1. Datenschutz auf einen Blick
Die folgenden Hinweise geben einen Überblick darüber, was mit personenbezogenen Daten beim Besuch unserer Websites und der Web-App geschieht. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie dieser Datenschutzerklärung.
2. Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung ist:
JK Digitale Medien GmbH & Co. KG Holbeinstraße 18 45883 Gelsenkirchen, Deutschland
Telefon: +49 209 51959716 E-Mail: mail@ocdandme.com
Vertreten durch die persönlich haftende Gesellschafterin JK Digitale Medien Verwaltungs- und Geschäftsführungsgesellschaft mbH, diese vertreten durch den Geschäftsführer Justin Keirath.
3. Hosting
Unsere Websites werden gehostet bei: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, in einem deutschen Rechenzentrum
Im Rahmen des Hostings werden technische Daten (IP-Adresse, Logfiles) zur Sicherung eines stabilen Betriebs verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
4. Datenerfassung auf unseren Websites
Server-Log-Dateien
Der Provider speichert automatisch in Logfiles: Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage sowie die IP-Adresse. Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Bereitstellung).
Cookies
Unsere Websites und die Web-App verwenden Cookies und ähnliche Technologien. Wir unterscheiden vier Kategorien: notwendige Cookies, Funktionalitäts-Cookies, Analyse-Cookies und Marketing-Cookies. Notwendige Cookies sind für den Betrieb der Website erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Funktionalität) bzw. § 25 Abs. 2 TTDSG. Funktionalitäts-, Analyse- und Marketing-Cookies werden nur nach Ihrer Einwilligung gesetzt; Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG. Einzelheiten zu den eingesetzten Analyse- und Marketing-Diensten finden Sie in Abschnitt 5. Ein Widerruf ist jederzeit über den Cookie-Banner bzw. die Cookie-Einstellungen möglich.
Kontaktformular
Angaben aus dem Kontaktformular werden zur Bearbeitung der Anfrage und möglicher Anschlussfragen gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
OCD-Selbsttest auf der Website
Überblick. Wir bieten einen kostenlosen OCD-Selbsttest an. Die Datenverarbeitung erfolgt unter Beachtung der Datenminimierung durch technische Trennung von Identitäts- und Inhaltsdaten (Zwei-Datenbank-Architektur).
Welche Daten werden verarbeitet?
| Datenart | Zweck | Speicherdauer |
|---|---|---|
| Testantworten | Berechnung des persönlichen Ergebnisses | Max. 24 Stunden nach Bestätigung |
| E-Mail-Adresse (verschlüsselt) | Zustellung des Testergebnisses per Double-Opt-In | Max. 24 Stunden nach Bestätigung |
| IP-Adresse (gehasht) | Missbrauchsschutz, Rate-Limiting, DOI-Nachweis | Max. 24 Stunden bzw. bei Newsletter dauerhaft als Hash |
| Sprache (de/en) | Sprachauswahl für E-Mails | Wie die zugehörigen Daten |
Double-Opt-In-Verfahren. Zum Erhalt des Testergebnisses muss die E-Mail-Adresse bestätigt werden. Gespeichert werden: verschlüsselte E-Mail-Adresse (AES-256-GCM), Zeitpunkt der Einwilligung, Zeitpunkt der Bestätigung sowie die gehashte IP-Adresse als Nachweis. Nach erfolgreicher Bestätigung erhält der Nutzer einen zeitlich begrenzten Link zum Ergebnis. Testantworten werden niemals mit der E-Mail-Adresse verknüpft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Automatische Löschung. Aus Datenschutzgründen werden alle mit dem Test verbundenen Daten (Testantworten und berechnetes Ergebnis, E-Mail-Adresse, Verifizierungsnachweis) automatisch 24 Stunden nach Bestätigung unwiderruflich gelöscht. Eine Wiederherstellung ist technisch nicht möglich.
