Vollständige Dokumentation aller Datenverarbeitungen bei Flowmatix gemäß Art. 30 DSGVO.
Bastian Barkowski
An der Moorbake 6, 27798 Hude, Deutschland
E-Mail: datenschutz@flowmatix.io
Da Flowmatix derzeit weniger als 20 Personen beschäftigt, ist gemäß § 38 BDSG kein verpflichtender Datenschutzbeauftragter bestellt. Der Verantwortliche nimmt diese Aufgabe wahr.
| Aspekt | Beschreibung |
|---|---|
| Zweck | Automatisierte Kommunikation zwischen Klinik und Patient zur Terminvereinbarung, Beratung, Datensammlung und Nachsorge |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) für Gesundheitsdaten |
| Datenkategorien | Name, Telefonnummer, E-Mail, gewünschte Behandlung, medizinische Vorgeschichte, Fotos (Kopfhaut), Krankheitsverlauf, Medikamentenliste |
| Betroffene | Patienten und Interessenten der Kliniken |
| Empfänger | Klinikpersonal (Arzt, Koordinator) — RBAC kontrolliert; 360dialog GmbH (BSP); Meta Platforms Ireland Ltd. (Metadaten) |
| Drittlandtransfer | Meta-Metadaten verlassen die EU (USA); abgesichert durch EU-US Data Privacy Framework |
| Speicherdauer | Aktive Patienten: Vertragsdauer + 6 Jahre (§ 257 HGB); Anfragen ohne Behandlung: 12 Monate |
| TOM | TLS 1.3, AES-256 At-Rest, RBAC, Audit-Logging, deutsche Server (Hetzner Frankfurt) |
| Aspekt | Beschreibung |
|---|---|
| Zweck | Strukturierte Erfassung von Patientendaten durch KI-Bot (Norwood-Skala, Anamnese, Wunschtermin) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. a DSGVO |
| Datenkategorien | Patientennachrichten, extrahierte medizinische Informationen, Norwood-Einschätzung |
| Auftragsverarbeiter | Anthropic PBC (USA) — KI-Modell Claude; Verarbeitung gemäß Anthropic DPA + Standardvertragsklauseln (SCC) |
| Drittlandtransfer | USA — abgesichert durch SCC + Anthropic Zero Data Retention Vereinbarung (kein Training) |
| Automatisierte Entscheidung | NEIN. Die KI gibt nur Vorabeinschätzungen. Final entscheidet immer ein zugelassener Arzt vor jeder Buchung (Art. 22 DSGVO) |
| Speicherdauer | Wie 3.1 |
| Aspekt | Beschreibung |
|---|---|
| Zweck | Speicherung von Patientenfotos (Kopfhaut) zur ärztlichen Beurteilung der Behandlungsmöglichkeit |
| Rechtsgrundlage | Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) i.V.m. expliziter Einwilligung Art. 9 Abs. 2 lit. a |
| Speicherort | Cloudflare R2 Object Storage (EU-Jurisdiction Zone — Frankfurt + Amsterdam). Datenbank-Referenzen liegen auf eigenem Server bei Hetzner Frankfurt. |
| Verschlüsselung | AES-256 At-Rest, TLS 1.3 In-Transit; Zugriff nur über RBAC für Rolle "doctor" und "admin" |
| Speicherdauer | Behandelte Patienten: 10 Jahre (medizinische Dokumentationspflicht § 630f BGB); nicht behandelte: 6 Monate |
| Aspekt | Beschreibung |
|---|---|
| Zweck | Anzahlung und Rechnungsstellung für gebuchte Behandlungen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Auftragsverarbeiter | Stripe Payments Europe Ltd. (Irland) |
| Datenkategorien | Name, E-Mail, Rechnungsadresse, Zahlungsbetrag — KEINE Kreditkartendaten (PCI-DSS Level 1 bei Stripe) |
| Speicherdauer | 10 Jahre (§ 147 AO, § 257 HGB) |
| Aspekt | Beschreibung |
|---|---|
| Zweck | Verwaltung von Patienten, Terminen, Pipeline durch autorisiertes Klinikpersonal |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO |
| RBAC-Rollen | Admin (volle Verwaltung, KEINE medizinischen Daten); Doctor (medizinische Reviews); Coordinator (Termine, Logistik); Finance (Rechnungen, KEINE medizinischen Daten) |
| Authentifizierung | E-Mail + Passwort (min. 8 Zeichen); 2FA für sensitive Rollen empfohlen |
Vollständige aktuelle Liste: Subprocessor-Verzeichnis
Vollständige Beschreibung: TOM-Dokumentation
Dieses Verzeichnis wird mindestens jährlich überprüft und bei wesentlichen Änderungen unverzüglich aktualisiert. Aktuelle Version: 1.0 — Stand 8. April 2026