Datenschutzerklärung

Version 1.1 – Stand: April 2026

Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten verarbeiten und schützen, wenn Sie unsere Website www.psynex.de oder unsere über diese Website angebotenen Dienste nutzen (zusammen „unsere Dienste" oder „die Plattform").

Die Website und Plattform wird betrieben von:

Intermac systems

Sendnicher Str. 58a

56072 Koblenz

Deutschland

E-Mail: info@intermac.de

Tel.: +49-151-2755-5942

Umsatzsteuer-ID: DE178012433

(nachfolgend "das Unternehmen", "wir", "unser" oder "uns")

Verantwortlicher i.S.d. § 55 Abs. 2 RStV: Norbert Doetsch

Datenschutzbeauftragter:
Bei Fragen zum Datenschutz erreichen Sie uns unter: info@intermac.de

Wichtiger Hinweis zur Rolle als Auftragsverarbeiter

Psynex ist eine B2B-Plattform für medizinische Fachkräfte (Psychotherapeut*innen, Psycholog*innen).

Für die Verarbeitung von Patientendaten Ihrer Klienten sind Sie als Therapeut der Verantwortliche im Sinne der DSGVO. Wir (Intermac systems) agieren als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Bedingungen der Auftragsverarbeitung regelt unser separater Auftragsverarbeitungsvertrag (AVV), den Sie bei der Registrierung akzeptieren müssen.

Diese Datenschutzerklärung betrifft primär:

Ihre eigenen Daten als Nutzer der Plattform (Therapeuten-Account)
Allgemeine Informationen über die Datenverarbeitung
Technische und organisatorische Maßnahmen

Ihre Pflichten gegenüber Ihren Patienten:

Sie müssen von Ihren Patienten eine wirksame Einwilligung zur Datenverarbeitung gemäß Art. 6, 9 DSGVO einholen
Sie müssen Ihre Patienten über die Datenverarbeitung (inkl. Nutzung von KI-Diensten) informieren
Sie sind verantwortlich für die Erfüllung der Betroffenenrechte Ihrer Patienten

1. Verarbeitete Daten und Zwecke

1.1 Daten von Therapeuten (unsere direkten Nutzer)

Wenn Sie sich als Therapeut registrieren und die Plattform nutzen, verarbeiten wir folgende Daten über Sie:

Datenkategorie	Beispiele	Zweck	Rechtsgrundlage
Account-Daten	Name, E-Mail, Passwort (gehasht), Telefon	Bereitstellung und Verwaltung Ihres Accounts	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Berufsangaben	Therapeutenlizenz, Fachrichtung, Praxisadresse	Verifizierung der Berechtigung zur Nutzung	Art. 6 Abs. 1 lit. b, c DSGVO
Zahlungsdaten	Rechnungsadresse, Zahlungsmethode	Abwicklung der Abonnement-Zahlungen	Art. 6 Abs. 1 lit. b DSGVO
Nutzungsdaten	Login-Zeiten, verwendete Features, IP-Adresse	Bereitstellung und Verbesserung der Dienste	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Kommunikation	Support-Anfragen, Feedback	Kundenservice, Produktverbesserung	Art. 6 Abs. 1 lit. b, f DSGVO

1.2 Patientendaten (im Auftrag der Therapeuten verarbeitet)

Wenn Sie als Therapeut Patientendaten in die Plattform eingeben, verarbeiten wir diese ausschließlich in Ihrem Auftrag:

Datenkategorie	Beispiele	Zweck
Patientenstammdaten	Name, Geburtsdatum, Kontaktdaten, Versicherungsnummer	Identifikation, Anträge an Krankenkassen
Gesundheitsdaten (Art. 9 DSGVO)	Diagnosen, Symptome, Behandlungsverläufe, Therapienotizen	Dokumentation, Erstellung von Therapieberichten
Sitzungsdaten	Audio-Transkripte, Sitzungsnotizen, Behandlungspläne	KI-gestützte Dokumentation und Berichtserstellung
Versicherungsdaten	Krankenkasse, Kostenübernahme, Antragsstatus	Erstellung von Kostenerstattungsanträgen

