Auftragsverarbeitungsvertrag (AVV)
Zuletzt aktualisiert: 27. Juni 2026
Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Vereinbarung zwischen der Psychiatry Ink Ltd und dem Kunden, der Psychiatrie.Ink nutzt, soweit die Psychiatry Ink Ltd personenbezogene Daten im Auftrag des Kunden verarbeitet.
Dieser AVV ist dafür vorgesehen, bei der Registrierung, der Einrichtung der Organisation oder beim Abschluss eines Auftragsformulars akzeptiert zu werden, und ist zusammen mit der Datenschutzerklärung und den Allgemeinen Geschäftsbedingungen zu lesen.
1. Parteien
Kunde / Verantwortlicher: die behandelnde Person, Praxis, Klinik, Einrichtung, Organisation oder sonstige juristische Person, die Psychiatrie.Ink nutzt und über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Auftragsverarbeiter:
Psychiatry Ink Ltd
71–75 Shelton Street
Covent Garden
London, WC2H 9JQ
Vereinigtes Königreich
Company number: 17275704
2. Begriffsbestimmungen
„Anwendbares Datenschutzrecht“ bezeichnet die UK GDPR, den Data Protection Act 2018, die EU-DSGVO sowie jedes weitere Datenschutzrecht, das auf die Verarbeitung im Rahmen der Nutzung von Psychiatrie.Ink durch den Kunden anwendbar ist.
Die Begriffe „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „Verletzung des Schutzes personenbezogener Daten“ und „besondere Kategorien personenbezogener Daten“ haben die im anwendbaren Datenschutzrecht festgelegte Bedeutung.
„Kundendaten“ bezeichnet personenbezogene Daten, die durch den Kunden oder in seinem Auftrag an Psychiatrie.Ink übermittelt werden, einschließlich klinischer Dokumentation, Kontodaten und zugehöriger Metadaten.
3. Rollen
Für klinische und patientenbezogene Kundendaten ist der Kunde der Verantwortliche und die Psychiatry Ink Ltd der Auftragsverarbeiter, sofern die Parteien nichts anderes schriftlich vereinbaren.
Für eigene Konto-, Abrechnungs-, Website-, Rechts- und Geschäftsverwaltungsdaten der Psychiatry Ink Ltd kann diese als Verantwortlicher handeln, wie in der Datenschutzerklärung beschrieben.
4. Gegenstand und Dauer
Gegenstand ist die Bereitstellung von Psychiatrie.Ink, einschließlich Funktionen für psychiatrische Dokumentation, Diktat, Vorlagen, KI, Medikation, Labor, Workflow, Konto, Support, Abrechnung und Sicherheit.
Die Verarbeitung dauert für die Laufzeit des Abonnements, der Testphase, des Pilotbetriebs, des Kontos oder des Auftragsformulars des Kunden an und danach nur, soweit dies für Löschung, Rückgabe, Backup-Ablauf, Rechtskonformität, Sicherheit, Streitbeilegung oder nach gesonderter Vereinbarung erforderlich ist.
5. Art und Zweck der Verarbeitung
Die Verarbeitung kann das Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Auslesen, Abfragen, Verwenden, Übermitteln an autorisierte Unterauftragsverarbeiter, Erzeugen von Ergebnissen, Löschen und Exportieren umfassen.
Die Zwecke umfassen:
- die Bereitstellung des Dienstes Psychiatrie.Ink;
- das Erstellen, Bearbeiten, Zusammenfassen, Formatieren, Übersetzen oder Organisieren klinischer Dokumentation;
- die Verarbeitung von Diktat oder Transkription;
- die Verwaltung von Medikations-, Labor-, Risiko-, Vorlagen- und Workflow-Funktionen;
- die Bereitstellung der vom Nutzer ausgewählten KI-gestützten Funktionen;
- die Bereitstellung von Support und Fehlerbehebung;
- das Absichern, Überwachen, Auditieren und Verbessern des Dienstes;
- die Verwaltung von Konten, Abrechnung, Abonnements und Credits.
6. Kategorien betroffener Personen
Je nach Nutzung durch den Kunden können betroffene Personen sein:
- berufliche Nutzerinnen und Nutzer;
- Beschäftigte, Auftragnehmer oder Personal des Kunden;
- Patientinnen, Patienten oder von ihm dokumentierte Personen;
- Angehörige, Betreuende, gesetzliche Vertreter, Justizvollzugspersonal, Gerichtskontakte oder sonstige in klinischen Akten genannte Dritte;
- Support- und Abrechnungskontakte.
