ART. 35 DSGVO
Datenschutz-Folgenabschätzung (DPIA)
Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Gesundheitsdaten durch Flowmatix.
Verantwortlicher: Bastian Barkowski / Flowmatix · Gültig ab: 8. April 2026 · Version: 1.0 · Letzte Aktualisierung: 8. April 2026
Rechtliche Grundlage: Art. 35 DSGVO. Da Flowmatix Gesundheitsdaten gemäß Art. 9 DSGVO verarbeitet und teilweise automatisierte Verarbeitung einsetzt, ist eine DPIA verpflichtend.
1. Beschreibung der Verarbeitung
Flowmatix automatisiert die WhatsApp-Patientenkommunikation für medizinische Kliniken (insb. Haartransplantation, ästhetische Medizin). Die Plattform verarbeitet:
- Personenbezogene Daten (Name, Telefon, E-Mail)
- Besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (Gesundheitsdaten, Fotos, Anamnese)
- Verkehrs- und Metadaten (über Meta/WhatsApp Business API)
2. Notwendigkeitsprüfung
Die Verarbeitung ist erforderlich, weil:
- Patienten ihre Anfragen aktiv über WhatsApp stellen (vom Patienten initiiert)
- Medizinische Beurteilung Fotos und Anamnese erfordert
- Terminbuchung und Anzahlung Vertragsdaten benötigen
- Eine manuelle Bearbeitung in der Geschwindigkeit nicht möglich wäre (24/7, mehrsprachig)
3. Risikoanalyse
| Risiko | Eintrittswahrsch. | Schaden | Bewertung |
|---|
| Unbefugter Zugriff auf Patientendaten | Niedrig | Hoch | Mittel |
| Datenleck Patientenfotos | Niedrig | Sehr hoch | Hoch |
| Falsche KI-Einschätzung führt zu falscher Behandlung | Sehr niedrig (Arzt-Review verpflichtend) | Sehr hoch | Mittel |
| US-Drittlandtransfer (Anthropic, Stripe) | Mittel | Mittel | Mittel |
| Meta sammelt Metadaten | Hoch (systembedingt) | Niedrig | Niedrig |
| Ransomware / Server-Kompromittierung | Niedrig | Hoch | Mittel |
| Versehentliche Löschung durch Klinikpersonal | Mittel | Mittel | Mittel |
4. Schutzmaßnahmen
Technisch
- TLS 1.3 für alle Datenübertragungen
- AES-256 für Daten im Ruhezustand
- Verschlüsselte Datenbank-Backups (täglich, 30 Tage)
- Hetzner Frankfurt (ISO 27001 zertifiziert)
- Row Level Security (RLS) in PostgreSQL → Mandantentrennung
- Soft-Delete + Hard-Delete on Request
- Audit-Logs aller Datenzugriffe
Organisatorisch
- Rollenbasierte Zugriffsrechte (RBAC)
- Verpflichtung aller Mitarbeiter auf das Datengeheimnis
- Datenschutzschulung des Klinikpersonals (Verantwortung der Klinik als Verantwortlicher)
- Vier-Augen-Prinzip bei kritischen Datenoperationen
- Incident Response Plan (siehe hier)
Vertraglich
- AVV (Art. 28 DSGVO) mit jeder Klinik
- Sub-AVV mit allen Auftragsverarbeitern (360dialog, Hetzner, Anthropic, Stripe)
- Standardvertragsklauseln (SCC) für US-Transfers
5. Restrisiken
Trotz aller Maßnahmen verbleiben folgende Restrisiken:
- Meta-Metadaten: Meta erfasst grundsätzlich Telefonnummer und Verkehrsmetadaten. Patienten werden hierüber transparent informiert.
- US-Drittlandtransfer: Trotz EU-US DPF und SCC besteht ein theoretisches Risiko durch FISA / Cloud Act. Mitigation: Anthropic Zero-Retention; Stripe-Daten ausschließlich Vertragsdaten.
- Patient verschickt unaufgefordert sensitive Daten: Mitigation durch klare Botstartnachricht und Consent-Aufforderung.
6. Bewertung
Nach Implementierung aller in dieser DPIA beschriebenen Maßnahmen liegt das Restrisiko für Betroffene im akzeptablen Bereich. Eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO ist nicht erforderlich.
7. Überprüfung
Diese DPIA wird mindestens jährlich überprüft und bei wesentlichen Änderungen (z.B. neue Subprocessoren, neue Funktionen mit Datenverarbeitung) unverzüglich aktualisiert.
Nächste planmäßige Überprüfung: 8. April 2027