DSGVO · ART. 28 AVV · DEUTSCHE SERVER

DSGVO-konforme WhatsApp Automation für Kliniken — sicher für Patientendaten, gebaut für Wachstum.

Q: Was passiert bei einem Datenleck?

Wir benachrichtigen dich innerhalb 24h. Du musst die Aufsichtsbehörde innerhalb 72h informieren (Art. 33 DSGVO). Wir liefern alle nötigen Informationen für die Meldung.

Die einzige WhatsApp-Plattform für Kliniken mit echter DSGVO-Konformität, deutschen Servern und Auftragsverarbeitungsvertrag (AVV) ab Tag 1. Patienten qualifizieren, buchen und betreuen — ohne rechtliches Risiko.

🚀 Kostenlos testen → 📄 AVV als PDF ansehen

✓ AVV beim Signup 🇩🇪 Server in Deutschland 🛡 Art. 28 DSGVO 🔒 TLS 1.3 + AES-256

DAS PROBLEM

WhatsApp ist groß. DSGVO ist größer.

Du willst Patienten über WhatsApp gewinnen. Aber:

⚠️

Standard WhatsApp = nicht zulässig

Für Gesundheitsdaten ohne AVV ein DSGVO-Verstoß — bis zu 4 % des Jahresumsatzes Bußgeld.

⚠️

US-Hosting = Drittlandtransfer

Schrems II macht US-Cloud für Patientendaten praktisch unmöglich. Nur EU-Server sind sicher.

⚠️

Patientenfotos = Art. 9 DSGVO

Besondere Schutzkategorie. Braucht explizite Einwilligung, Verschlüsselung und Audit-Trail.

⚠️

Keine Audit-Logs

Ohne Nachvollziehbarkeit kannst du im Streitfall nichts beweisen. Aufsichtsbehörde verlangt Dokumentation.

DIE LÖSUNG

Compliance ist kein Add-on. Es ist das Fundament.

Flowmatix wurde für DSGVO gebaut — nicht nachträglich angepasst.

✅

AVV (Art. 28 DSGVO)

Automatisch beim Signup als PDF

🇩🇪

Server in Deutschland

Hetzner Frankfurt, ISO 27001

🔒

TLS 1.3 + AES-256

End-to-End verschlüsselt

🛡

Art. 9 Gesundheitsdaten

Korrekt verarbeitet mit Consent

📋

Audit-Logs (10 Jahre)

Jede Aktion nachvollziehbar

👥

RBAC-Zugriffsrechte

Arzt, Koordinator, Finance getrennt

🚫

Keine KI-Trainings

Patientendaten bleiben privat

🇪🇺

EU-Datenresidenz

Kein Drittlandtransfer garantiert

SO FUNKTIONIERT'S

Sicher und automatisch — vom ersten Patient bis zur OP

1

Patient schreibt auf WhatsApp

Erste Antwort enthält Datenschutz-Hinweis und Consent-Anfrage gemäß DSGVO. Erst nach expliziter Einwilligung beginnt die Datensammlung.

2

KI qualifiziert strukturiert

Name, Krankengeschichte, Norwood-Stufe, Medikamente — alles dokumentiert im Audit-Log mit Zeitstempel und User-Trail.

3

Fotos verschlüsselt gespeichert

Patientenfotos werden Ende-zu-Ende verschlüsselt direkt im Patient-Profil abgelegt. Nicht in fremden Cloud-Diensten.

4

Arzt-Review (Art. 9 DSGVO konform)

Nur autorisierte Ärzte sehen medizinische Daten. RBAC trennt Patientendaten strikt von Verwaltung und Finance.

5

Buchung & Anzahlung

Stripe (PCI-DSS Level 1) verarbeitet Zahlungen. Klinik sieht nie Kreditkartendaten — automatischer Audit-Trail.

6

Audit & Löschkonzept

Patienten können jederzeit Löschung verlangen (Art. 17 DSGVO). Audit-Log dokumentiert alle Zugriffe für 10 Jahre.

RECHTSDOKUMENTE

Lade dir die Verträge sofort herunter

Alle DSGVO-relevanten Dokumente sind direkt verfügbar — keine E-Mail nötig, keine Anfrage.

🇩🇪

AVV (Deutsch)

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

PDF öffnen →

🇬🇧

DPA (English)

Data Processing Agreement under Art. 28 GDPR

Open PDF →

🇹🇷

DPA (Türkçe)

Veri İşleme Sözleşmesi (KVKK uyumlu)

PDF aç →

📋

DPIA-Vorlage (Deutsch)

Datenschutz-Folgenabschätzung als Vorlage für deine Klinik

PDF öffnen →

PRAXISBEISPIEL

Haartransplantationsklinik in Berlin

VORHER

❌ WhatsApp Web auf dem Praxis-iPad
❌ Excel mit 800 Patienten
❌ Keine Verschlüsselung
❌ Erstes DSGVO-Audit: 14 kritische Verstöße
❌ 14% Conversion (Anfrage → Termin)
❌ Bußgeldrisiko bis 4% des Umsatzes

NACH 30 TAGEN MIT FLOWMATIX

✅ AVV unterschrieben, Audit bestanden
✅ Alle Patientendaten in deutschem Rechenzentrum
✅ TLS 1.3 + AES-256 verschlüsselt
✅ +€18.000 Mehrumsatz / Monat
✅ 47% Conversion (Anfrage → Termin)
✅ Zero Bußgeldrisiko

WHATSAPP NUTZUNG

Wie WhatsApp bei Flowmatix genutzt wird

Flowmatix wurde speziell dafür entwickelt, Patientenkommunikation über WhatsApp datenschutzorientiert und strukturiert abzubilden.