7. Kategorien personenbezogener Daten
Je nach Nutzung durch den Kunden können Kundendaten umfassen:
- Identitäts- und Kontodaten der Nutzer;
- Daten zu beruflicher Rolle und Organisation;
- klinische Notizen, psychiatrische Anamnese, psychopathologischer Befund, Diagnose, Behandlung, Medikation, Labor- und Risikoeinschätzungsdaten;
- diktierte Texte, erzeugte Entwürfe, Vorlagen, Korrespondenz und Dokumentenergebnisse;
- Metadaten wie Zeitstempel, Funktionsnutzung, Token-Verbrauch, Audit-Protokolle und Zugriffsprotokolle;
- Abrechnungs- und Abonnement-Metadaten.
8. Besondere Kategorien personenbezogener Daten
Kundendaten können Gesundheitsdaten, psychiatrische Daten, Medikationsdaten, Daten zu Behinderungen, forensische oder haftbezogene Daten sowie sonstige besondere Kategorien oder sensible Daten enthalten, soweit sie vom Kunden eingegeben werden.
Der Kunde ist dafür verantwortlich sicherzustellen, dass für eine solche Verarbeitung eine geeignete Rechtsgrundlage sowie eine Bedingung nach Art. 9 DSGVO vorliegt.
9. Weisungen des Kunden
Die Psychiatry Ink Ltd verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich der Weisungen im Hauptvertrag, in den Produkteinstellungen, im Auftragsformular, in diesem AVV sowie durch rechtmäßige Nutzerhandlungen innerhalb des Dienstes.
Ist die Psychiatry Ink Ltd der Auffassung, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt, informiert sie den Kunden, sofern dies nicht gesetzlich untersagt ist.
10. Vertraulichkeit
Die Psychiatry Ink Ltd stellt sicher, dass zur Verarbeitung von Kundendaten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
11. Sicherheitsmaßnahmen
Die Psychiatry Ink Ltd setzt geeignete technische und organisatorische Maßnahmen um, um Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung, Schädigung, Veränderung oder Offenlegung zu schützen. Diese Maßnahmen umfassen die in Anlage 2 genannten Maßnahmen.
12. Unterauftragsverarbeiter
Der Kunde erteilt der Psychiatry Ink Ltd die allgemeine Genehmigung, zur Erbringung des Dienstes Unterauftragsverarbeiter einzusetzen, vorbehaltlich der Bedingungen dieses AVV.
Die Psychiatry Ink Ltd führt auf der Seite zu Unterauftragsverarbeitern eine Liste der Unterauftragsverarbeiter und verpflichtet diese, soweit gesetzlich erforderlich, zu Datenschutzpflichten, die den Pflichten dieses AVV im Wesentlichen gleichwertig sind.
Die Psychiatry Ink Ltd informiert über wesentliche neue Unterauftragsverarbeiter durch Aktualisierung der Seite zu Unterauftragsverarbeitern, per E-Mail, durch In-App-Hinweis oder auf andere angemessene Weise. Der Kunde kann innerhalb von 30 Tagen nach dieser Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen.
13. Internationale Datenübermittlungen
Soweit Kundendaten international übermittelt werden, setzt die Psychiatry Ink Ltd geeignete Garantien ein, soweit erforderlich, etwa Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, das UK International Data Transfer Agreement, das UK-Addendum zu den EU-Standardvertragsklauseln oder andere gesetzlich anerkannte Garantien.
Für Kunden aus der EU/dem EWR oder für Daten aus der EU/dem EWR vervollständigen die Parteien die einschlägigen SCC-Module, soweit erforderlich.
14. Unterstützung bei Betroffenenrechten
Unter Berücksichtigung der Art der Verarbeitung unterstützt die Psychiatry Ink Ltd den Kunden in angemessener Weise bei der Beantwortung von Anträgen betroffener Personen, soweit dies gesetzlich erforderlich ist und der Antrag Kundendaten betrifft, die die Psychiatry Ink Ltd als Auftragsverarbeiter verarbeitet.
Erhält die Psychiatry Ink Ltd einen Antrag direkt von einer betroffenen Person, der Kundendaten betrifft, leitet sie diesen, soweit rechtlich zulässig und zuordenbar, an den Kunden weiter oder verweist die anfragende Person an den Kunden.
15. Unterstützung bei der Einhaltung von Pflichten
Unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen unterstützt die Psychiatry Ink Ltd in angemessener Weise bei Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, vorherigen Konsultationen und damit zusammenhängenden Pflichten, soweit dies nach anwendbarem Datenschutzrecht erforderlich ist.
16. Verletzung des Schutzes personenbezogener Daten
Die Psychiatry Ink Ltd benachrichtigt den Kunden unverzüglich, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die Kundendaten betrifft. Die Benachrichtigung enthält die verfügbaren Informationen, die der Kunde zur Erfüllung seiner Meldepflichten benötigt.
17. Löschung und Rückgabe
Nach Wahl des Kunden und vorbehaltlich technischer Machbarkeit, gesetzlicher Aufbewahrungspflichten, Backup-Ablauf und Zahlungspflichten löscht oder gibt die Psychiatry Ink Ltd die Kundendaten nach Beendigung des Dienstes zurück.
