ART. 7, 9 DSGVO
Einwilligungs-Konzept
Wie Flowmatix Einwilligungen einholt, dokumentiert und nachweist — gemäß den Anforderungen für Gesundheitsdaten.
Verantwortlicher: Bastian Barkowski / Flowmatix · Gültig ab: 8. April 2026 · Version: 1.0 · Letzte Aktualisierung: 8. April 2026
Was ist das? Dieses Dokument beschreibt, wie Flowmatix die Einwilligung von Patienten in die Verarbeitung ihrer Daten einholt, dokumentiert und nachweist — entsprechend Art. 7 DSGVO.
1. Anforderungen an eine wirksame Einwilligung
Eine Einwilligung ist nur wirksam, wenn sie:
- Freiwillig erteilt wird (keine Kopplung an die Vertragserfüllung)
- Spezifisch ist (für einen klar bestimmten Zweck)
- Informiert erfolgt (mit klaren Hinweisen, was passiert)
- Eindeutig gegeben wird (aktive Handlung)
- Nachweisbar ist (Dokumentation)
- Widerruflich ist (jederzeit, ohne Nachteil)
Bei Gesundheitsdaten (Art. 9 DSGVO) muss die Einwilligung zusätzlich ausdrücklich sein.
2. Consent-Flow im Detail
Schritt 1: Erste Patientennachricht
Wenn ein Patient zum ersten Mal über WhatsApp eine Klinik kontaktiert, antwortet der KI-Bot innerhalb von Sekunden mit:
"Willkommen bei [Klinik]. Bevor wir Ihre Anfrage bearbeiten, möchten wir transparent erklären, wie wir mit Ihren Daten umgehen:
📋 Wir erfassen Ihre Anfrage und ggf. Fotos zur Beurteilung Ihrer Behandlungsoptionen.
🇩🇪 Alle Daten liegen auf deutschen Servern (DSGVO-konform).
🤖 Ein KI-Assistent unterstützt bei der Erstaufnahme — die finale Entscheidung trifft immer ein Arzt.
Stimmen Sie der Verarbeitung Ihrer Gesundheitsdaten zu? Antworten Sie bitte mit JA um fortzufahren.
Details: https://flowmatix.io/privacy-policy.html"
Schritt 2: Patient antwortet
- "JA" → Einwilligung wird erteilt, Bot fährt fort
- "NEIN" → Bot antwortet mit Hinweis und fragt nach manueller Kontaktaufnahme
- Andere Antwort → Bot fragt erneut, bittet um eindeutige Antwort
Schritt 3: Dokumentation der Einwilligung
Jede Einwilligung wird in der Datenbank-Tabelle consent_records gespeichert mit:
| Feld | Inhalt |
|---|
patient_id | Patientenkennung |
consent_type | health_data | gdpr | marketing |
consent_text | Wortlaut der Einwilligung (für Beweissicherung) |
given_at | Zeitstempel der Einwilligung |
given_via | whatsapp | web_form | written |
message_id | WhatsApp Message-ID der Zustimmung |
ip_address | IP des Patienten (falls verfügbar) |
language | Sprache der Einwilligung |
withdrawn_at | Zeitstempel des Widerrufs (NULL wenn aktiv) |
3. Widerruf der Einwilligung
Der Patient kann seine Einwilligung jederzeit widerrufen:
- Per WhatsApp-Nachricht: "STOPP", "WIDERRUF", "DATENSCHUTZ" — Bot erkennt automatisch
- Per E-Mail an die Klinik oder direkt an datenschutz@flowmatix.io
- Schriftlich per Post
Der Widerruf wird in consent_records.withdrawn_at dokumentiert. Die Verarbeitung wird sofort gestoppt. Der Patient wird über die Folgen informiert (z.B. dass keine Terminanfragen mehr möglich sind).
4. Sonderfall: Granulare Einwilligungen
Bei verschiedenen Verarbeitungszwecken werden separate Einwilligungen eingeholt:
| Zweck | Einwilligung notwendig? |
|---|
| Bearbeitung der Erstanfrage | JA (Art. 9 DSGVO) |
| Foto-Upload zur ärztlichen Beurteilung | JA (zusätzliche, ausdrückliche) |
| Speicherung der medizinischen Vorgeschichte | JA |
| Marketing-Nachrichten / Werbung | JA (separat, Art. 6 lit. a) |
| Übermittlung an Drittländer (z.B. KI-Anbieter) | Information (kein separater Konsent, da via SCC abgesichert) |
5. Einwilligung Minderjähriger (Art. 8 DSGVO)
Patienten unter 16 Jahren benötigen die Zustimmung der Erziehungsberechtigten. Der Bot fragt am Anfang nach dem Alter. Bei Minderjährigen wird ein Hinweis ausgegeben und die Verarbeitung pausiert, bis schriftliche Zustimmung der Eltern vorliegt.
6. Nachweis bei Anfragen
Auf Anfrage einer Aufsichtsbehörde oder eines Patienten kann der Verantwortliche jederzeit nachweisen:
- WANN die Einwilligung erteilt wurde
- WIE sie erteilt wurde (Wortlaut, Kanal)
- FÜR WAS sie galt
- OB sie aktiv ist oder widerrufen wurde