Datenschutzerklärung

Version 1.0 – Stand: Januar 2025

Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten verarbeiten und schützen, wenn Sie unsere Website www.psynex.de oder unsere über diese Website angebotenen Dienste nutzen (zusammen „unsere Dienste" oder „die Plattform").

Die Website und Plattform wird betrieben von:

Intermac systems

Sendnicher Str. 58a

56072 Koblenz

Deutschland

E-Mail: info@intermac.de

Tel.: +49-151-2755-5942

Umsatzsteuer-ID: DE178012433

(nachfolgend "das Unternehmen", "wir", "unser" oder "uns")

Verantwortlicher i.S.d. § 55 Abs. 2 RStV: Norbert Doetsch

Datenschutzbeauftragter:
Bei Fragen zum Datenschutz erreichen Sie uns unter: info@intermac.de

Wichtiger Hinweis zur Rolle als Auftragsverarbeiter

Psynex ist eine B2B-Plattform für medizinische Fachkräfte (Psychotherapeuten, Psychologen).

Für die Verarbeitung von Patientendaten Ihrer Klienten sind Sie als Therapeut der Verantwortliche im Sinne der DSGVO. Wir (Intermac systems) agieren als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Bedingungen der Auftragsverarbeitung regelt unser separater Auftragsverarbeitungsvertrag (AVV), den Sie bei der Registrierung akzeptieren müssen.

Diese Datenschutzerklärung betrifft primär:

  1. Ihre eigenen Daten als Nutzer der Plattform (Therapeuten-Account)
  2. Allgemeine Informationen über die Datenverarbeitung
  3. Technische und organisatorische Maßnahmen

Ihre Pflichten gegenüber Ihren Patienten:

  • Sie müssen von Ihren Patienten eine wirksame Einwilligung zur Datenverarbeitung gemäß Art. 6, 9 DSGVO einholen
  • Sie müssen Ihre Patienten über die Datenverarbeitung (inkl. Nutzung von KI-Diensten) informieren
  • Sie sind verantwortlich für die Erfüllung der Betroffenenrechte Ihrer Patienten

1. Verarbeitete Daten und Zwecke

1.1 Daten von Therapeuten (unsere direkten Nutzer)

Wenn Sie sich als Therapeut registrieren und die Plattform nutzen, verarbeiten wir folgende Daten über Sie:

DatenkategorieBeispieleZweckRechtsgrundlage
Account-DatenName, E-Mail, Passwort (gehasht), TelefonBereitstellung und Verwaltung Ihres AccountsArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
BerufsangabenTherapeutenlizenz, Fachrichtung, PraxisadresseVerifizierung der Berechtigung zur NutzungArt. 6 Abs. 1 lit. b, c DSGVO
ZahlungsdatenRechnungsadresse, ZahlungsmethodeAbwicklung der Abonnement-ZahlungenArt. 6 Abs. 1 lit. b DSGVO
NutzungsdatenLogin-Zeiten, verwendete Features, IP-AdresseBereitstellung und Verbesserung der DiensteArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
KommunikationSupport-Anfragen, FeedbackKundenservice, ProduktverbesserungArt. 6 Abs. 1 lit. b, f DSGVO

1.2 Patientendaten (im Auftrag der Therapeuten verarbeitet)

Wenn Sie als Therapeut Patientendaten in die Plattform eingeben, verarbeiten wir diese ausschließlich in Ihrem Auftrag:

DatenkategorieBeispieleZweck
PatientenstammdatenName, Geburtsdatum, Kontaktdaten, VersicherungsnummerIdentifikation, Anträge an Krankenkassen
Gesundheitsdaten (Art. 9 DSGVO)Diagnosen, Symptome, Behandlungsverläufe, TherapienotizenDokumentation, Erstellung von Therapieberichten
SitzungsdatenAudio-Transkripte, Sitzungsnotizen, BehandlungspläneKI-gestützte Dokumentation und Berichtserstellung
VersicherungsdatenKrankenkasse, Kostenübernahme, AntragsstatusErstellung von Kostenerstattungsanträgen

Rechtsgrundlage für Patientendaten:

  • Sie als Therapeut sind verantwortlich für die Rechtsgrundlage (typischerweise: Einwilligung des Patienten gemäß Art. 9 Abs. 2 lit. a DSGVO oder gesetzliche Erlaubnis gemäß Art. 9 Abs. 3 DSGVO i.V.m. § 22 BDSG)
  • Wir verarbeiten diese Daten nur auf Ihre dokumentierte Weisung hin (Art. 28 DSGVO)

