Datenschutzerklärung

Stand: Juni 2026 · DSGVO-konform

📋 Kurzfassung: Wir speichern nur, was wir brauchen. Deine Daten werden ausschließlich in der EU oder mit EU-Standardvertragsklauseln verarbeitet. Wir verkaufen keine Daten und nutzen kein Tracking für Werbung.

1. Verantwortlicher

Name	Kevin Roders
Adresse	Moltkestr. 28, 40477 Düsseldorf
E-Mail	datenschutz@docogo.de

2. Welche Daten wir erheben

2.1 Kontodaten (bei Registrierung)

E-Mail-Adresse — für Anmeldung und E-Mail-Kommunikation
Passwort — gespeichert als bcrypt-Hash, nie im Klartext
Google-Konto-ID — bei Anmeldung per Google Sign-In (statt Passwort)
Zeitstempel der Registrierung und letzten Anmeldung

2.2 Gesundheitsdaten (freiwillig)

Symptomeinträge — von dir eingegebene Beschwerden zur KI-Analyse
Familienprofile — falls du für Familienmitglieder suchst
Gesundheitsbedenken — können bei der Arztsuche angegeben werden

Gesundheitsdaten sind besonders schutzwürdig (Art. 9 DSGVO). Du kannst jederzeit alle Symptomeinträge in den App-Einstellungen löschen.

2.3 Nutzungsdaten

Suchanfragen (Arztname, Fachrichtung, Ort) — für Cache und Statistiken
Terminanfragen und Buchungshistorie
IP-Adresse — temporär für Sicherheits- und Rate-Limiting-Zwecke
Browser und Betriebssystem (User-Agent)

3. Cookies und lokaler Speicher

3.1 Unbedingt erforderlich

Session-Token — im localStorage des Browsers gespeichert, kein Cookie; wird bei Abmeldung gelöscht
Einwilligungsstatus — speichert deine Cookie-Entscheidung lokal

3.2 Cloudflare Turnstile (Bot-Schutz)

Zum Schutz der Anmeldung und Registrierung vor automatisierten Anfragen setzen wir Cloudflare Turnstile ein. Dabei können technisch notwendige Cookies gesetzt werden. Turnstile analysiert das Browser-Verhalten diskret ohne für Nutzer sichtbare Rätsel.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA
Datenübermittlung: USA (EU-US Data Privacy Framework zertifiziert)
Zweck: Bot-Erkennung, Schutz vor Brute-Force-Angriffen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit)

3.3 Analytik (optional, mit Einwilligung)

Mit deiner Einwilligung erfassen wir anonymisiert, welche Funktionen genutzt werden (z. B. Seitenaufrufe, Suchhäufigkeit). Keine personenbezogenen Daten, keine Weitergabe an Dritte. Du kannst die Einwilligung jederzeit in den App-Einstellungen widerrufen.

3.4 Cookie- und Speicherübersicht

Name / Speicher	Zweck	Dauer	Anbieter
_gcl_au	AdSense-Werbewirkung und Anzeigenmessung nach Einwilligung	bis zu 3 Monate	Google Ireland Ltd.
Google AdSense / IDE, ANID, NID	Auslieferung, Begrenzung und Messung von Werbung nach Einwilligung	je nach Cookie bis zu 13 Monate	Google Ireland Ltd. / Google LLC
cf_clearance / Turnstile-Prüfdaten	Bot-Schutz und Sicherheitsprüfung bei Anmeldung oder Registrierung	sessionbasiert bis mehrere Monate	Cloudflare, Inc.
docogo_token (localStorage)	Angemeldet bleiben; kein Cookie	bis Logout oder Ablauf des Tokens	docogo
docogo_consent_v2, docogo_cookie_consent (localStorage)	Speicherung deiner Datenschutz- und Werbeeinwilligung; kein Cookie	bis Widerruf oder Löschen des Browserspeichers	docogo

4. Drittanbieter und Datenverarbeitung

HOSTING

Microsoft Azure

Die gesamte App (Backend, Container) wird auf Microsoft Azure in der Region Germany West Central (Frankfurt) betrieben. Deine Daten verlassen die EU dabei nicht.

Anbieter	Microsoft Corporation, Redmond, USA
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz	Microsoft Privacy Statement

DATENBANK

Supabase

Alle Nutzerdaten (Konten, Buchungen, Symptomeinträge) werden in einer PostgreSQL-Datenbank bei Supabase gespeichert.

Anbieter	Supabase Inc., San Francisco, USA
Datenspeicherung	EU (Frankfurt/AWS eu-central-1)
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO, EU-Standardvertragsklauseln
Datenschutz	supabase.com/privacy

ARZTSUCHE

Google Places API

Für die Arztsuche werden deine Suchanfragen (Suchbegriff + Standort) an die Google Places API übermittelt. Google gibt keine personenbezogenen Informationen zurück — nur öffentliche Arztdaten (Name, Adresse, Öffnungszeiten, Bewertungen).