📱

Offizielle WhatsApp Business API

Keine WhatsApp-App, keine Workarounds — ausschließlich der offizielle, von Meta autorisierte Kanal für Unternehmen.

📵

Kein Zugriff auf Kontaktlisten

Flowmatix liest weder Telefonbücher noch synchronisiert Kontakte. Nur Patienten die selbst schreiben sind im System.

💬

Patient startet immer selbst

Die Kommunikation wird ausnahmslos vom Patienten initiiert — keine ungebetenen Nachrichten, keine Cold-Outreach-Kampagnen.

🔐

Sichere Server-Infrastruktur

Verschlüsselte Übertragung (TLS 1.3), verschlüsselte Speicherung (AES-256), Hosting in Frankfurt (Hetzner, ISO 27001).

ROLLEN & VERANTWORTLICHKEITEN

Wer ist wofür verantwortlich?

Klare Trennung der Rollen nach DSGVO Art. 4 und Art. 28 — damit jede Klinik weiß, was ihre Verantwortung ist und was Flowmatix übernimmt.

DIE KLINIK

Verantwortlicher

✓ Bestimmt Zwecke und Mittel der Verarbeitung
✓ Holt Patient-Einwilligungen ein
✓ Stellt eigene Datenschutzerklärung bereit
✓ Beantwortet Patientenanfragen (Auskunft, Löschung etc.)
✓ Trifft alle medizinischen Entscheidungen

FLOWMATIX

Auftragsverarbeiter

✓ Stellt die technische Plattform bereit
✓ Verarbeitet Daten ausschließlich nach Weisung der Klinik
✓ Sichert Verschlüsselung & DSGVO-Compliance
✓ Stellt AVV (Art. 28 DSGVO) bei Vertragsabschluss
✗ Nutzt keine Daten für eigene Zwecke

GESUNDHEITSDATEN

Umgang mit medizinischen Informationen

Gesundheitsdaten sind eine besondere Schutzkategorie nach Art. 9 DSGVO. Hier ist klar geregelt, was die KI darf und was nicht.

🚫

Keine medizinische Diagnose durch das System

Die KI erstellt keine Diagnosen, verordnet keine Behandlungen und gibt keine medizinischen Urteile ab. Sie ist kein Medizinprodukt.

📋

Nur Vorqualifizierung und Kommunikation

Das System sammelt strukturiert Anamnese, Fotos und Wunschtermine. Es bereitet die Daten auf — die Beurteilung macht der Arzt.

⚕️

Endgültige Entscheidungen trifft immer ein Arzt

Jede Buchung, jede Behandlungsempfehlung, jede Diagnose erfolgt durch einen zugelassenen Arzt der Klinik. Art. 22 DSGVO konform — keine vollautomatisierten Entscheidungen über Personen.

EINWILLIGUNG & KOMMUNIKATION

Wie die Patient-Einwilligung funktioniert

Transparent, freiwillig und jederzeit widerrufbar — wie es Art. 7 DSGVO vorschreibt.

▶️

Patient startet den Kontakt selbst

Die Klinik schreibt nie zuerst. Der Patient nimmt aktiv über WhatsApp Kontakt auf — das ist die Basis für eine rechtmäßige Kommunikation.

📝

Verarbeitung erfolgt auf Basis der Anfrage

Bevor Gesundheitsdaten verarbeitet werden, fragt das System ausdrücklich um Zustimmung. Erst nach explizitem "Ja" werden Daten gespeichert (Art. 9 Abs. 2 lit. a DSGVO).

⏹️

Kommunikation jederzeit beendbar

Der Patient kann jederzeit "STOPP" oder "WIDERRUF" schreiben. Das System erkennt das automatisch und stoppt die Verarbeitung sofort. Daten können auf Wunsch gelöscht werden (Art. 17 DSGVO).

TRANSPARENZ ZU META / WHATSAPP

Was Meta sieht — und was nicht

Ehrliche Aufklärung statt Werbeversprechen. Hier ist was du wirklich wissen musst.

⚠️

WhatsApp (Meta) verarbeitet Metadaten

Wie bei jedem WhatsApp-Chat sieht Meta auch hier: Telefonnummer des Patienten, Zeitpunkt der Nachricht, Häufigkeit der Kommunikation. Das ist systembedingt — wir können das nicht ausschalten. Wir können es aber transparent machen.

