVO) – gegen die Verarbeitung
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft

Nach nDSG (für Nutzende in der Schweiz):

• Auskunftsrecht (Art. 25 nDSG)
• Recht auf Datenherausgabe oder -übertragung (Art. 28 nDSG)
• Recht auf Berichtigung (Art. 32 nDSG)
• Recht auf Löschung (Art. 32 nDSG)

Kontakt für alle Anfragen: info@phoro.ch

10. Cookies und lokale Speicherung

PHOROgenogramm verwendet ausschliesslich funktionale Session-Cookies für die Authentifizierung. Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern eingesetzt.

Im Offline-Modus werden Genogramm-Daten in der lokalen IndexedDB des Browsers gespeichert. Diese Daten verlassen Ihr Gerät nur bei aktivierter Synchronisation. Der «Nur-lokal»-Modus verhindert jegliche Übertragung an den Server.

11. Technische und organisatorische Massnahmen

• Verschlüsselung aller Daten bei Übertragung (TLS 1.3)
• Verschlüsselung gespeicherter Daten (AES-256 at rest)
• Row Level Security (RLS) auf allen Datenbanktabellen – kein Zugriff ohne Authentifizierung
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• Automatische Sitzungszeitbegrenzung (30 Minuten Inaktivität)
• Vollständiger Audit-Trail (nur Aktionen und Metadaten, keine sensiblen Inhalte)
• Pseudonymisierte Export-Optionen (4 Redaktionsstufen)
• Rollenbasierte Zugriffskontrolle bei Kollaboration
• Offline-Modus: Daten können ausschliesslich lokal auf dem Gerät gehalten werden

12. Aufsichtsbehörde

Sie haben das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern
www.edoeb.admin.ch

Deutschland:
Die für Sie zuständige Landesbeauftragte bzw. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Ihres Bundeslandes. Eine Übersicht finden Sie unter bfdi.bund.de.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung gilt. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.