1.3 Automatisch erhobene Daten

Website-Besucherdaten:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Browser-Typ und Version
  • Betriebssystem
  • Referrer-URL
  • Datum und Uhrzeit des Zugriffs

Zweck: Bereitstellung der Website, Fehleranalyse, IT-Sicherheit
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)

2. Datenquellen

Wir erheben Daten aus folgenden Quellen:

Direkt von Ihnen:

  • Bei Registrierung und Account-Verwaltung
  • Bei Nutzung der Plattform (Eingabe von Patientendaten, Sitzungsnotizen)
  • Bei Kontaktaufnahme mit uns (Support, E-Mail)
  • Bei Zahlungsvorgängen

Automatisch:

  • Durch Ihre Nutzung der Website/Plattform (Logfiles, Cookies)
  • Durch Audio-Transkription bei Sitzungsaufnahmen

Von Dritten:

  • Zahlungsdienstleister (Bestätigung von Transaktionen)
  • Approbationsbehörden (nur bei Verifizierung auf Ihre Anfrage)

3. Empfänger und Weitergabe von Daten

3.1 Interne Empfänger

Zugriff auf Daten haben nur:

  • Autorisierte Mitarbeiter von Intermac systems (auf "need-to-know"-Basis)
  • Technische Administratoren (mit 2FA-geschütztem, protokolliertem Zugriff)

Ihre Patientendaten sieht niemand außer Ihnen – wir haben keinen inhaltlichen Zugriff auf verschlüsselte Felder.

3.2 Externe Dienstleister (Auftragsverarbeiter)

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

DienstleisterLeistungStandortDatenschutz-Garantien
Hetzner Online GmbHServer-Hosting, RechenzentrumDeutschland (Falkenstein, Nürnberg)AVV gemäß Art. 28 DSGVO, ISO 27001 zertifiziert
OpenAI LLCKI-Textverarbeitung (Transkription, Berichtserstellung)EU-Server (Daten verlassen EU nicht)Business Associate Agreement (BAA) für HIPAA-Compliance, DPA für DSGVO
Stripe, Inc. / Stripe Payments Europe Ltd.ZahlungsabwicklungIrland (EU)DSGVO-konform, PCI-DSS Level 1 zertifiziert

Wichtige Hinweise zu OpenAI:

  • OpenAI verarbeitet nur die Textinhalte, die zur KI-Analyse notwendig sind (Transkripte, Notizen)
  • Daten werden nicht für das Training von OpenAI-Modellen verwendet (BAA-Schutz)
  • Daten werden auf EU-Servern verarbeitet und gespeichert
  • Übertragung erfolgt verschlüsselt (TLS 1.3)
  • OpenAI hat keinen Zugriff auf Patientennamen oder identifizierende Metadaten (diese bleiben verschlüsselt bei Hetzner)

3.3 Weitere Empfänger

Daten können weitergegeben werden an:

Behörden und Gerichte:

Wenn gesetzlich verpflichtet oder zur Rechtsdurchsetzung erforderlich (z.B. bei Gerichtsbeschlüssen).

Nachfolger bei Unternehmensverkauf:

Bei Fusion, Übernahme oder Verkauf von Geschäftsbereichen (mit Benachrichtigung).

Mit Ihrer Einwilligung:

An andere von Ihnen benannte Empfänger.

4. Datenübermittlung in Drittländer

4.1 Grundsatz: Datenverarbeitung in der EU

Ihre Daten (insbesondere Patientendaten) werden primär in Deutschland verarbeitet:

  • Hauptdatenbank: Hetzner Rechenzentren in Deutschland
  • Backups: Verschlüsselt in deutschen Rechenzentren

4.2 OpenAI – EU-Datenverarbeitung

Für die KI-Textverarbeitung nutzen wir OpenAI's EU-basierte Infrastruktur:

  • Serverstandort: EU (genaue Standorte: variabel, aber innerhalb EU/EWR)
  • Datenübermittlung in die USA: Findet nicht statt für über die API verarbeitete Daten
  • Rechtsgrundlage: Art. 46 DSGVO (Standardvertragsklauseln in BAA/DPA), Art. 49 Abs. 1 lit. a DSGVO (Ihre Einwilligung als Therapeut)

Transparenz zu OpenAI:

OpenAI LLC hat Hauptsitz in den USA, betreibt aber dedizierte EU-Server. Gemäß BAA verbleiben Gesundheitsdaten auf EU-Servern und unterliegen DSGVO-Schutz. Zugriff durch US-Behörden ist durch BAA und vertragliche Schutzklauseln eingeschränkt, jedoch kann ein Restrisiko nicht vollständig ausgeschlossen werden.

