Besonderer Schutzbedarf
Psido verarbeitet Gesundheitsdaten im Sinne von Art. 9 DSGVO (besondere Kategorien personenbezogener Daten). Diese Daten unterliegen einem erhöhten Schutzbedarf. Alle technischen und organisatorischen Maßnahmen von Psido sind darauf ausgelegt, diesen besonderen Schutz zu gewährleisten.
Betroffene Personengruppen
- Patient:innen – deren Stamm-, Gesundheits- und Abrechnungsdaten in Psido verwaltet werden
- Benutzer:innen (Therapeut:innen, Psycholog:innen) – deren Kontakt- und Kontodaten für den Betrieb der Software erforderlich sind
Datenkategorien
Psido verarbeitet folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele | Zweck | Verschlüsselt |
|---|---|---|---|
| Stammdaten | Name, Adresse, Telefonnummer, E-Mail, Geburtsdatum, Sozialversicherungsnummer | Patient:innenverwaltung | Ja (AES-256) |
| Gesundheitsdaten | Diagnosen (ICD-10), Sitzungsnotizen, Befunde, Status Psychicus | Dokumentation und Berichtswesen | Ja (AES-256) |
| Abrechnungsdaten | Rechnungen, Honorarnoten, Versicherungsanträge | Rechnungslegung | Ja (AES-256) |
| Zahlungsdaten | Banktransaktionen (via Open Banking) | Offene-Posten-Abgleich | Ja (HTTPS + TLS1.2+)) |
| Dateien | Hochgeladene Dokumente, Befunde, Formulare | Dokumentenablage | Ja (AES-256) |
| Kalenderdaten | Termine, Terminerinnerungen | Terminverwaltung | Ja (AES-256) |
| Kommunikationsdaten | SMS-Erinnerungen (nur Metadaten), E-Mail-Versand (Rechnungen/Mahnungen) | Terminerinnerung, Rechnungsversand | Teilweise |
| Videotelefonie | Verbindungsmetadaten (keine Einsicht in den Inhalt) | DSGVO-konforme Videotelefonie | Nur Metadaten |
| Technische Daten | Zugriffsprotokolle, Performance-Metriken | Betrieb und Sicherheit | Keine Patient:innendaten |
| Audit-Log | Datenänderungen, Zugriffe, Login-Ereignisse | Nachvollziehbarkeit und Compliance | Keine Gesundheitsdaten |
Verarbeitungsvorgänge
Die Hauptverarbeitungen in Psido umfassen:
- Patient:innenverwaltung – Anlegen, Bearbeiten und Suchen von Stammdaten
- Sitzungsdokumentation – Erfassung von Sitzungsnotizen, Diagnosen und Therapieverlauf
- Abrechnung – Erstellung von Rechnungen und Versicherungsanträgen (ÖGK, SVS, BVAEB)
- Berichtswesen – Erstellung von Befunden und Berichten
- Dateiablage – Speicherung von Dokumenten und Formularen
- Kommunikation – SMS-Terminerinnerungen, E-Mail-Versand, Videotelefonie
- Datenexport – Vollständiger Export aller eigenen Daten
Schutzmaßnahmen
Für alle Datenkategorien gelten folgende Grundmaßnahmen:
- Speicherung ausschließlich in der EU (Deutschland + Österreich)
- AES-256-GCM Verschlüsselung bei der Speicherung
- TLS 1.2+ Verschlüsselung bei der Übertragung
- Eigener Schlüssel pro Benutzer:in
Systemlogs und Metriken
Psido unterscheidet klar zwischen zwei Arten von Protokollen:
- Audit-Log: Kundenseitige Protokollierung von Datenänderungen, Zugriffen und Login-Ereignissen innerhalb Ihrer Praxis. Dieses Log liegt in Psido selbst und ist für Sie einsehbar und exportierbar.
- Systemlogs und Metriken: Technische Betriebsprotokolle und Performance-Metriken, die über Grafana Labs (Verarbeitung in der EU, Deutschland) verwaltet werden. Diese dienen ausschließlich der Betriebssicherheit und Fehlerbehebung.
Datenminimierung in Systemlogs
Systemlogs und Metriken enthalten keine Patient:innendaten, keine Namen, keine Gesundheitsinformationen und keine Patient:innen-IDs. Psido setzt folgende Maßnahmen zur Datenminimierung ein:
- IP-Adressen werden nicht in Anwendungslogs gespeichert, ausser im Fall von Missachtung unserer Regeln (Denial of Servcie Attacke)
- Keine Benutzernamen oder Patient:innennamen in Systemlogs
- Keine Request-Parameter oder Request-Bodies mit fachlichen Inhalten
- Keine Fehlertexte, die personenbezogene Daten enthalten könnten
Dadurch ist sichergestellt, dass über den Monitoring-Dienstleister Grafana Labs keine personenbezogenen oder indirekt personenbezogenen Daten verarbeitet werden.
Detaillierte technische Informationen zu Log-Feldern, Aufbewahrungsfristen und Zugriffskontrollen erhalten Sie auf Anfrage über unsere Kontaktseite.
Weitere Informationen
Eine detaillierte Datenklassifizierungsmatrix mit Speicherorten, Dienstleistern und Aufbewahrungsfristen pro Datenkategorie erhalten Sie auf Anfrage über unsere Kontaktseite.
Allgemeine Informationen zu Hosting und Verschlüsselung finden Sie auf unserer Seite Hosting und Cloud.