Newsletter (optional). Während der E-Mail-Eingabe kann freiwillig eingewilligt werden, gelegentlich hilfreiche Informationen zu Zwangsstörungen per E-Mail zu erhalten. Diese Einwilligung ist vollständig optional und hat keinen Einfluss auf die Zustellung des Testergebnisses (keine Kopplung gemäß Art. 7 Abs. 4 DSGVO). Bei Einwilligung werden gespeichert: verschlüsselte E-Mail-Adresse, Sprachpräferenz, Zeitpunkt der DOI-Bestätigung sowie die gehashte IP-Adresse als Einwilligungsnachweis. Diese Daten werden nicht automatisch gelöscht, da sie für den Newsletter-Versand benötigt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Der Widerruf ist jederzeit möglich (Abmelde-Link in jeder E-Mail oder per E-Mail an mail@ocdandme.com). Nach Widerruf wird die E-Mail-Adresse für den Newsletter-Versand gesperrt; der Einwilligungsnachweis wird gemäß Dokumentationspflichten noch 3 Jahre aufbewahrt.
Gesundheitsdaten. Der OCD-Selbsttest erfragt Informationen zu psychischen Symptomen, die als Gesundheitsdaten im Sinne von Art. 9 DSGVO gelten können. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), erteilt durch Absenden des Tests. Besondere Schutzmaßnahmen: technische Trennung von Identitäts- und Inhaltsdaten, Verschlüsselung aller personenbezogenen Daten, automatische Löschung nach 24 Stunden, kein Zugriff durch Dritte.
Empfänger der Daten. Für den E-Mail-Versand nutzen wir SMTP-Dienste des Hosting-Anbieters ALL-INKL.COM. Es besteht ein Vertrag zur Auftragsverarbeitung. Eine Übermittlung in Drittländer findet nicht statt.
Newsletter (Brevo)
Für den Newsletter-Versand nutzen wir Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin). Die Anmeldung erfolgt im Double-Opt-In-Verfahren. Die Daten werden ausschließlich zum Newsletter-Versand genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Mit Brevo besteht ein Auftragsverarbeitungsvertrag.
5. Webanalyse und Marketing
5.0 Grundsätze unseres Trackings (besonderer Schutz unserer Zielgruppe)
ocd&me richtet sich an Menschen mit Zwangsstörungen. Informationen über eine (mögliche) psychische Erkrankung sind Gesundheitsdaten und damit besonders sensible Daten im Sinne von Art. 9 DSGVO. Wir haben unser Analyse- und Werbe-Tracking deshalb bewusst so gestaltet, dass keine solchen Daten in Werbenetzwerke gelangen:
- Keine Gesundheits- oder Sonderkategoriendaten an Werbenetzwerke. An Google und Meta werden ausschließlich generische, gesundheits-neutrale Ereignisse (z. B. „Registrierung abgeschlossen") übermittelt. Es werden niemals Symptom-, Diagnose- oder Testdaten, Zwangsinhalte oder vergleichbare Angaben übertragen.
- Keine personenbezogenen Klartext-Daten an Werbenetzwerke. Es werden keine E-Mail-Adressen, Namen oder sonstigen unmittelbar identifizierenden Daten an Google oder Meta weitergegeben („Advanced Matching" bzw. „Enhanced Conversions" sind deaktiviert). Etwaige sensible Felder werden serverseitig entfernt, bevor Daten weitergeleitet werden.
- Sensible Inhalte sind vom Marketing-Tracking ausgenommen. Der OCD-Selbsttest sowie symptom- und themenbezogene Inhaltsseiten werden gezielt vom Werbe-/Marketing-Tracking ausgeschlossen. Werbe-Tags werden nur auf gesundheits-neutralen Funnel-Seiten (z. B. Startseite, Registrierungs-Bestätigungsseite) ausgelöst.
- Einwilligung als Grundlage. Mit Ausnahme der unter „Google Consent Mode v2" beschriebenen anonymen, cookielosen Signale werden Analyse- und Marketing-Dienste erst geladen bzw. aktiviert, nachdem Sie über unseren Cookie-Banner eingewilligt haben.