Rechtsgrundlage für Patientendaten:

Sie als Therapeut sind verantwortlich für die Rechtsgrundlage (typischerweise: Einwilligung des Patienten gemäß Art. 9 Abs. 2 lit. a DSGVO oder gesetzliche Erlaubnis gemäß Art. 9 Abs. 3 DSGVO i.V.m. § 22 BDSG)
Wir verarbeiten diese Daten nur auf Ihre dokumentierte Weisung hin (Art. 28 DSGVO)

1.3 Automatisch erhobene Daten

Website-Besucherdaten:

IP-Adresse (anonymisiert nach 14 Tagen)
Browser-Typ und Version
Betriebssystem
Referrer-URL
Datum und Uhrzeit des Zugriffs

Zweck: Bereitstellung der Website, Fehleranalyse, IT-Sicherheit
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)

2. Datenquellen

Wir erheben Daten aus folgenden Quellen:

Direkt von Ihnen:

Bei Registrierung und Account-Verwaltung
Bei Nutzung der Plattform (Eingabe von Patientendaten, Sitzungsnotizen)
Bei Kontaktaufnahme mit uns (Support, E-Mail)
Bei Zahlungsvorgängen

Automatisch:

Durch Ihre Nutzung der Website/Plattform (Logfiles, Cookies)
Durch Audio-Transkription bei Sitzungsaufnahmen

Von Dritten:

Zahlungsdienstleister (Bestätigung von Transaktionen)
Approbationsbehörden (nur bei Verifizierung auf Ihre Anfrage)

3. Empfänger und Weitergabe von Daten

3.1 Interne Empfänger

Zugriff auf Daten haben nur:

Autorisierte Mitarbeiter von Intermac systems (auf "need-to-know"-Basis)
Technische Administratoren (mit 2FA-geschütztem, protokolliertem Zugriff)

Patientendaten liegen in der Datenbank verschlüsselt, und die Verschlüsselungsschlüssel werden getrennt in Azure Key Vault verwaltet. Es gibt keine administrative Oberfläche, über die Klartext-Patientendaten einsehbar wären. Ein Zugriff auf entschlüsselte Inhalte wäre nur durch gezielten technischen Aufwand auf Infrastrukturebene möglich – etwa im Rahmen eines konkret angefragten Support- oder Fehlerfalls – und findet im Regelbetrieb nicht statt. Als Auftragsverarbeiter sind wir zudem über § 203 Abs. 4 StGB unmittelbar an die therapeutische Schweigepflicht des Therapeuten gebunden.

3.2 Externe Dienstleister (Auftragsverarbeiter)

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

Dienstleister	Leistung	Standort	Datenschutz-Garantien
Hetzner Online GmbH	Server-Hosting, Rechenzentrum	Deutschland (Falkenstein, Nürnberg)	AVV gemäß Art. 28 DSGVO, BSI C5 Typ 2, ISO 27001:2022 zertifiziert
Microsoft Ireland Operations Ltd.	Schlüsselverwaltung (Azure Key Vault)	Deutschland (Frankfurt, Germany West Central)	Microsoft Products and Services DPA nach Art. 28 DSGVO, ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, BSI C5
OpenAI Ireland Ltd.	KI-Textverarbeitung (Transkription, Berichtserstellung)	EU (Rechenzentrum EU, Data Residency, Zero Data Retention)	DPA nach Art. 28 DSGVO, zusätzlich BAA, SOC 2, ISO 27001
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EU)	DPA nach Art. 28 DSGVO, PCI DSS Level 1 zertifiziert
Resend	Transaktionale E-Mails	EU	DPA nach Art. 28 DSGVO, SOC 2

Unser OpenAI-Setup im Detail:

