ART. 7, 9 DSGVO

Einwilligungs-Konzept

Wie Flowmatix Einwilligungen einholt, dokumentiert und nachweist — gemäß den Anforderungen für Gesundheitsdaten.

Verantwortlicher: Bastian Barkowski / Flowmatix · Gültig ab: 8. April 2026 · Version: 1.0 · Letzte Aktualisierung: 8. April 2026

Was ist das? Dieses Dokument beschreibt, wie Flowmatix die Einwilligung von Patienten in die Verarbeitung ihrer Daten einholt, dokumentiert und nachweist — entsprechend Art. 7 DSGVO.

1. Anforderungen an eine wirksame Einwilligung

Eine Einwilligung ist nur wirksam, wenn sie:

Freiwillig erteilt wird (keine Kopplung an die Vertragserfüllung)
Spezifisch ist (für einen klar bestimmten Zweck)
Informiert erfolgt (mit klaren Hinweisen, was passiert)
Eindeutig gegeben wird (aktive Handlung)
Nachweisbar ist (Dokumentation)
Widerruflich ist (jederzeit, ohne Nachteil)

Bei Gesundheitsdaten (Art. 9 DSGVO) muss die Einwilligung zusätzlich ausdrücklich sein.

2. Consent-Flow im Detail

Schritt 1: Erste Patientennachricht

Wenn ein Patient zum ersten Mal über WhatsApp eine Klinik kontaktiert, antwortet der KI-Bot innerhalb von Sekunden mit:

"Willkommen bei [Klinik]. Bevor wir Ihre Anfrage bearbeiten, möchten wir transparent erklären, wie wir mit Ihren Daten umgehen:

📋 Wir erfassen Ihre Anfrage und ggf. Fotos zur Beurteilung Ihrer Behandlungsoptionen.
🇩🇪 Alle Daten liegen auf deutschen Servern (DSGVO-konform).
🤖 Ein KI-Assistent unterstützt bei der Erstaufnahme — die finale Entscheidung trifft immer ein Arzt.

Stimmen Sie der Verarbeitung Ihrer Gesundheitsdaten zu? Antworten Sie bitte mit JA um fortzufahren.

Details: https://flowmatix.io/privacy-policy.html"

Schritt 2: Patient antwortet

"JA" → Einwilligung wird erteilt, Bot fährt fort
"NEIN" → Bot antwortet mit Hinweis und fragt nach manueller Kontaktaufnahme
Andere Antwort → Bot fragt erneut, bittet um eindeutige Antwort

Schritt 3: Dokumentation der Einwilligung

Jede Einwilligung wird in der Datenbank-Tabelle consent_records gespeichert mit:

Feld	Inhalt
`patient_id`	Patientenkennung
`consent_type`	health_data \| gdpr \| marketing
`consent_text`	Wortlaut der Einwilligung (für Beweissicherung)
`given_at`	Zeitstempel der Einwilligung
`given_via`	whatsapp \| web_form \| written
`message_id`	WhatsApp Message-ID der Zustimmung
`ip_address`	IP des Patienten (falls verfügbar)
`language`	Sprache der Einwilligung
`withdrawn_at`	Zeitstempel des Widerrufs (NULL wenn aktiv)

3. Widerruf der Einwilligung

Der Patient kann seine Einwilligung jederzeit widerrufen:

Per WhatsApp-Nachricht: "STOPP", "WIDERRUF", "DATENSCHUTZ" — Bot erkennt automatisch
Per E-Mail an die Klinik oder direkt an datenschutz@flowmatix.io
Schriftlich per Post

Der Widerruf wird in consent_records.withdrawn_at dokumentiert. Die Verarbeitung wird sofort gestoppt. Der Patient wird über die Folgen informiert (z.B. dass keine Terminanfragen mehr möglich sind).

4. Sonderfall: Granulare Einwilligungen

Bei verschiedenen Verarbeitungszwecken werden separate Einwilligungen eingeholt:

Zweck	Einwilligung notwendig?
Bearbeitung der Erstanfrage	JA (Art. 9 DSGVO)
Foto-Upload zur ärztlichen Beurteilung	JA (zusätzliche, ausdrückliche)
Speicherung der medizinischen Vorgeschichte	JA
Marketing-Nachrichten / Werbung	JA (separat, Art. 6 lit. a)
Übermittlung an Drittländer (z.B. KI-Anbieter)	Information (kein separater Konsent, da via SCC abgesichert)

5. Einwilligung Minderjähriger (Art. 8 DSGVO)

Patienten unter 16 Jahren benötigen die Zustimmung der Erziehungsberechtigten. Der Bot fragt am Anfang nach dem Alter. Bei Minderjährigen wird ein Hinweis ausgegeben und die Verarbeitung pausiert, bis schriftliche Zustimmung der Eltern vorliegt.

6. Nachweis bei Anfragen

Auf Anfrage einer Aufsichtsbehörde oder eines Patienten kann der Verantwortliche jederzeit nachweisen:

WANN die Einwilligung erteilt wurde
WIE sie erteilt wurde (Wortlaut, Kanal)
FÜR WAS sie galt
OB sie aktiv ist oder widerrufen wurde