4.3 Stripe Zahlungsabwicklung

Zahlungsdaten werden durch Stripe Payments Europe Ltd. (Irland) verarbeitet. Stripe kann Daten in die USA übermitteln, nutzt dafür aber Standardvertragsklauseln und ist Privacy-Shield-Nachfolger zertifiziert.

4.4 Ihre Rechte bei Drittlandübermittlung

Sie haben das Recht:

  • Kopie der Standardvertragsklauseln anzufordern
  • Mehr Informationen über Schutzmaßnahmen zu erhalten
  • Ihre Einwilligung zur Drittlandübermittlung zu widerrufen (kann Nutzung von KI-Features einschränken)

5. Speicherdauer

DatenartSpeicherdauerBegründung
Account-DatenBis zur Löschung des Accounts + 30 TageVertragserfüllung, danach Löschpflicht
PatientendatenSolange Sie als Therapeut dies wünschen, max. bis Accountlöschung + 30 TageAuftragsverarbeitung – Sie bestimmen die Löschung
Rechnungsdaten10 Jahre nach Jahresende§ 147 AO (steuerrechtliche Aufbewahrungspflicht)
BackupsMax. 90 Tage (rollierendes System)IT-Sicherheit, dann automatische Löschung
Logfiles30 Tage, IP-Adressen anonymisiert nach 7 TagenIT-Sicherheit, Missbrauchsprävention
Support-Korrespondenz3 Jahre nach letzter NachrichtNachvollziehbarkeit, Qualitätssicherung

Nach Ablauf der Speicherdauer:

Wir löschen Daten sicher und unwiederbringlich oder anonymisieren diese vollständig.

Ihre Kontrollmöglichkeiten:

  • Sie können jederzeit einzelne Patienten oder Sitzungen löschen (sofortige Löschung, verbleibt nur in Backups für max. 90 Tage)
  • Bei Accountlöschung werden alle Daten nach 30 Tagen endgültig gelöscht

6. Datensicherheit und Verschlüsselung

Wir nehmen die Sicherheit Ihrer und Ihrer Patientendaten sehr ernst. Folgende Maßnahmen sind implementiert:

🔒 Verschlüsselung At Rest

  • AES-256 Verschlüsselung
  • Per-User Encryption Keys
  • Patientennamen, Diagnosen, Notizen verschlüsselt

🔐 Verschlüsselung In Transit

  • TLS 1.3 für alle Verbindungen
  • HTTPS-only
  • HSTS aktiviert

👤 Zugriffskontrolle

  • Passwortpflicht (mind. 8 Zeichen)
  • Optional: 2FA
  • Session-Timeout nach 30 Min.
  • Rollenbasierte Berechtigungen

🛡️ Infrastruktur-Sicherheit

  • Firewall-geschützte Server
  • DDoS-Schutz
  • Regelmäßige Sicherheitsupdates
  • Tägliche verschlüsselte Backups

Mandantentrennung:

  • Strikte Datentrennung zwischen Therapeuten
  • Ein Therapeut kann niemals Daten eines anderen Therapeuten sehen
  • Separate Verschlüsselungsschlüssel pro Nutzer

Hinweis: Trotz höchster Sicherheitsstandards können wir keine 100%ige Sicherheit garantieren, da keine Übertragung über das Internet vollständig sicher ist. Wir empfehlen: Nutzung aktueller Browser, Aktivierung von 2FA, sichere Passwörter.

7. Ihre Rechte als Therapeut (Nutzer)

Sie haben folgende Datenschutzrechte bezüglich Ihrer eigenen Daten:

✓ Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit eine Kopie aller über Sie gespeicherten Daten anfordern. Über Ihr Account-Dashboard können Sie Ihre Profildaten einsehen.

✓ Recht auf Berichtigung (Art. 16 DSGVO)

Sie können Korrekturen verlangen, wenn Ihre Daten unrichtig oder unvollständig sind. Profildaten können Sie selbst im Account bearbeiten.

✓ Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

  • Die Daten nicht mehr notwendig sind
  • Sie Ihre Einwilligung widerrufen
  • Sie Widerspruch einlegen
  • Die Daten unrechtmäßig verarbeitet wurden

Praktisch: Funktion "Account löschen" im Profil → alle Daten werden nach 30 Tagen endgültig gelöscht.

✓ Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.Praktisch: Exportfunktion für alle Ihre Daten (JSON/CSV-Format).

✓ Widerspruchsrecht (Art. 21 DSGVO)

Bei Verarbeitung auf Basis berechtigter Interessen können Sie Widerspruch einlegen. Besonders bei Direktwerbung können Sie jederzeit widersprechen (Opt-out in jeder Marketing-E-Mail).

