Audio bleibt auf Ihrem Gerät. Namen werden lokal pseudonymisiert. Der Rückweg öffnet nur Ihr Fingerabdruck. Das ist keine Datenschutzrichtlinie — das ist die Architektur.
Bevor ein einziges Wort die KI erreicht, analysieren lokale NER-Modelle (Named Entity Recognition) im Browser den Text und erkennen automatisch alle identifizierenden Elemente.
Sie sehen die erkannten Elemente und können sie überprüfen — dann erst geht der pseudonymisierte Text an die KI.
Alle gespeicherten Inhalte (Chats, Dokumente, Transkripte, Dossiers) werden mit AES-256-GCM verschlüsselt — clientseitig, bevor sie übertragen werden. Jedes Objekt erhält einen eigenen Data Encryption Key (DEK).
Der Verschlüsselungsschlüssel liegt ausschliesslich auf Ihrem Gerät und wird dort nie im Klartext gespeichert. Der Server empfängt und speichert ausschliesslich Ciphertext — für uns technisch nicht lesbar.
Jeder Schritt erklärt. Was auf Ihrem Gerät bleibt, was den Server erreicht, und wer den Rückweg öffnen darf.
Whisper (ONNX) läuft vollständig im Browser — keine Cloud, keine API, keine Übertragung. Das Audio verlässt Ihr Gerät in keinem Szenario. Was entsteht, ist ausschliesslich Text, der lokal weiterverarbeitet wird.
Lokale NER-Modelle (Named Entity Recognition) scannen den transkribierten Text und ersetzen alle identifizierenden Elemente durch neutrale Tokens — noch bevor ein Zeichen das Gerät verlässt.
Der Server empfängt ein Fragment wie "[PERSON_1] berichtet über anhaltende Schlafstörungen seit [DATE_1]…" und liefert eine klinisch präzise Antwort. Der echte Patientenname existiert nirgendwo auf dem Server — nicht im Request, nicht in Logs, nicht in Trainingsdaten.
Die Zuordnung von "[PERSON_1]" zu "Max Müller" ist ausschliesslich auf Ihrem Gerät gespeichert — verschlüsselt mit Ihrem biometrischen Master-Schlüssel (WebAuthn PRF). Die Repersonalisierung geschieht erst nach Entsperrung via Face ID oder Fingerabdruck. Kein Passwort, kein Recovery-Code, kein anderes Gerät kann diesen Schritt ausführen.
Alle Inhalte — Chats, Transkripte, Dossiers, Dokumente — werden clientseitig mit AES-256-GCM verschlüsselt, bevor sie übertragen werden. Der Server speichert ausschliesslich Ciphertext. Weder wir noch Behörden noch Angreifer können den Inhalt lesen.
Kein Passwort. Kein Recovery-Code auf einem Zettel. Ihr Fingerabdruck oder Ihr Gesicht entsperrt den Master-Schlüssel — und damit die Repersonalisierung, die Verschlüsselung und den Zugang zu allen Ihren Daten.
Die Technologie dahinter heisst WebAuthn PRF: Ihr biometrisches Merkmal erzeugt kryptographisch einen einzigartigen Schlüssel — hardware-gebunden, nicht exportierbar, nicht phishbar. Nur Sie können den Rückweg von "[PERSON_1]" zu "Max Müller" öffnen.
Smartphone einrichten: QR-Code scannen — Trust-Anchor wird automatisch erstellt
"Ihr Smartphone ist jetzt Ihr Sicherheitsschlüssel" — Passkey registriert
"Ihr Austausch ist jetzt verschlüsselt und pseudonymisiert" — bereit
Nein — technisch unmöglich. Alle Inhalte werden clientseitig verschlüsselt. Der Schlüssel befindet sich ausschliesslich auf Ihrem Gerät und verlässt es nie im Klartext.
Nein. Unsere KI-Infrastruktur läuft ausschliesslich via Infomaniak in der Schweiz. Keine Nutzung Ihrer Daten für Modelltraining. Ihre Daten gehören Ihnen.
Über den Pairing-Flow richten Sie ein neues Gerät ein. Der Master-Schlüssel wird sicher übertragen — alle Ihre Daten bleiben vollständig zugänglich. Das verlorene Gerät kann einzeln widerrufen werden.
Nein. Die Transkription läuft lokal im Browser via Whisper ONNX. Keine Audiodatei, keine Aufnahme wird an Server übertragen. Nur der pseudonymisierte Text geht an die KI.
Alle Server stehen in der Schweiz. KI-Infrastruktur via Infomaniak — kein Transfer in Drittländer. Volle Unterstellung unter Schweizer Recht.