ART. 28 DSGVO
Auftragsverarbeiter (Subprocessors)
Vollständige Liste aller Auftragsverarbeiter, die im Rahmen der Flowmatix-Plattform personenbezogene Daten verarbeiten.
Verantwortlicher: Bastian Barkowski / Flowmatix · Gültig ab: 8. April 2026 · Version: 1.0 · Letzte Aktualisierung: 8. April 2026
Was ist das? Diese öffentliche Liste aller Auftragsverarbeiter (Subprocessors) erfüllt die Transparenzpflicht nach Art. 28 Abs. 2 DSGVO. Bei Änderungen werden Kunden mindestens 14 Tage vorab informiert.
Aktive Auftragsverarbeiter
1. 360dialog GmbH (WhatsApp Business Solution Provider)
| Adresse | Torstraße 61, 10119 Berlin, Deutschland |
| Funktion | WhatsApp Business API Provider — leitet WhatsApp-Nachrichten zwischen Patient und Flowmatix weiter |
| Verarbeitete Daten | Telefonnummer, Nachrichteninhalt, Mediendateien |
| Standort | EU (Deutschland) |
| AVV | Vorhanden, abgeschlossen bei Account-Erstellung |
| DSGVO-Status | EU-Anbieter, keine Drittlandübermittlung |
2. Meta Platforms Ireland Ltd. (WhatsApp)
| Adresse | 4 Grand Canal Square, Dublin 2, Irland |
| Funktion | Bereitstellung der WhatsApp Business Plattform |
| Verarbeitete Daten | Nachrichten-Metadaten (Telefonnummern, Zeitstempel), Nachrichteninhalt während Übertragung |
| Standort | EU (Irland) primär, USA (Meta Platforms Inc.) für Backend-Infrastruktur |
| AVV | Vorhanden über 360dialog (Sub-AVV-Kette) |
| DSGVO-Status | Drittlandtransfer abgesichert über EU-US Data Privacy Framework + Standardvertragsklauseln |
3. Hetzner Online GmbH (Hosting)
| Adresse | Industriestr. 25, 91710 Gunzenhausen, Deutschland |
| Funktion | Hosting der Server (PostgreSQL, API, Worker, CRM) |
| Verarbeitete Daten | Alle in der Plattform gespeicherten Daten (passive Speicherung im Rechenzentrum) |
| Standort | EU (Deutschland — Rechenzentrum Frankfurt) |
| AVV | Hetzner Standard-AVV abgeschlossen |
| Zertifizierungen | ISO 27001, ISO 9001 |
4. Anthropic PBC (KI-Modell Claude)
| Adresse | 548 Market St, PMB 90375, San Francisco, CA 94104, USA |
| Funktion | KI-Sprachmodell für Patientennachrichten-Verarbeitung |
| Verarbeitete Daten | Patientennachrichten (Text), Kontextinformationen |
| Standort | USA |
| AVV | Anthropic DPA abgeschlossen |
| Drittlandtransfer | Standardvertragsklauseln (SCC) gemäß Beschluss 2021/914 + Zero Data Retention Vereinbarung (Anthropic verwendet die Daten nicht zum Training) |
| Besondere Schutzmaßnahmen | Daten werden nicht zum Modell-Training verwendet, nicht länger als zur Antwortgenerierung gespeichert |
5. Stripe Payments Europe Ltd.
| Adresse | The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland |
| Funktion | Zahlungsabwicklung (Anzahlungen, Abonnements) |
| Verarbeitete Daten | Name, E-Mail, Rechnungsadresse, Zahlungsbetrag — KEINE Kreditkartendaten (Stripe ist PCI-DSS Level 1) |
| Standort | EU (Irland) primär, USA für Backup-Infrastruktur |
| AVV | Stripe Standard DPA |
6. Cloudflare, Inc. (R2 Object Storage)
| Adresse | 101 Townsend Street, San Francisco, CA 94107, USA |
| Funktion | Speicherung von Patientenfotos und Mediendateien (S3-kompatibler Object Storage) |
| Verarbeitete Daten | Patientenfotos (Kopfhaut, Behandlungsbereiche), hochgeladene Dokumente |
| Standort | EU-Jurisdiction Zone (Frankfurt + Amsterdam Datacenter) |
| AVV | Cloudflare Standard DPA |
| Verschlüsselung | AES-256 at rest (Cloudflare-managed), TLS 1.3 in transit |
| Drittlandtransfer | Cloudflare ist EU-US DPF zertifiziert. Bucket-Konfiguration mit EU Jurisdiction Zone — keine Daten verlassen die EU. |
7. OpenAI, L.L.C. (Whisper — Audio-Transkription)
| Adresse | 3180 18th Street, San Francisco, CA 94110, USA |
| Funktion | Sprache-zu-Text-Umwandlung von WhatsApp-Sprachnachrichten via Whisper API. Wird nur eingesetzt, weil das primäre KI-Modell (Anthropic Claude) keine Audio-Verarbeitung unterstützt — sämtliche Text-, Foto- und Konversationslogik läuft weiterhin ausschließlich über Anthropic Claude (siehe Punkt 4). |
| Verarbeitete Daten | Audiodatei der Patient-Sprachnachricht (typischerweise wenige Sekunden bis Minuten), enthält Stimme und gesprochenen Inhalt. Das Audio wird ausschließlich an Whisper gesendet, sobald der Patient eine Sprachnachricht statt Text sendet. |
| Standort | USA |
| AVV | OpenAI Data Processing Addendum (DPA) abgeschlossen |
| Drittlandtransfer | Standardvertragsklauseln (SCC) gemäß Beschluss 2021/914 + EU-US Data Privacy Framework |
| Besondere Schutzmaßnahmen | Audio wird nicht zum Modell-Training verwendet (OpenAI API ist standardmäßig opt-out). Keine permanente Speicherung bei OpenAI — Audio wird ausschließlich zur Transkription verarbeitet und danach von OpenAI verworfen. Aktivierung ausschließlich, wenn die Klinik das Voice-Messages Add-on gebucht hat. |
8. hCaptcha (Intuition Machines, Inc.)
| Adresse | 2261 Market Street #4332, San Francisco, CA 94114, USA |
| Funktion | Bot-Schutz im Anmeldeformular |
| Verarbeitete Daten | IP-Adresse, User-Agent, Cookies, Mausbewegungen |
| Standort | USA |
| Status | Wird in Q2 2026 auf Friendly Captcha (DE) migriert |
Optionale Auftragsverarbeiter (nur wenn Klinik aktiviert)
9. Google Ireland Ltd. (optional)
| Funktion | Google Calendar Sync, Google Drive Storage (nur wenn von Klinik aktiviert) |
| Standort | EU (Irland) primär |
| AVV | Google Cloud DPA |
Information über Änderungen
Bei Hinzufügen oder Entfernen von Auftragsverarbeitern werden alle Kunden mindestens 14 Tage vorab per E-Mail an die hinterlegte Datenschutz-Kontakt-Adresse informiert. Diese Liste wird laufend aktualisiert.
Letzte Aktualisierung: 8. April 2026
Fragen: datenschutz@flowmatix.io