✓ Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Für Rheinland-Pfalz:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Hintere Bleiche 34, 55116 Mainz

poststelle@datenschutz.rlp.de

Kontakt für Ausübung Ihrer Rechte:

E-Mail: info@intermac.de
Wir beantworten Anfragen innerhalb von 30 Tagen.

8. Rechte der Patienten (Betroffene Ihrer Klienten)

Da wir als Auftragsverarbeiter für Sie tätig sind, sind Sie als Therapeut verantwortlich für die Erfüllung der Rechte Ihrer Patienten (Auskunft, Löschung, etc.).

Unsere Unterstützung:

  • Technische Funktionen (Datenexport, Löschung)
  • Weiterleitung direkter Anfragen an Sie
  • Unterstützung bei Betroffenenrechten

Ihre Pflichten:

  • Information der Patienten über Datenverarbeitung
  • Einholung wirksamer Einwilligungen (Art. 9 DSGVO)
  • Beantwortung von Patientenanfragen
  • Nutzung unserer Löschfunktionen bei Bedarf

9. Cookies und Tracking

Wir verwenden nur technisch notwendige Cookies für den Betrieb der Plattform:

Cookie-NameZweckSpeicherdauer
session_tokenAuthentifizierung (Login-Session)30 Tage oder bis Logout
csrf_tokenSchutz vor CSRF-Angriffen1 Tag

✓ Keine Tracking- oder Marketing-Cookies

Wir verwenden kein Google Analytics, keine Social Media Tracking Pixel (Facebook, LinkedIn), keine Werbe-Cookies und keine Third-Party Cookies.

10. Newsletter und Marketing

Bei Newsletter-Anmeldung verwenden wir Double-Opt-In. Sie können sich jederzeit abmelden (Link in jeder E-Mail). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

11. Social Media und externe Links

Unsere Website kann Links zu externen Websites enthalten. Wir haben keine Kontrolle über deren Datenschutzpraktiken. Bei Klick verlassen Sie unseren Verantwortungsbereich.

12. Minderjährige

Unsere Plattform richtet sich an volljährige Fachkräfte. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren.

13. Automatisierte Entscheidungen und Profiling

Wir setzen KI (OpenAI) nur als Unterstützung ein (Transkription, Berichtserstellung). Alle finalen Entscheidungen trifft ausschließlich der Therapeut. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.

Kein Profiling: Wir erstellen keine Profile zu Marketing- oder Bonitätsprüfungszwecken.

14. Datenpannen und Incident Response

Im Falle einer Datenschutzverletzung:

  • An Therapeuten: Wir informieren Sie binnen 24 Stunden per E-Mail
  • An Aufsichtsbehörde: Meldung binnen 72 Stunden (Art. 33 DSGVO)
  • An Patienten: Sie als Therapeut sind verantwortlich für die Benachrichtigung Ihrer Patienten (Art. 34 DSGVO)

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Wesentliche Änderungen kündigen wir per E-Mail an (mindestens 14 Tage im Voraus).

Aktuelle Version: Immer abrufbar auf www.psynex.de/datenschutz

16. Kontakt und Fragen

Bei Fragen, Wünschen oder Beschwerden zum Datenschutz kontaktieren Sie uns:

Intermac systems

Norbert Doetsch

Sendnicher Str. 58a

56072 Koblenz, Deutschland

E-Mail: info@intermac.de

Telefon: +49-151-2755-5942

Reaktionszeit: Wir beantworten Anfragen innerhalb von 30 Tagen.

17. Glossar (Datenschutz-Begriffe erklärt)

Personenbezogene Daten:

Alle Informationen über eine identifizierte/identifizierbare Person (Name, E-Mail, IP-Adresse).

Gesundheitsdaten:

Besondere Kategorie sensibler Daten gemäß Art. 9 DSGVO (Diagnosen, Behandlungsdaten).

Verantwortlicher:

Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet (hier: Sie als Therapeut für Patientendaten).

Auftragsverarbeiter:

Stelle, die Daten im Auftrag des Verantwortlichen verarbeitet (hier: wir für Ihre Patientendaten).

DSGVO:

Datenschutz-Grundverordnung der EU (Regulation (EU) 2016/679).

AVV:

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

BAA:

Business Associate Agreement (HIPAA-konforme Vereinbarung für Gesundheitsdaten).

AES-256:

Symmetrischer Verschlüsselungsalgorithmus mit 256-bit Schlüssel (militärischer Standard).

Stand: Januar 2025 | Version: 1.0

Diese Datenschutzerklärung wurde mit größter Sorgfalt erstellt. Sie stellt keine Rechtsberatung dar. Bei spezifischen Fragen konsultieren Sie bitte einen Datenschutzexperten oder Rechtsanwalt.