Datenschutzerklärung für Flowmatix - Automation

1. Allgemeine Informationen

Diese Datenschutzerklärung erläutert, wie personenbezogene Daten bei der Nutzung von Flowmatix und dieser Website gemäß der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden.

2. Verantwortlicher

Bastian Barkowski

An der Moorbäke 6, 27798 Hude, Deutschland

E-Mail: info@flowmatix.io

Datenschutzbeauftragter: Aufgrund des aktuellen Verarbeitungsumfangs ist die Bestellung eines betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO derzeit nicht zwingend erforderlich. Für Datenschutzanfragen wenden Sie sich bitte an: info@flowmatix.io.

3. Unsere Leistung & Rollen

Flowmatix stellt technische Automatisierung für Klinik-Workflows bereit (Qualifizierung, Buchung, Erinnerungen, CRM-Sync). Kliniken bleiben für Patientendaten und klinische Entscheidungen verantwortlich.

• Klinik: Verantwortlicher für Patientendaten
• Flowmatix: Auftragsverarbeiter, soweit zutreffend (Art. 28 DSGVO)

4. Website-Daten (Server-Logs)

Beim Besuch unserer Website können technische Daten verarbeitet werden, z. B. IP-Adresse, Browser-Typ, Geräte-Informationen, besuchte Seiten und Zeitstempel. Diese Daten werden verwendet, um die Website sicher bereitzustellen und Missbrauch vorzubeugen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

5. Kontaktanfragen

Wenn Sie uns per E-Mail, Kontaktformular oder WhatsApp kontaktieren, verarbeiten wir die von Ihnen bereitgestellten Informationen (z. B. Name, Kontaktdaten, Nachrichteninhalt), um Ihre Anfrage zu beantworten und gegebenenfalls einen Vertrag vorzubereiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertrag).

6. WhatsApp-Automatisierung

Flowmatix ermöglicht es Kliniken, über WhatsApp mit Patienten zu kommunizieren — mithilfe automatisierter Workflows. Zur Bereitstellung des Dienstes können Nachrichten-Routing, Zeitstempel und technische Metadaten verarbeitet werden.

Patientengespräche sollen innerhalb der Klinik-eigenen Systeme verwaltet werden (z. B. Klinik-CRM).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 28 DSGVO (Verarbeitung für Kliniken).

Besondere Kategorien (Art. 9 DSGVO): Soweit Kliniken Flowmatix zur Verarbeitung von Patientenfotos (z. B. Kopfhautaufnahmen) oder anderen Gesundheitsdaten nutzen, handelt es sich um besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO. Flowmatix verarbeitet diese Daten ausschließlich als Auftragsverarbeiter (Art. 28 DSGVO) auf Weisung der Klinik. Die Klinik als Verantwortliche ist verpflichtet, die ausdrückliche Einwilligung der betroffenen Patienten (Art. 9 Abs. 2 lit. a DSGVO) vor der Erhebung einzuholen.

7. Hosting & Infrastruktur

Unsere Automatisierungs-Dienste werden auf Infrastruktur in Deutschland gehostet (z. B. Hetzner). Dies dient dem zuverlässigen, sicheren und latenzarmen Betrieb des Systems.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Zahlungen (Stripe)

Zahlungen werden über Stripe abgewickelt. Flowmatix speichert keine vollständigen Zahlungsdaten. Stripe kann Abrechnungs- und Zahlungsinformationen verarbeiten, um Transaktionen abzuschließen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Datenspeicherung & Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die oben beschriebenen Zwecke notwendig oder gesetzlich vorgeschrieben ist.

• Patientendaten: Für die Dauer des Vertragsverhältnisses mit der Klinik sowie 90 Tage nach Vertragsende, danach automatische Löschung aus der Flowmatix-Plattform. Kliniken sind als Verantwortliche verpflichtet, eigene gesetzliche Aufbewahrungsfristen (z. B. § 630f BGB: 10 Jahre Behandlungsdokumentation) unabhängig davon einzuhalten.
• Technische Logs: 30 Tage (Anwendungslogs); Audit-Logs 365 Tage; Automatisierungs-Queue-Jobs (BullMQ/n8n) 48 Stunden.
• Hinweis bei Widerruf der Einwilligung: Bei Widerruf wird die Verarbeitung durch Flowmatix eingestellt. Gesetzliche Aufbewahrungspflichten (z. B. § 630f BGB: 10 Jahre Behandlungsdokumentation) berechtigen Kliniken als Verantwortliche zur weiteren Aufbewahrung — ausschließlich zu Dokumentationszwecken, ohne aktive Verarbeitung.
• Backup-Daten: Gelöschte Daten können in verschlüsselten Backups bis zu 12 Monate nach Löschung verbleiben. Die Backups sind mit GPG verschlüsselt und für Dritte nicht lesbar.
• Zahlungsdaten: Gemäß gesetzlicher Aufbewahrungspflicht (10 Jahre, §147 AO).