Vertragspartner: OpenAI Ireland Ltd. (EU-Rechtsperson), nicht OpenAI LLC (USA)
Verarbeitung ausschließlich im Rechenzentrum EU (EU Data Residency)
Zero-Data-Retention-Modus (ZDR): Inhalte werden weder gespeichert noch geloggt, nicht von Menschen eingesehen und sofort nach der Verarbeitung verworfen
Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO abgeschlossen
Zusätzlich Business Associate Agreement (BAA) – ein Vertragswerk, das OpenAI mit Kunden im Gesundheitssektor abschließt und zusätzliche Schutzpflichten festlegt
Keine Verwendung der Daten für das Training von KI-Modellen – technisch auf Projektebene erzwungen und vertraglich im DPA festgelegt
Übertragung ausschließlich über TLS 1.3

Dies unterscheidet sich fundamental vom öffentlichen ChatGPT, wo Eingaben standardmäßig 30 Tage gespeichert, für Abuse-Monitoring geloggt und potenziell für Training genutzt werden können, solange der Nutzer nicht aktiv widerspricht.

3.3 Weitere Empfänger

Daten können weitergegeben werden an:

Behörden und Gerichte:

Wenn gesetzlich verpflichtet oder zur Rechtsdurchsetzung erforderlich (z.B. bei Gerichtsbeschlüssen).

Nachfolger bei Unternehmensverkauf:

Bei Fusion, Übernahme oder Verkauf von Geschäftsbereichen (mit Benachrichtigung).

Mit Ihrer Einwilligung:

An andere von Ihnen benannte Empfänger.

4. Datenübermittlung in Drittländer

4.1 Grundsatz: Datenverarbeitung in der EU

Ihre Daten (insbesondere Patientendaten) werden primär in Deutschland verarbeitet:

Hauptdatenbank: Hetzner Rechenzentren in Deutschland
Backups: Verschlüsselt in deutschen Rechenzentren

4.2 OpenAI – EU-Datenverarbeitung

Für die KI-Textverarbeitung nutzen wir OpenAI's EU-basierte Infrastruktur:

Serverstandort: Rechenzentrum EU (EU Data Residency, Zero Data Retention)
Datenübermittlung in die USA: Findet nicht statt für über die API verarbeitete Daten
Rechtsgrundlage: Art. 46 DSGVO (Standardvertragsklauseln in BAA/DPA), Art. 49 Abs. 1 lit. a DSGVO (Ihre Einwilligung als Therapeut)

Transparenz zur OpenAI-Nutzung:

Unser Vertragspartner ist OpenAI Ireland Ltd., eine in Irland ansässige EU-Rechtsperson. Die Datenverarbeitung findet ausschließlich innerhalb der EU statt (EU Data Residency). Im Zero-Data-Retention-Modus werden Inhalte nach der Verarbeitung sofort verworfen und nicht gespeichert. Eine Drittlandsübermittlung in die USA findet für die von Ihnen eingegebenen Inhalte nicht statt; ein Zugriff durch US-Behörden auf Ihre Patientendaten ist damit vertraglich und technisch ausgeschlossen.

4.3 Stripe Zahlungsabwicklung

Zahlungsdaten werden durch Stripe Payments Europe Ltd. (Irland) verarbeitet. Stripe kann Daten in die USA übermitteln, nutzt dafür aber Standardvertragsklauseln und ist Privacy-Shield-Nachfolger zertifiziert.

4.4 Ihre Rechte bei Drittlandübermittlung

Sie haben das Recht:

Kopie der Standardvertragsklauseln anzufordern
Mehr Informationen über Schutzmaßnahmen zu erhalten
Ihre Einwilligung zur Drittlandübermittlung zu widerrufen (kann Nutzung von KI-Features einschränken)

5. Speicherdauer

Datenart	Speicherdauer	Begründung
Account-Daten	Bis zur Löschung des Accounts + 30 Tage	Vertragserfüllung, danach Löschpflicht
Patientendaten	Solange Sie als Therapeut dies wünschen, max. bis Accountlöschung + 30 Tage	Auftragsverarbeitung – Sie bestimmen die Löschung
Rechnungsdaten	10 Jahre nach Jahresende	§ 147 AO (steuerrechtliche Aufbewahrungspflicht)
Backups	Max. 90 Tage (rollierendes System)	IT-Sicherheit, dann automatische Löschung
Logfiles	30 Tage, IP-Adressen anonymisiert nach 14 Tagen	IT-Sicherheit, Missbrauchsprävention
Support-Korrespondenz	3 Jahre nach letzter Nachricht	Nachvollziehbarkeit, Qualitätssicherung

Nach Ablauf der Speicherdauer:

Wir löschen Daten sicher und unwiederbringlich oder anonymisieren diese vollständig.

