Zurück zur Registrierung

App-Datenschutzerklärung

Stand: 30. November 2025

Hinweis zur Website-Datenschutzerklärung

Diese Datenschutzerklärung bezieht sich ausschließlich auf die Nutzung der ocd&me-App. Die Datenschutzerklärung für unsere Website (z. B. Tracking, Cookies, Hosting, Newsletter) finden Sie unter https://ocdandme.com/datenschutz/ .

Verantwortliche Stelle

JK Digitale Medien GmbH & Co. KG

Holbeinstraße 18
45883 Gelsenkirchen
E-Mail: mail@ocdandme.com

Vertreten durch die JK Digitale Medien Verwaltungs- und Geschäftsführungsgesellschaft mbH,
Geschäftsführer: Justin Keirath

Welche Daten wir verarbeiten

Bei der Nutzung der App werden folgende Daten verarbeitet:

Registrierungsdaten

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • PIN (optional, verschlüsselt gespeichert)
  • Zahlungsinformationen (ausschließlich über Stripe, nicht auf unseren Servern)

Nutzungsdaten (Gesundheitsdaten)

  • Angaben, die Sie selbst eingeben (z. B. zu Zwängen, Gedanken, Expositionsübungen, Protokolle)
  • Fortschritts-Tracking (z. B. absolvierte Übungen, Stimmungsprotokolle)
  • Persönliche Notizen und Reflexionen

Onboarding-Daten (vor Registrierung)

Siehe separater Abschnitt "Onboarding-Fragebogen (vor Registrierung)" unten

Technische Daten

  • IP-Adresse (vollständig anonymisiert: aus IP 11.22.33.44 wird 0.0.0.0)
  • Browserinformationen
  • Geräteinformationen
  • Technische Log-Dateien (zur Fehleranalyse und IT-Sicherheit, enthalten keine Gesundheitsdaten, automatische Löschung nach 90 Tagen)

Wichtiger Hinweis: Die von Ihnen eingegebenen Angaben zu Zwängen und Expositionsübungen können Gesundheitsdaten im Sinne von Art. 9 DSGVO darstellen.

Onboarding-Fragebogen (vor Registrierung)

Bevor Sie ein Nutzerkonto erstellen, bieten wir Ihnen die Möglichkeit, einen anonymisierten Onboarding-Fragebogen auszufüllen. Dieser hilft uns, einen personalisierten 7-Tage-Selbsthilfe-Plan für Sie zu erstellen.

Verarbeitete Daten

Im Rahmen des Onboarding-Fragebogens werden folgende Daten verarbeitet:

  • Angaben zu Symptomen: z. B. Händewaschen, Duschen, Putzen, Desinfektionsmittel-Nutzung, Vermeidungsverhalten
  • Häufigkeit und Dauer: Wie oft und wie lange treten die Zwangshandlungen auf?
  • Auslöser und Trigger: Was löst bei Ihnen den Drang zu Zwangshandlungen aus?
  • Rituale und Verhaltensweisen: Wie laufen Ihre Zwangshandlungen typischerweise ab?
  • Belastungsgrad: Wie stark belasten Sie die Zwänge aktuell?
  • Persönliche Ziele: Was möchten Sie erreichen?
  • E-Mail-Adresse: Im späteren Verlauf des Fragebogens für die Zusendung Ihres Plans

Anonymisierung Ihrer Daten

Ihre Antworten werden zunächst vollständig anonymisiert gespeichert. Eine Verknüpfung zu Ihrer Person findet erst nach erfolgreicher Zahlung statt.

Technische Anonymisierung:

Wir verwenden einen kryptografischen Hash (SHA-256) aus:

  • Ihrer Session-ID
  • Browser-Informationen (User-Agent)
  • Aktuellem Datum

Dieser Hash wird täglich neu generiert und ermöglicht keine Rückverfolgung zu Ihrer Person.

IP-Adress-Anonymisierung:

Ihre IP-Adresse wird anonymisiert, indem das letzte Oktett auf .0 gesetzt wird (z. B. 192.168.1.123 → 192.168.1.0). Bei IPv6-Adressen werden die letzten 64 Bits auf 0 gesetzt. Diese anonymisierte IP-Adresse fließt zusammen mit Ihrer Session-ID und Browser-Informationen in einen kryptografischen Hash (SHA-256) ein, der zur Zuordnung Ihrer Antworten während des Onboarding-Prozesses dient.

