DSGVO · ART. 28 AVV · DEUTSCHE SERVER

DSGVO-konforme WhatsApp Automation für Kliniken — sicher für Patientendaten, gebaut für Wachstum.

Q: Was passiert bei einem Datenleck?

Wir benachrichtigen dich innerhalb 24h. Du musst die Aufsichtsbehörde innerhalb 72h informieren (Art. 33 DSGVO). Wir liefern alle nötigen Informationen für die Meldung.

Die einzige WhatsApp-Plattform für Kliniken mit echter DSGVO-Konformität, deutschen Servern und Auftragsverarbeitungsvertrag (AVV) ab Tag 1. Patienten qualifizieren, buchen und betreuen — ohne rechtliches Risiko.

🚀 Kostenlos testen → 📄 AVV als PDF ansehen

✓ AVV beim Signup 🇩🇪 Server in Deutschland 🛡 Art. 28 DSGVO 🔒 TLS 1.3 + AES-256

DAS PROBLEM

WhatsApp ist groß. DSGVO ist größer.

Du willst Patienten über WhatsApp gewinnen. Aber:

⚠️

Standard WhatsApp = nicht zulässig

Für Gesundheitsdaten ohne AVV ein DSGVO-Verstoß — bis zu 4 % des Jahresumsatzes Bußgeld.

⚠️

US-Hosting = Drittlandtransfer

Schrems II macht US-Cloud für Patientendaten praktisch unmöglich. Nur EU-Server sind sicher.

⚠️

Patientenfotos = Art. 9 DSGVO

Besondere Schutzkategorie. Braucht explizite Einwilligung, Verschlüsselung und Audit-Trail.

⚠️

Keine Audit-Logs

Ohne Nachvollziehbarkeit kannst du im Streitfall nichts beweisen. Aufsichtsbehörde verlangt Dokumentation.

DIE LÖSUNG

Compliance ist kein Add-on. Es ist das Fundament.

Flowmatix wurde für DSGVO gebaut — nicht nachträglich angepasst.

✅

AVV (Art. 28 DSGVO)

Automatisch beim Signup als PDF

🇩🇪

Server in Deutschland

Hetzner Frankfurt, ISO 27001

🔒

TLS 1.3 + AES-256

End-to-End verschlüsselt

🛡

Art. 9 Gesundheitsdaten

Korrekt verarbeitet mit Consent

📋

Audit-Logs (10 Jahre)

Jede Aktion nachvollziehbar

👥

RBAC-Zugriffsrechte

Arzt, Koordinator, Finance getrennt

🚫

Keine KI-Trainings

Patientendaten bleiben privat

🇪🇺

EU-Datenresidenz

Kein Drittlandtransfer garantiert

SO FUNKTIONIERT'S

Sicher und automatisch — vom ersten Patient bis zur OP

1

Patient schreibt auf WhatsApp

Erste Antwort enthält Datenschutz-Hinweis und Consent-Anfrage gemäß DSGVO. Erst nach expliziter Einwilligung beginnt die Datensammlung.

2

KI qualifiziert strukturiert

Name, Krankengeschichte, Norwood-Stufe, Medikamente — alles dokumentiert im Audit-Log mit Zeitstempel und User-Trail.

3

Fotos verschlüsselt gespeichert

Patientenfotos werden Ende-zu-Ende verschlüsselt direkt im Patient-Profil abgelegt. Nicht in fremden Cloud-Diensten.

4

Arzt-Review (Art. 9 DSGVO konform)

Nur autorisierte Ärzte sehen medizinische Daten. RBAC trennt Patientendaten strikt von Verwaltung und Finance.

5

Buchung & Anzahlung

Stripe (PCI-DSS Level 1) verarbeitet Zahlungen. Klinik sieht nie Kreditkartendaten — automatischer Audit-Trail.

6

Audit & Löschkonzept

Patienten können jederzeit Löschung verlangen (Art. 17 DSGVO). Audit-Log dokumentiert alle Zugriffe für 10 Jahre.

RECHTSDOKUMENTE

Lade dir die Verträge sofort herunter

Alle DSGVO-relevanten Dokumente sind direkt verfügbar — keine E-Mail nötig, keine Anfrage.

🇩🇪

AVV (Deutsch)

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

PDF öffnen →

🇬🇧

DPA (English)

Data Processing Agreement under Art. 28 GDPR

Open PDF →

🇹🇷

DPA (Türkçe)

Veri İşleme Sözleşmesi (KVKK uyumlu)

PDF aç →

📋

DPIA-Vorlage (Deutsch)

Datenschutz-Folgenabschätzung als Vorlage für deine Klinik

PDF öffnen →

PRAXISBEISPIEL

Haartransplantationsklinik in Berlin

VORHER

❌ WhatsApp Web auf dem Praxis-iPad
❌ Excel mit 800 Patienten
❌ Keine Verschlüsselung
❌ Erstes DSGVO-Audit: 14 kritische Verstöße
❌ 14% Conversion (Anfrage → Termin)
❌ Bußgeldrisiko bis 4% des Umsatzes

NACH 30 TAGEN MIT FLOWMATIX

✅ AVV unterschrieben, Audit bestanden
✅ Alle Patientendaten in deutschem Rechenzentrum
✅ TLS 1.3 + AES-256 verschlüsselt
✅ +€18.000 Mehrumsatz / Monat
✅ 47% Conversion (Anfrage → Termin)
✅ Zero Bußgeldrisiko

DATENSCHUTZ & SICHERHEIT

Compliance ist nicht verhandelbar.