Ihre Kontrollmöglichkeiten:

Sie können jederzeit einzelne Patienten oder Sitzungen löschen (sofortige Löschung, verbleibt nur in Backups für max. 90 Tage)
Bei Accountlöschung werden alle Daten nach 30 Tagen endgültig gelöscht

6. Datensicherheit und Verschlüsselung

Wir nehmen die Sicherheit Ihrer und Ihrer Patientendaten sehr ernst. Folgende Maßnahmen sind implementiert:

🔒 Verschlüsselung At Rest

AES-256 Verschlüsselung
Per-User Encryption Keys
Patientennamen, Diagnosen, Notizen verschlüsselt

🔐 Verschlüsselung In Transit

TLS 1.3 für alle Verbindungen
HTTPS-only
HSTS aktiviert

👤 Zugriffskontrolle

Passwortpflicht (mind. 8 Zeichen)
Optional: 2FA
Session-Timeout nach 30 Min.
Rollenbasierte Berechtigungen

🛡️ Infrastruktur-Sicherheit

Firewall-geschützte Server
DDoS-Schutz
Regelmäßige Sicherheitsupdates
Tägliche verschlüsselte Backups

Mandantentrennung:

Strikte Datentrennung zwischen Therapeuten
Ein Therapeut kann niemals Daten eines anderen Therapeuten sehen
Separate Verschlüsselungsschlüssel pro Nutzer

Hinweis: Trotz höchster Sicherheitsstandards können wir keine 100%ige Sicherheit garantieren, da keine Übertragung über das Internet vollständig sicher ist. Wir empfehlen: Nutzung aktueller Browser, Aktivierung von 2FA, sichere Passwörter.

7. Ihre Rechte als Therapeut (Nutzer)

Sie haben folgende Datenschutzrechte bezüglich Ihrer eigenen Daten:

✓ Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit eine Kopie aller über Sie gespeicherten Daten anfordern. Über Ihr Account-Dashboard können Sie Ihre Profildaten einsehen.

✓ Recht auf Berichtigung (Art. 16 DSGVO)

Sie können Korrekturen verlangen, wenn Ihre Daten unrichtig oder unvollständig sind. Profildaten können Sie selbst im Account bearbeiten.

✓ Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

Die Daten nicht mehr notwendig sind
Sie Ihre Einwilligung widerrufen
Sie Widerspruch einlegen
Die Daten unrechtmäßig verarbeitet wurden

Praktisch: Funktion "Account löschen" im Profil → alle Daten werden nach 30 Tagen endgültig gelöscht.

✓ Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.Praktisch: Exportfunktion für alle Ihre Daten (JSON/CSV-Format).

✓ Widerspruchsrecht (Art. 21 DSGVO)

Bei Verarbeitung auf Basis berechtigter Interessen können Sie Widerspruch einlegen. Besonders bei Direktwerbung können Sie jederzeit widersprechen (Opt-out in jeder Marketing-E-Mail).

✓ Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Für Rheinland-Pfalz:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Hintere Bleiche 34, 55116 Mainz

poststelle@datenschutz.rlp.de

Kontakt für Ausübung Ihrer Rechte:

E-Mail: info@intermac.de
Wir beantworten Anfragen innerhalb von 30 Tagen.

8. Rechte der Patienten (Betroffene Ihrer Klienten)

Da wir als Auftragsverarbeiter für Sie tätig sind, sind Sie als Therapeut verantwortlich für die Erfüllung der Rechte Ihrer Patienten (Auskunft, Löschung, etc.).