10. Unterauftragsverarbeiter (Sub-Processors)

Flowmatix setzt folgende Unterauftragsverarbeiter ein, die personenbezogene Daten in unserem Auftrag verarbeiten können. Alle Drittlandtransfers erfolgen auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

Hinweis zu Backups: Gelöschte Patientendaten können in verschlüsselten Backups bis zu 12 Monate nach Löschung verbleiben (Backup-Rotation: täglich 7 Tage, wöchentlich 4 Wochen, monatlich 12 Monate). Die Backups sind mit GPG verschlüsselt und für Dritte nicht lesbar.

11. Internationale Datenübermittlungen

Soweit Daten an Anbieter außerhalb der EU/EWR übermittelt werden (insbesondere USA), erfolgt dies ausschließlich auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Die vollständige Liste der Unterauftragsverarbeiter und der jeweiligen Transfermechanismen ist im Abschnitt 10 dieser Datenschutzerklärung sowie im Auftragsverarbeitungsvertrag (AVV) einsehbar.

11a. Google API Services — Calendar, Drive & Sheets

Flowmatix offers an optional integration with Google services (Google Calendar, Google Drive, Google Sheets). This section explains how Google user data is accessed, used, stored, and protected in accordance with the Google API Services User Data Policy.

Data Accessed

When a clinic administrator voluntarily connects their Google account, Flowmatix requests the following OAuth 2.0 scopes:

• Google Calendar (calendar, calendar.events) — to create, read, update, and delete calendar events on behalf of the clinic.
• Google Drive (drive.file) — to create and manage a clinic-specific folder and upload documents/patient photos. This feature is disabled by default and requires explicit opt-in by the clinic administrator.
• Google Sheets (spreadsheets) — to create spreadsheets and export appointment or patient data on staff request.

Google integrations are available to clinic administrators only. Patients do not interact with Google APIs directly.

Data Usage

Google user data accessed via these scopes is used exclusively to provide the described integration features: appointment details (patient name, date, time, practitioner) are written to Google Calendar events; patient documents are uploaded to Google Drive only when explicitly enabled by the clinic; exported data is written to Google Sheets on staff request. Google user data is never used for advertising, profiling, or AI model training.

Data Sharing

Google user data (OAuth tokens and any data read or written via Google APIs) is not shared with any third parties. It is processed solely within Flowmatix’s infrastructure to provide the calendar, drive, and sheets features.

Data Storage & Protection

OAuth access tokens and refresh tokens are stored AES-256 encrypted in our PostgreSQL database on servers in Germany (EU). All communication with Google APIs is over HTTPS/TLS. Credentials are scoped per organization and protected by row-level security. No Google user data is stored in application logs, caches, or third-party analytics services.

Data Retention & Deletion

OAuth credentials are retained while the Google integration remains active. Clinic administrators can disconnect at any time via Settings → Integrations → Disconnect Google. Upon disconnection, stored credentials are deactivated immediately.

To request permanent deletion of all stored Google credentials, email info@flowmatix.io with subject “Data Deletion Request”. Deletion is completed within 30 days.

12. Ihre Rechte nach der DSGVO

Sie haben das Recht auf:

• Auskunft über Ihre Daten
• Berichtigung
• Löschung
• Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerspruch gegen die Verarbeitung
• Beschwerde bei einer Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für Flowmatix ist: Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen), Prinzenstraße 5, 30159 Hannover, Tel.: +49 511 120-4500, lfd.niedersachsen.de.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte: info@flowmatix.io

13. Sicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein — einschließlich verschlüsselter Übertragung (HTTPS), Zugriffskontrollen und System-Härtung —, um personenbezogene Daten zu schützen.

14. Aktualisierungen dieser Erklärung

Wir können diese Datenschutzerklärung an rechtliche, technische oder dienstliche Änderungen anpassen. Die aktuelle Version ist jederzeit auf dieser Seite einsehbar.