Anbieter	Google LLC, Mountain View, USA
Übermittlung	USA (EU-US Data Privacy Framework)
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

ANMELDUNG

Google Sign-In

Optional kannst du dich mit deinem Google-Konto anmelden. In diesem Fall übermittelt Google deine E-Mail-Adresse und Google-ID an uns. Kein Zugriff auf andere Google-Daten.

Anbieter	Google LLC, Mountain View, USA
Rechtsgrundlage	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

KI-ANALYSE

Anthropic Claude

Für die KI-basierte Symptomanalyse und Empfehlung passender Facharztrichtungen werden Symptombeschreibungen an Anthropic Claude übermittelt. Die Daten werden nicht für das Training von KI-Modellen verwendet. Es werden keine personenbezogenen Identifikatoren übermittelt.

Anbieter	Anthropic, PBC, San Francisco, USA
Zweck	Fachrichtungsempfehlung basierend auf Symptomen
Rechtsgrundlage	Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
Datenschutz	anthropic.com/privacy

KI-generierte Inhalte

docogo kennzeichnet KI-generierte Symptomanalysen und Fachrichtungsempfehlungen transparent an der Stelle, an der sie angezeigt werden. Gemäß Art. 13 EU AI Act informieren wir dich darüber, wenn Inhalte durch ein KI-System erzeugt oder unterstützt wurden. KI-generierte Inhalte ersetzen keine ärztliche Untersuchung, Diagnose oder Behandlung; im Notfall ist 112 zu rufen.

E-MAIL

SendGrid / Twilio

Transaktionale E-Mails (E-Mail-Verifizierung, Terminbestätigungen, Passwort-Reset) werden über SendGrid versendet. SendGrid erhält nur die Empfänger-E-Mail-Adresse und den E-Mail-Inhalt.

Anbieter	Twilio Inc. / SendGrid, San Francisco, USA
Zweck	Kontobestätigung, Transaktions-E-Mails
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz	twilio.com/legal/privacy

ZAHLUNGEN

Stripe

Die Verarbeitung von Premium-Abonnements und Zahlungen erfolgt ausschließlich über Stripe. Wir speichern keine Zahlungsdaten (Kreditkartennummern etc.) auf unseren Servern. Stripe verarbeitet alle Zahlungsinformationen direkt.

Anbieter	Stripe, Inc., San Francisco, USA / Stripe Payments Europe, Dublin
Zweck	Zahlungsabwicklung für Premium-Abonnements
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz	stripe.com/de/privacy

BOT-SCHUTZ

Cloudflare Turnstile

Zum Schutz der Registrierung und Anmeldung vor automatisierten Angriffen setzen wir Cloudflare Turnstile ein. Dabei werden Anfragen technisch analysiert (Browser-Fingerprint, Netzwerkdaten) und eine Challenge abgefragt. Es findet kein herkömmliches CAPTCHA statt.

Anbieter	Cloudflare, Inc., San Francisco, USA
Zweck	Bot-Abwehr, Schutz vor Brute-Force und Spam-Registrierungen
Rechtsgrundlage	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Datenschutz	cloudflare.com/privacypolicy

5. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Analytik, Google Sign-In)
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Kontoführung, Suche, Buchungen)
Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheit, Bot-Schutz, Rate-Limiting)
Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung für Gesundheitsdaten (Symptomanalyse)

6. Speicherdauer

Kontodaten — bis zur Löschung des Kontos, danach 30 Tage Backup-Retention
Symptomeinträge — bis zur manuellen Löschung oder Kontoschließung
Buchungshistorie — 3 Jahre (handelsrechtliche Aufbewahrungspflicht)
Suchanfragen-Cache — 24 Stunden, danach automatisch gelöscht
IP-Adressen für Rate-Limiting — maximal 15 Minuten im Arbeitsspeicher, nicht persistent
Fehlerprotokolle — 30 Tage

7. Deine Rechte

Du hast folgende Rechte gemäß DSGVO:

Auskunft (Art. 15) — Welche Daten haben wir von dir?
Berichtigung (Art. 16) — Falsche Daten korrigieren lassen
Löschung (Art. 17) — Konto und alle Daten löschen lassen
Einschränkung (Art. 18) — Verarbeitung einschränken
Datenübertragbarkeit (Art. 20) — Daten im maschinenlesbaren Format erhalten
Widerspruch (Art. 21) — Gegen Verarbeitungen auf Basis berechtigter Interessen
Widerruf — Einwilligungen jederzeit widerrufen (App-Einstellungen)

Anfragen richtest du an: datenschutz@docogo.de

Du hast außerdem das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, ldi.nrw.de

8. Datensicherheit

Alle Verbindungen zur App sind TLS-verschlüsselt (HTTPS). Passwörter werden mit bcrypt gehasht. Datenbanken sind nicht öffentlich zugänglich. Der Zugang erfolgt ausschließlich über verschlüsselte Verbindungen mit Service-Keys.

9. Kinder

Unsere App richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren.

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version ist stets unter app.docogo.de/datenschutz abrufbar.