Sicherungskopien können für einen begrenzten Zeitraum bestehen bleiben, bis sie nach dem Backup-Aufbewahrungsplan überschrieben oder gelöscht werden.
18. Kontroll- und Informationsrechte
Die Psychiatry Ink Ltd stellt die Informationen bereit, die zum Nachweis der Einhaltung dieses AVV angemessen erforderlich sind. Kontrollen müssen angemessen, verhältnismäßig, vertraulich, auf dienstrelevante Datenschutzkontrollen beschränkt sein und dürfen Sicherheit, andere Kunden, Geschäftsgeheimnisse oder die Vertraulichkeit Dritter nicht beeinträchtigen.
Die Psychiatry Ink Ltd kann Kontrollpflichten durch Sicherheitsdokumentation, Fragebögen, Berichte Dritter, Zertifizierungen oder strukturierte schriftliche Antworten erfüllen.
19. Pflichten des Kunden
Der Kunde muss:
- den Dienst rechtmäßig nutzen;
- Datenschutz- und Aufbewahrungseinstellungen angemessen konfigurieren;
- unnötige direkte Identifikatoren in KI-Funktionen nach Möglichkeit vermeiden;
- sicherstellen, dass Endnutzer autorisiert und geschult sind;
- die Sicherheit von Endgeräten, Passwörtern und lokalen Schlüsseln gewährleisten;
- erforderliche Datenschutzhinweise gegenüber Patienten oder Personal bereitstellen;
- die lokale klinische, institutionelle und rechtliche Konformität sicherstellen;
- produktive klinische Daten nur verarbeiten, wenn vertragliche und technische Schutzmaßnahmen vorhanden sind.
20. Rangfolge
Bei Widersprüchen zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen hinsichtlich der Verarbeitung von Kundendaten als Auftragsverarbeiter geht dieser AVV vor. Soweit Standardvertragsklauseln anwendbar sind, gehen diese vor, soweit dies gesetzlich erforderlich ist.
Anlage 1: Einzelheiten der Verarbeitung
- Gegenstand: Bereitstellung der Software Psychiatrie.Ink für klinische Dokumentation und Workflow.
- Dauer: Laufzeit von Abonnement, Testphase, Pilotbetrieb, Konto oder Auftragsformular sowie die anschließende Lösch-/Aufbewahrungsphase.
- Art: Hosting, Speicherung, Auslesen, Erzeugung, Transkription, Bearbeitung, Support, Sicherheit, Abrechnungs-Metadaten, Löschung/Export.
- Zweck: Bereitstellung und Absicherung von Werkzeugen für psychiatrische Dokumentation und Workflow.
- Betroffene Personen: berufliche Nutzer, Personal des Kunden, Patienten, Angehörige, Betreuende und in klinischen Akten genannte Dritte.
- Personenbezogene Daten: Kontodaten, klinische Notizen, psychiatrische Dokumentation, Medikations-/Labor-/Risikodaten, Nutzer-Metadaten, Abrechnungs-Metadaten.
- Besondere Kategorien: Gesundheitsdaten und psychiatrische Daten, soweit vom Kunden eingegeben.
- Häufigkeit: fortlaufend während der Nutzung des Dienstes.
Anlage 2: Technische und organisatorische Maßnahmen
Die Maßnahmen umfassen:
- Verschlüsselung bei der Übertragung mittels HTTPS/TLS;
- Verschlüsselung im Ruhezustand, soweit von den Infrastrukturanbietern unterstützt;
- einen clientseitig verschlüsselten lokalen Tresor für ausgewählte Identifikatoren und Zuordnungen, soweit aktiviert;
- rollenbasierte Zugriffskontrolle;
- Authentifizierungs- und Sitzungskontrollen;
- Audit-Protokollierung relevanter Zugriffe und Aktionen;
- Trennung von Kundenorganisationen, soweit anwendbar;
- Funktionen zur Datenminimierung und De-Identifikation;
- Backup- und Wiederherstellungskontrollen;
- Schwachstellen- und Abhängigkeitsmanagement;
- Sicherheitsüberwachung und ein Verfahren zur Reaktion auf Vorfälle;
- Vertraulichkeitsverpflichtungen für Mitarbeitende oder Auftragnehmer;
- Sorgfaltsprüfung von Unterauftragsverarbeitern;
- beschränkter Produktivzugriff;
- Lösch-/Export-Workflows, soweit verfügbar.
Anlage 3: Unterauftragsverarbeiter
Die aktuelle Liste der Unterauftragsverarbeiter wird auf der Seite zu Unterauftragsverarbeitern veröffentlicht. Der Kunde sollte diese Seite vor der Nutzung produktiver klinischer Daten prüfen.