Unsere Unterstützung:

Technische Funktionen (Datenexport, Löschung)
Weiterleitung direkter Anfragen an Sie
Unterstützung bei Betroffenenrechten

Ihre Pflichten:

Information der Patienten über Datenverarbeitung
Einholung wirksamer Einwilligungen (Art. 9 DSGVO)
Beantwortung von Patientenanfragen
Nutzung unserer Löschfunktionen bei Bedarf

9. Cookies und Tracking

Wir verwenden nur technisch notwendige Cookies für den Betrieb der Plattform:

Cookie-Name	Zweck	Speicherdauer
`session_token`	Authentifizierung (Login-Session)	30 Tage oder bis Logout
`csrf_token`	Schutz vor CSRF-Angriffen	1 Tag

✓ Keine Tracking- oder Marketing-Cookies

Wir verwenden kein Google Analytics, keine Social Media Tracking Pixel (Facebook, LinkedIn), keine Werbe-Cookies und keine Third-Party Cookies.

10. Newsletter und Marketing

Bei Newsletter-Anmeldung verwenden wir Double-Opt-In. Sie können sich jederzeit abmelden (Link in jeder E-Mail). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

11. Social Media und externe Links

Unsere Website kann Links zu externen Websites enthalten. Wir haben keine Kontrolle über deren Datenschutzpraktiken. Bei Klick verlassen Sie unseren Verantwortungsbereich.

12. Minderjährige

Unsere Plattform richtet sich an volljährige Fachkräfte. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren.

13. Automatisierte Entscheidungen und Profiling

Wir setzen KI (OpenAI) nur als Unterstützung ein (Transkription, Berichtserstellung). Alle finalen Entscheidungen trifft ausschließlich der Therapeut. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.

Kein Profiling: Wir erstellen keine Profile zu Marketing- oder Bonitätsprüfungszwecken.

14. Datenpannen und Incident Response

Im Falle einer Datenschutzverletzung:

An Therapeuten: Wir informieren Sie binnen 24 Stunden per E-Mail
An Aufsichtsbehörde: Meldung binnen 72 Stunden (Art. 33 DSGVO)
An Patienten: Sie als Therapeut sind verantwortlich für die Benachrichtigung Ihrer Patienten (Art. 34 DSGVO)

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Wesentliche Änderungen kündigen wir per E-Mail an (mindestens 14 Tage im Voraus).

Aktuelle Version: Immer abrufbar auf www.psynex.de/datenschutz

16. Kontakt und Fragen

Bei Fragen, Wünschen oder Beschwerden zum Datenschutz kontaktieren Sie uns:

Intermac systems

Norbert Doetsch

Sendnicher Str. 58a

56072 Koblenz, Deutschland

E-Mail: info@intermac.de

Telefon: +49-151-2755-5942

Reaktionszeit: Wir beantworten Anfragen innerhalb von 30 Tagen.

17. Glossar (Datenschutz-Begriffe erklärt)

Personenbezogene Daten:

Alle Informationen über eine identifizierte/identifizierbare Person (Name, E-Mail, IP-Adresse).

Gesundheitsdaten:

Besondere Kategorie sensibler Daten gemäß Art. 9 DSGVO (Diagnosen, Behandlungsdaten).

Verantwortlicher:

Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet (hier: Sie als Therapeut für Patientendaten).

Auftragsverarbeiter:

Stelle, die Daten im Auftrag des Verantwortlichen verarbeitet (hier: wir für Ihre Patientendaten).

DSGVO:

Datenschutz-Grundverordnung der EU (Regulation (EU) 2016/679).

AVV:

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

BAA:

Business Associate Agreement (HIPAA-konforme Vereinbarung für Gesundheitsdaten).

AES-256:

Symmetrischer Verschlüsselungsalgorithmus mit 256-bit Schlüssel (militärischer Standard).

Stand: April 2026 | Version: 1.1

Diese Datenschutzerklärung wurde mit größter Sorgfalt erstellt. Sie stellt keine Rechtsberatung dar. Bei spezifischen Fragen konsultieren Sie bitte einen Datenschutzexperten oder Rechtsanwalt.

Zu den AGB Zum AVV