🛡

Was Flowmatix dagegen tut

• Nutzung der offiziellen WhatsApp Business API über zertifizierten EU-Provider (360dialog, Berlin)
• Keine zusätzlichen Tracking-Pixel oder Analytics in den Nachrichten
• Kontrollierte Systemarchitektur — keine Drittanbieter-Skripte beim Versand
• Patienten werden bei der ersten Antwort transparent über die Datenverarbeitung informiert

Warum keine "100% sicher"-Versprechen?
Weil das nicht stimmen würde. Sobald WhatsApp im Spiel ist, sieht Meta Metadaten — egal welcher Anbieter dazwischen sitzt. Wer dir das Gegenteil verspricht, lügt. Wir lieber: ehrliche Aufklärung + maximaler Schutz wo es technisch möglich ist.

DATENSCHUTZ & SICHERHEIT

Compliance ist nicht verhandelbar.

Hier sind die technischen Fakten — transparent und überprüfbar.

🏛 Hosting & Infrastruktur

• Hetzner Online GmbH, Frankfurt (Deutschland)
• ISO 27001 zertifiziert
• Art. 44–49 DSGVO: kein Drittlandtransfer
• Backups verschlüsselt, EU-Standort, 30 Tage

🔒 Verschlüsselung

• In-Transit: TLS 1.3 (mindestens TLS 1.2)
• At-Rest: AES-256 für alle Patientendaten
• WhatsApp: Ende-zu-Ende (Signal Protocol)
• Datenbank: verschlüsselt + Row Level Security

👥 Zugriffskontrolle (RBAC)

• Admin: Klinik-Verwaltung
• Doctor: Patienten-Reviews & medizinische Daten
• Coordinator: Termine, Logistik
• Finance: Rechnungen, Zahlungen

📋 Audit & Nachvollziehbarkeit

• Audit-Logs: jede Aktion (10 Jahre Aufbewahrung)
• Consent-Tracking mit Zeitstempel
• Art. 15–20 DSGVO Rechte direkt im CRM
• Meldepflicht innerhalb 72h (Art. 33 DSGVO)

🚫 Was wir NICHT tun

• Keine Werbung mit Patientendaten
• Keine KI-Trainings mit deinen Daten
• Keine Datenweitergabe an Dritte
• Kein Tracking zwischen Kliniken

📜 Compliance-Verträge

• AVV (Art. 28 DSGVO) automatisch beim Signup
• DPIA (Datenschutz-Folgenabschätzung) verfügbar
• TOM dokumentiert
• Datenschutzerklärung generierbar

HÄUFIGE FRAGEN

Compliance & Sicherheit

Ist WhatsApp-Automation überhaupt DSGVO-konform?

Standardmäßig nein. Flowmatix nutzt jedoch die offizielle WhatsApp Business API mit AVV nach Art. 28 DSGVO, deutscher Datenresidenz und expliziter Patient-Einwilligung. Voll DSGVO-konform für Kliniken.

Wo werden meine Patientendaten gespeichert?

Ausschließlich in Deutschland (Hetzner Frankfurt, ISO 27001 zertifiziert). Keine US-Cloud, kein Drittlandtransfer. EU-Datenresidenz garantiert.

Dürfen Patientenfotos über WhatsApp verarbeitet werden?

Ja — wenn der Patient explizit eingewilligt hat (Art. 9 Abs. 2 lit. a DSGVO). Flowmatix dokumentiert jede Einwilligung mit Zeitstempel, Methode und Wortlaut.

Bekomme ich einen Auftragsverarbeitungsvertrag (AVV)?

Ja, automatisch beim Signup. Der AVV nach Art. 28 DSGVO ist Teil der AGB und sofort als PDF abrufbar — kein manueller Antrag nötig.

Wie ist die Verschlüsselung implementiert?

TLS 1.3 für alle Verbindungen, AES-256 für gespeicherte Daten, WhatsApp End-to-End-Verschlüsselung (Signal Protocol), verschlüsselte Datenbank-Backups.

Habt ihr eine DPIA (Datenschutz-Folgenabschätzung)?

Ja, eine Muster-DPIA für Kliniken stellen wir hier als PDF zur Verfügung. Du kannst sie als Vorlage für deine eigene DPIA verwenden.

Was passiert wenn ein Patient seine Daten gelöscht haben möchte?

Im CRM klickst du "Patient löschen" → alle Daten werden DSGVO-konform innerhalb 72h gelöscht (Art. 17 DSGVO). Audit-Log dokumentiert die Löschung.

Trainiert ihr KI-Modelle mit unseren Patientendaten?

Nein. Niemals. Patientendaten werden ausschließlich zur Bereitstellung des Service verwendet — kein Training, keine Weitergabe, keine Werbung.

Wie schnell kann unsere Klinik DSGVO-konform live gehen?

Innerhalb weniger Stunden. AVV wird beim Signup automatisch generiert, deutsche Server sind sofort aktiv, Audit-Logs starten ab der ersten Nachricht.

Was passiert bei einem Datenleck?

Wir benachrichtigen dich innerhalb 24h. Du wiederum musst die Aufsichtsbehörde innerhalb 72h informieren (Art. 33 DSGVO). Wir liefern alle nötigen Informationen für die Meldung.