Rechtliches · Stand 21. April 2026

Datenschutz — kurz & ehrlich.

DarmKompass verarbeitet sehr intime Gesundheitsdaten. Wir sammeln das Minimum, das fürs Symptom-Tracking nötig ist — kein Ad-Tech, kein Verkaufen, keine versteckten Sharing-Mechanismen. Diese Erklärung informiert dich gemäß Art. 13 und 14 DSGVO.

1 · Verantwortliche Stelle

clearTime GmbH

Hechtstraße 16
81825 München, Deutschland
[email protected]
+49 89 / 231 402 60

Vollständige Angaben im Impressum.

2 · Datenschutzbeauftragter

Kein bestellter DSB

Die clearTime GmbH ist nach § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Anfragen zum Datenschutz richte bitte an [email protected].

3 · Erhobene Daten

Kategorien

  • E-Mail-Adresse (Login per Magic-Link oder Google)
  • Symptom-, Trigger- und Check-in-Einträge
  • Profilangaben (Name, Sprache, Ziel, Fokus)
  • Push-Endpoints (nur bei aktivierten Erinnerungen)
  • Technische Ereignisdaten: IP-Hash, Ländercode, User-Agent, Pfad
4 · Rechtsgrundlagen

DSGVO

  • Art. 6 Abs. 1 lit. b — Vertragserfüllung (Account, Tracking)
  • Art. 6 Abs. 1 lit. f — berechtigtes Interesse (Sicherheit, Betrieb)
  • Art. 6 Abs. 1 lit. a — Einwilligung (Google Sign-In, Push, Share-Links)
  • Art. 9 Abs. 2 lit. a — ausdrückliche Einwilligung (Gesundheitsdaten)
5 · Google Sign-In (OAuth 2.0)

Was beim Login mit Google passiert

Wenn du „Mit Google fortfahren" wählst, stellt dein Browser eine Verbindung zu Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) her. DarmKompass fordert ausschließlich die Scopes openid, email und profile an. Es wird kein Zugriff auf Gmail, Kalender, Drive, Kontakte oder andere Google-Dienste angefordert; wir senden keine Daten an Google zurück; Google-Daten werden nicht für Werbung, KI-Training oder Analytics verwendet. Bei Account-Löschung wird auch die OAuth-Bindung entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den Google-Button). Widerruf jederzeit über myaccount.google.com/permissions.

6 · Cookies & Local Storage

TTDSG § 25 Abs. 2 Nr. 2

Wir speichern nur technisch unbedingt erforderliche Informationen auf deinem Endgerät: Auth-Session, Sprache, UI-Präferenzen. Da keine Tracker, keine Werbe-Cookies und keine Drittanbieter-Dienste zu nicht-notwendigen Zwecken eingesetzt werden, ist nach TTDSG § 25 Abs. 2 Nr. 2 keine Einwilligung erforderlich — daher gibt es auch kein Cookie-Banner.

7 · Web-Push-Erinnerungen

Opt-in

Wenn du Erinnerungen aktivierst, speichern wir deinen Push-Endpoint und die Browser-Schlüssel. Es werden ausschließlich deine eigenen Erinnerungstexte gesendet — keine Marketing-Nachrichten. Deaktivierung in Einstellungen → Erinnerungen entfernt den Endpoint sofort.

8 · Arzt-Share-Links

Opt-in

Du kannst einen zeitlich befristeten, token-basierten Link erzeugen, um einen Auszug deiner Daten mit deiner Ärztin / deinem Arzt zu teilen. Der Link läuft nach gewählter Frist ab und kann jederzeit widerrufen werden. Zugriffe werden gezählt, aber nicht mit IP oder Identität verknüpft.

9 · Auftragsverarbeitung

Empfängerkategorien

Deine Daten werden an folgende, vertraglich nach Art. 28 DSGVO gebundene Dienstleister weitergegeben — ausschließlich zur Erbringung des Dienstes und nicht zu eigenen Zwecken:

  • Supabase Inc.— Datenbank & Authentifizierung (Hosting in der EU)
  • Cloudflare, Inc. — Edge-Proxy, DDoS-Schutz, DNS (DPF-zertifiziert)
  • Google Ireland Limited — Google Sign-In (nur bei Opt-in, DPF-zertifiziert)
  • webgo GmbH & Co. KG — E-Mail-Versand (Deutschland)

Drittlandtransfers (Cloudflare, Google) basieren auf dem EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO.

10 · Speicherdauer

Wie lange wir speichern

  • Tracking-Einträge: bis zur Löschung durch dich oder Account-Löschung
  • Account-Stammdaten: bis Widerruf
  • Auth-Logs: 90 Tage
  • Anwendungs-Events: 90 Tage, danach automatische Löschung
  • Push-Endpoints: bis Deaktivierung durch dich
  • Share-Links: bis Ablauf oder Widerruf
11 · Sicherheit

Technische Maßnahmen

  • Transportverschlüsselung (TLS 1.3) auf allen Endpunkten
  • HSTS mit Preload
  • Row-Level Security in der Datenbank
  • IP-Hashing mit tagesrotierendem Salt (SHA-256)
  • Keine Passwörter — nur Magic-Link oder OAuth
12 · Automatisierte Entscheidungen

Art. 22 DSGVO

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Alle Auswertungen werden nur für dich sichtbar aufbereitet und ersetzen keine ärztliche Beurteilung.

13 · Deine Rechte

Art. 15–22 & 77 DSGVO

  • Auskunft (Art. 15) · Berichtigung (Art. 16) · Löschung (Art. 17)
  • Einschränkung (Art. 18) · Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21) · Widerruf erteilter Einwilligungen jederzeit
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77) — zuständig:
    Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach

Export und vollständige Löschung deiner Daten findest du in der App unter Einstellungen → Daten — 1 Klick, keine Rückfragen.

14 · Was wir nicht tun

Klare Grenzen

  • Kein Google Analytics, kein Meta-Pixel, kein TikTok, kein Hotjar
  • Keine Werbenetzwerke, kein Retargeting, kein Affiliate-Tracking
  • Kein Verkauf oder Weitergabe deiner Gesundheitsdaten
  • Kein Training von KI-Modellen auf deinen Daten
  • Keine versteckten Sharing- oder Social-Plug-ins
15 · Änderungen dieser Erklärung

Aktualisierung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Auftragsverarbeiter oder Rechtslage ändern. Die jeweils aktuelle Version liegt unter dieser URL; wesentliche Änderungen kündigen wir im Produkt an. Stand dieser Fassung: 21. April 2026.