5.1 Einwilligungsverwaltung (Cookie-Consent-Tool)
Zur Verwaltung Ihrer Einwilligungen setzen wir das Tool CookieConsent (Open-Source-Lösung, lokal von unserem Server ausgeliefert) ein. Beim ersten Besuch erhalten Sie einen Cookie-Banner, über den Sie den Einsatz der Kategorien Funktionalität, Analyse und Marketing getrennt zulassen oder ablehnen können. Technisch notwendige Cookies sind immer aktiv und nicht abwählbar.
Ihre Auswahl wird in einem Cookie (cc_cookie) auf Ihrem Endgerät gespeichert, damit der Banner nicht bei jedem Seitenaufruf erneut erscheint. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen (Link im Banner bzw. in der Fußzeile) ändern oder widerrufen. Rechtsgrundlage für den Einsatz des Consent-Tools ist die Erfüllung unserer rechtlichen Verpflichtung zur Einwilligungseinholung (Art. 6 Abs. 1 lit. c DSGVO) sowie unser berechtigtes Interesse an einer rechtskonformen Steuerung von Cookies (Art. 6 Abs. 1 lit. f DSGVO).
5.2 Google Tag Manager
Zur Verwaltung und zentralen Auslieferung unserer Tracking- und Marketing-Tags nutzen wir den Google Tag Manager (GTM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Google Tag Manager ist selbst ein „Tag-Verwaltungssystem": Er setzt keine eigenen Cookies und erhebt selbst keine personenbezogenen Daten, sondern steuert das Ausspielen der nachfolgend beschriebenen Dienste. Die über den Tag Manager eingebundenen Dienste werden erst nach Ihrer Einwilligung aktiv; bis dahin gelten die im Google Consent Mode hinterlegten „denied"-Standardeinstellungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.
5.3 Google Consent Mode v2
Wir setzen den Google Consent Mode v2 im erweiterten Modus („advanced") ein. Dieser steuert, ob und in welchem Umfang die Google-Dienste auf Cookies und Identifikatoren zugreifen dürfen. Solange Sie nicht eingewilligt haben, sind alle einwilligungspflichtigen Speicher- und Werbefunktionen standardmäßig deaktiviert („denied").
In diesem Zustand sendet der Consent Mode an Google anonyme, cookielose Signale (sog. Consent-Pings) – also ohne das Setzen von Cookies und ohne Identifikatoren, mit denen Sie persönlich identifiziert werden könnten. Diese Signale dienen ausschließlich der statistischen, modellierten Schätzung von Conversions und Reichweiten. Erst nach Ihrer Einwilligung in die Kategorie „Marketing" bzw. „Analyse" werden die jeweiligen Funktionen (inkl. Cookies) vollständig aktiviert. Rechtsgrundlage für die cookielosen Pings ist unser berechtigtes Interesse an einer datenschonenden, aggregierten Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO); für alle einwilligungspflichtigen Funktionen Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.
5.4 Google Analytics 4 (server-seitig ausgeliefert)
Unsere Websites nutzen Google Analytics 4 (Mess-ID G-DB1V25JRB4; Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics dient der Analyse des Nutzungsverhaltens, um unser Angebot zu verbessern. Dabei werden u. a. gekürzte/anonymisierte Geräte- und Nutzungsdaten sowie eine pseudonyme Nutzerkennung verarbeitet.
Die Auslieferung erfolgt server-seitig über unsere eigene first-party Subdomain sst.ocdandme.com (siehe Abschnitt 5.7). Dadurch werden Messdaten zunächst auf einem von uns kontrollierten, in der EU gehosteten Server verarbeitet, bevor sie – in reduziertem Umfang – an Google weitergeleitet werden. An Werbenetzwerke werden ausschließlich gesundheits-neutrale Ereignisse übermittelt; Gesundheits-/Sonderkategoriendaten oder Klartext-Identifikatoren werden nicht übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG (Einwilligung über den Cookie-Banner, Kategorie „Analyse"). Eine Datenübermittlung in die USA kann stattfinden (siehe Abschnitt 5.8).