Hier sind die technischen Fakten — transparent und überprüfbar.

🏛 Hosting & Infrastruktur

• Hetzner Online GmbH, Frankfurt (Deutschland)
• ISO 27001 zertifiziert
• Art. 44–49 DSGVO: kein Drittlandtransfer
• Backups verschlüsselt, EU-Standort, 30 Tage

🔒 Verschlüsselung

• In-Transit: TLS 1.3 (mindestens TLS 1.2)
• At-Rest: AES-256 für alle Patientendaten
• WhatsApp: Ende-zu-Ende (Signal Protocol)
• Datenbank: verschlüsselt + Row Level Security

👥 Zugriffskontrolle (RBAC)

• Admin: Klinik-Verwaltung
• Doctor: Patienten-Reviews & medizinische Daten
• Coordinator: Termine, Logistik
• Finance: Rechnungen, Zahlungen

📋 Audit & Nachvollziehbarkeit

• Audit-Logs: jede Aktion (10 Jahre Aufbewahrung)
• Consent-Tracking mit Zeitstempel
• Art. 15–20 DSGVO Rechte direkt im CRM
• Meldepflicht innerhalb 72h (Art. 33 DSGVO)

🚫 Was wir NICHT tun

• Keine Werbung mit Patientendaten
• Keine KI-Trainings mit deinen Daten
• Keine Datenweitergabe an Dritte
• Kein Tracking zwischen Kliniken

📜 Compliance-Verträge

• AVV (Art. 28 DSGVO) automatisch beim Signup
• DPIA (Datenschutz-Folgenabschätzung) verfügbar
• TOM dokumentiert
• Datenschutzerklärung generierbar

HÄUFIGE FRAGEN

Compliance & Sicherheit

Ist WhatsApp-Automation überhaupt DSGVO-konform?

Standardmäßig nein. Flowmatix nutzt jedoch die offizielle WhatsApp Business API mit AVV nach Art. 28 DSGVO, deutscher Datenresidenz und expliziter Patient-Einwilligung. Voll DSGVO-konform für Kliniken.

Wo werden meine Patientendaten gespeichert?

Ausschließlich in Deutschland (Hetzner Frankfurt, ISO 27001 zertifiziert). Keine US-Cloud, kein Drittlandtransfer. EU-Datenresidenz garantiert.

Dürfen Patientenfotos über WhatsApp verarbeitet werden?

Ja — wenn der Patient explizit eingewilligt hat (Art. 9 Abs. 2 lit. a DSGVO). Flowmatix dokumentiert jede Einwilligung mit Zeitstempel, Methode und Wortlaut.

Bekomme ich einen Auftragsverarbeitungsvertrag (AVV)?

Ja, automatisch beim Signup. Der AVV nach Art. 28 DSGVO ist Teil der AGB und sofort als PDF abrufbar — kein manueller Antrag nötig.

Wie ist die Verschlüsselung implementiert?

TLS 1.3 für alle Verbindungen, AES-256 für gespeicherte Daten, WhatsApp End-to-End-Verschlüsselung (Signal Protocol), verschlüsselte Datenbank-Backups.

Habt ihr eine DPIA (Datenschutz-Folgenabschätzung)?

Ja, eine Muster-DPIA für Kliniken stellen wir hier als PDF zur Verfügung. Du kannst sie als Vorlage für deine eigene DPIA verwenden.

Was passiert wenn ein Patient seine Daten gelöscht haben möchte?

Im CRM klickst du "Patient löschen" → alle Daten werden DSGVO-konform innerhalb 72h gelöscht (Art. 17 DSGVO). Audit-Log dokumentiert die Löschung.

Trainiert ihr KI-Modelle mit unseren Patientendaten?

Nein. Niemals. Patientendaten werden ausschließlich zur Bereitstellung des Service verwendet — kein Training, keine Weitergabe, keine Werbung.

Wie schnell kann unsere Klinik DSGVO-konform live gehen?

Innerhalb weniger Stunden. AVV wird beim Signup automatisch generiert, deutsche Server sind sofort aktiv, Audit-Logs starten ab der ersten Nachricht.

Was passiert bei einem Datenleck?

Wir benachrichtigen dich innerhalb 24h. Du wiederum musst die Aufsichtsbehörde innerhalb 72h informieren (Art. 33 DSGVO). Wir liefern alle nötigen Informationen für die Meldung.