E-Mail-Erfassung

Im Verlauf des Fragebogens erfragen wir Ihre E-Mail-Adresse, um Ihnen nach erfolgreicher Zahlung den personalisierten 7-Tage-Plan zuzusenden. Die E-Mail-Adresse wird zu diesem Zeitpunkt noch nicht mit Ihren anonymen Antworten verknüpft.

Verwendung der E-Mail-Adresse:

  • Versand des 7-Tage-Plans nach erfolgreicher Zahlung
  • Vorbefüllung des Stripe-Checkout-Formulars
  • Versand von Login-Daten für die App

Zahlungsabwicklung und Datenübermittlung

Nach Eingabe Ihrer E-Mail-Adresse werden Sie zur Zahlungsabwicklung an Stripe weitergeleitet. Ihre E-Mail-Adresse wird dabei an Stripe Payments Europe, Ltd. übermittelt, um das Checkout-Formular vorzubefüllen (Auftragsverarbeitung gemäß Art. 28 DSGVO).

Verwendung der Daten nach Zahlung

Nach erfolgreicher Zahlung nutzen wir Ihre Onboarding-Antworten ausschließlich zur Erstellung Ihres personalisierten 7-Tage-Plans. Die einzelnen Antworten werden nicht Ihrem Nutzerkonto zugeordnet.

Die Antworten verbleiben in anonymisierter Form in unserer Datenbank und werden ausschließlich für Produktverbesserungen und statistische Auswertungen genutzt.

Nach erfolgreicher Zahlung erhalten Sie automatisch:

  1. Welcome-E-Mail (sofort nach Zahlung):
    • Ihr personalisierter 7-Tage-Plan
    • Login-Daten für die ocd&me-App
    • Erste Übungen und Informationen
    • Zugang zum vollständigen Tool
  2. Tägliche Erinnerungen (7 Tage lang):
    • Jeden Tag um 9:00 Uhr
    • Mit den Aufgaben und Übungen des jeweiligen Tages
    • Abbestellbar über den Link in jeder E-Mail

E-Mail-Versand

Der Versand der E-Mails erfolgt über Amazon SES (AWS Simple Email Service).

  • Server-Standort: eu-central-1 (Frankfurt, Deutschland)
  • Rechtsverhältnis: AWS fungiert als Auftragsverarbeiter (Art. 28 DSGVO)
  • Datensicherheit: Alle E-Mails werden verschlüsselt versendet (TLS)

Sie können die täglichen Erinnerungen jederzeit über den Link "Keine weiteren E-Mails erhalten" in jeder E-Mail abbestellen.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung für die E-Mail-Zusendung
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Zusendung des gekauften 7-Tage-Plans)
  • Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung für die Verarbeitung von Gesundheitsdaten

Die Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten erfolgt über eine separate Checkbox im Onboarding-Fragebogen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherdauer

  • Anonyme Antworten ohne Zahlung: 30 Tage, danach automatische Löschung
  • Anonyme Antworten nach Zahlung: Unbegrenzt in anonymisierter Form für Produktverbesserungen (keine Zuordnung zu Ihrem Account)
  • Abgebrochene Zahlungen: E-Mail-Adresse wird nach 7 Tagen automatisch gelöscht

Ihre Rechte

Sie können Ihre Einwilligung jederzeit widerrufen. Da Ihre Onboarding-Antworten ausschließlich in anonymisierter Form gespeichert werden und keine Zuordnung zu Ihrer Person möglich ist, können diese nicht nachträglich gelöscht werden. Ihr Nutzerkonto und alle dort gespeicherten Daten (z. B. Expositionsübungen, Notizen) werden jedoch unverzüglich gelöscht. Kontaktieren Sie uns unter mail@ocdandme.com.

Zweck der Verarbeitung

Die Daten werden verarbeitet, um Ihnen die Funktionen der App bereitzustellen (Psychoedukation, Selbstreflexion, Planung und Dokumentation von Übungen).

Freiwilligkeit: Die Eingabe von Gesundheitsdaten (z. B. zu Zwängen, Expositionsübungen) ist freiwillig. Sie können die App auch ohne Eingabe persönlicher Gesundheitsdaten nutzen – die informationellen Inhalte (Psychoedukation, Übungsanleitungen) stehen Ihnen weiterhin zur Verfügung.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Registrierung, Nutzung der App)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Missbrauchsverhinderung)
  • Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten)

Die Einwilligung erfolgt bei der Registrierung über eine separate Checkbox. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Datensicherheit

  • Alle Daten werden verschlüsselt (TLS/SSL) übertragen.
  • Gesundheitsdaten werden auf Servern in Deutschland gespeichert.
  • Wir treffen technische und organisatorische Maßnahmen nach dem Stand der Technik, um Ihre Daten zu schützen.

Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über den Dienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe verarbeitet Zahlungsdaten eigenverantwortlich. Details finden Sie in der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

An Stripe übermittelte Daten:

  • E-Mail-Adresse (zur Vorbefüllung des Checkout-Formulars)
  • Zahlungsdaten (werden ausschließlich von Stripe verarbeitet)
  • Metadaten: Anonyme Session-ID, Test-Typ (zur Zuordnung Ihrer Onboarding-Antworten)

Datenübermittlungen außerhalb der EU:

Stripe Payments Europe Ltd. ist in Irland (EU) ansässig und verarbeitet Zahlungsdaten primär innerhalb der Europäischen Union. Als Teil der Stripe Inc. (USA) kann es jedoch zu konzerninternen Datenübermittlungen in Drittländer kommen. Für solche Übermittlungen verwendet Stripe EU-Standardvertragsklauseln gemäß Art. 46 DSGVO sowie zusätzliche technische und organisatorische Schutzmaßnahmen. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wichtig: Ihre Zahlungsdaten (Kreditkartennummer, Kontodaten) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.

Automatisierte Verarbeitung nach Zahlung

Nach erfolgreicher Zahlung über Stripe erhalten wir automatisch eine Benachrichtigung (Webhook). Daraufhin werden folgende automatisierte Schritte ausgeführt:

  1. Plan-Generierung: Ihr personalisierter 7-Tage-Plan wird auf Basis Ihrer anonymen Antworten erstellt
  2. Account-Erstellung: Ihr Nutzerkonto wird automatisch erstellt
  3. Welcome-E-Mail: Sie erhalten eine E-Mail mit Ihrem Plan und Login-Daten
  4. E-Mail-Planung: 7 tägliche Erinnerungs-E-Mails werden geplant (jeweils 9:00 Uhr)

Wichtig: Ihre Onboarding-Antworten werden nach der Plan-Erstellung nicht in Ihrem Nutzerkonto gespeichert. Sie verbleiben ausschließlich in anonymisierter Form für Produktverbesserungen.

Dieser automatisierte Prozess ist erforderlich, um Ihnen den gekauften Service (7-Tage-Plan + 30 Tage App-Zugang) unmittelbar nach der Zahlung bereitzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzgarantie: Die automatisierte Verarbeitung erfolgt ausschließlich auf unseren Servern in Deutschland. Es findet keine Weitergabe Ihrer Gesundheitsdaten an Dritte statt (außer an Auftragsverarbeiter wie AWS für den E-Mail-Versand).

Speicherdauer

Ihre Daten werden so lange gespeichert, wie Sie ein Nutzerkonto haben.

  • Gesundheitsdaten: Werden innerhalb von 30 Tagen nach Löschung Ihres Kontos vollständig gelöscht
  • Technische Log-Dateien: Automatische Löschung nach 90 Tagen
  • Anonymisierte Onboarding-Antworten: Verbleiben in anonymisierter Form für Produktverbesserungen (keine Zuordnung zu Ihrer Person möglich)
  • Abrechnungsdaten: Werden gemäß gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) für 10 Jahre aufbewahrt

Ihre Rechte

Sie haben jederzeit folgende Rechte:

  • Auskunft über die gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf Ihrer Einwilligung in die Verarbeitung von Gesundheitsdaten (Art. 7 Abs. 3 DSGVO)

Kontakt für Ausübung Ihrer Rechte:
E-Mail: mail@ocdandme.com

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de

Widerruf der E-Mail-Einwilligung

Sie können Ihre Einwilligung zur Zusendung von E-Mails jederzeit widerrufen:

  • Über den Abmelde-Link in jeder E-Mail
  • Per E-Mail an mail@ocdandme.com mit dem Betreff "E-Mails abmelden"
  • In Ihren Konto-Einstellungen in der App (falls verfügbar)

Nach dem Widerruf erhalten Sie keine weiteren E-Mails mehr. Dies hat keine Auswirkungen auf Ihren App-Zugang oder bereits erhaltene Inhalte.

Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung und kein Profiling statt.

Impressum | AGB