5.5 Google Ads (Conversion-Tracking & Remarketing)
Zur Erfolgsmessung unserer Werbeanzeigen und für Remarketing nutzen wir Google Ads (Conversion-ID AW-18223728613; Anbieter: Google Ireland Limited bzw. Google LLC). Wenn Sie über eine unserer Anzeigen auf die Website gelangen, kann Google ein Cookie setzen. Damit lässt sich messen, ob eine gesundheits-neutrale Aktion (z. B. eine Registrierung) erfolgt ist, und es können – nach Einwilligung – passende Werbeanzeigen ausgespielt werden.
Es werden ausschließlich generische Conversion-Ereignisse übermittelt; eine Übertragung von Gesundheits-/Sonderkategoriendaten oder von Klartext-Identifikatoren findet nicht statt. „Enhanced Conversions" sind deaktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG (Einwilligung, Kategorie „Marketing"). Eine Datenübermittlung in die USA kann stattfinden (siehe Abschnitt 5.8).
5.6 Meta Pixel und Meta Conversions API (Facebook/Instagram)
Für die Messung und Optimierung unserer Werbung auf Facebook und Instagram nutzen wir den Meta Pixel sowie die Meta Conversions API (CAPI) (Pixel-/Dataset-ID 1500116794816295; Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland).
Die Datenerhebung erfolgt sowohl browserseitig (Meta Pixel) als auch serverseitig (Conversions API über unseren Server, siehe Abschnitt 5.7). Beide Wege übermitteln dasselbe Ereignis mit einer gemeinsamen Ereignis-Kennung, damit Meta doppelte Übermittlungen erkennt und entfernt („Deduplizierung"). Es werden ausschließlich gesundheits-neutrale Ereignisse übertragen; „Advanced Matching" ist deaktiviert, sodass keine Klartext-Identifikatoren (z. B. E-Mail-Adressen) und keine Gesundheits-/Sonderkategoriendaten an Meta übermittelt werden. Die Werbe-Tags von Meta werden ausschließlich auf gesundheits-neutralen Funnel-Seiten ausgelöst, nicht auf dem Selbsttest oder symptombezogenen Inhaltsseiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG (Einwilligung, Kategorie „Marketing"). Hinsichtlich der Verarbeitung durch Meta gehen wir von einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO für die Erhebung und Übermittlung der Daten aus. Eine Datenübermittlung in die USA kann stattfinden (siehe Abschnitt 5.8). Weitere Informationen finden Sie in der Datenrichtlinie von Meta: https://www.facebook.com/privacy/policy.
5.7 Server-Side-Tagging über Addingwell (sst.ocdandme.com)
Die unter 5.4 bis 5.6 genannten Dienste werden – soweit möglich – über ein server-seitiges Tag-Management verarbeitet und an die jeweiligen Anbieter weitergeleitet. Hierfür nutzen wir den Dienst Addingwell (Anbieter: Addingwell, Avenue de Bretagne 165, 59000 Lille, Frankreich). Die Verarbeitung läuft über unsere eigene first-party Subdomain sst.ocdandme.com, deren Server-Infrastruktur in der EU gehostet wird.
Vorteil dieser Architektur: Tracking-Daten werden zunächst auf einem von uns kontrollierten Server in der EU entgegengenommen, dort verarbeitet und bereinigt (insbesondere werden sensible Felder entfernt), bevor reduzierte, gesundheits-neutrale Daten an Google bzw. Meta weitergeleitet werden. In diesem Zusammenhang kann ein server-seitig gesetztes first-party Cookie (FPID) verwendet werden. Soweit Addingwell hierbei als Auftragsverarbeiter tätig wird, erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Rechtsgrundlage richtet sich nach dem jeweils weitergeleiteten Dienst (in der Regel Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).
5.8 Datenübermittlung in die USA (Drittlandtransfer)
Bei der Nutzung von Google- und Meta-Diensten kann es zu einer Übermittlung personenbezogener Daten an Google LLC bzw. Meta Platforms Inc. in den USA kommen. Beide Anbieter sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert, das ein angemessenes Datenschutzniveau gewährleisten soll. Ergänzend bzw. soweit erforderlich stützen wir die Übermittlung auf Standardvertragsklauseln (SCCs) der EU-Kommission. Trotz dieser Maßnahmen kann bei einer Übermittlung in die USA nicht ausgeschlossen werden, dass US-Behörden zu Überwachungszwecken auf Daten zugreifen. Mit Ihrer Einwilligung in die entsprechenden Cookie-Kategorien willigen Sie zugleich in eine mögliche Datenübermittlung in die USA gemäß Art. 49 Abs. 1 lit. a DSGVO ein.
5.9 Eingesetzte Cookies und Technologien (Auswahl)
Nach Ihrer Einwilligung können insbesondere folgende Cookies bzw. Technologien zum Einsatz kommen:
| Name | Anbieter | Zweck | Kategorie | Speicherdauer (max.) |
|---|---|---|---|---|
cc_cookie |
ocd&me | Speichert Ihre Cookie-Einwilligung | Notwendig | 6 Monate (182 Tage) |
_ga, _ga_* |
Analyse/Statistik (Unterscheidung von Besuchern) | Analyse | 2 Jahre | |
_gcl_* |
Conversion-Messung Google Ads | Marketing | 90 Tage | |
FPID |
ocd&me (server-seitig) | First-party Kennung für server-seitiges Tagging | Analyse/Marketing | 2 Jahre |
_fbp |
Meta | Identifikation des Browsers für Werbezwecke | Marketing | 90 Tage |
_fbc |
Meta | Speichert Klick-Kennung aus Meta-Anzeigen | Marketing | 90 Tage |
Die angegebenen Speicherdauern sind Maximalwerte; tatsächlich können Cookies früher ablaufen oder von Ihnen jederzeit über die Cookie-Einstellungen bzw. Ihren Browser gelöscht werden. Für die anbieterseitigen Cookies (_ga, _gcl_*, _fbp, _fbc) sind im Zweifel die jeweils aktuellen Angaben der Anbieter maßgeblich.
6. Nutzung der ocd&me-Web-App (app.ocdandme.com)
Bei der Nutzung der App werden zusätzlich folgende Daten verarbeitet:
- Registrierungsdaten (E-Mail-Adresse; bei Premium ggf. Zahlungsinformationen)
- Inhaltsdaten, die der Nutzer selbst eingibt (z. B. Angaben zu Zwangsgedanken, Expositionsübungen, Protokolle)
Da es sich hierbei um Gesundheitsdaten im Sinne von Art. 9 DSGVO handeln kann, erfolgt die Verarbeitung nur auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Diese Einwilligung kann jederzeit in den Kontoeinstellungen mit Wirkung für die Zukunft widerrufen werden. Die Löschung der Gesundheitsdaten erfolgt, sobald das Nutzerkonto gelöscht oder eine Löschung angefordert wird, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe verarbeitet Zahlungsdaten (z. B. Kreditkartennummer, Bankverbindung). Eine Datenübertragung in die USA kann stattfinden (Standardvertragsklauseln). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Gesundheitsdaten in der App können jederzeit vom Nutzer gelöscht werden.
9. Ihre Rechte
Nach der DSGVO haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Ihnen steht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4, 40213 Düsseldorf https://www.ldi.nrw.de
10. Datensicherheit
Unsere Websites und die App nutzen eine SSL-/TLS-Verschlüsselung. Eingegebene Daten werden nur verschlüsselt übertragen.
11. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO findet nicht statt.