FörderCheck Gesundheit

Datenschutzerklärung

Stand: 1. Maerz 2026

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

Oliver Strebel-Mark
Emmericher Weg 76a
47574 Goch
E-Mail: support@foerdermittelcheckgesundheit.de

3. Datenerfassung auf dieser Website

Wir erheben und speichern folgende Daten, wenn Sie unseren Service nutzen:

a) Kontodaten

E-Mail-Adresse (bei Registrierung)
Passwort (wird ausschließlich als Hash gespeichert, nie im Klartext)
Zeitpunkt der Registrierung

b) Praxisprofil

Fachrichtung (z. B. Allgemeinmedizin, Innere Medizin)
Bundesland
Postleitzahl
Landkreis (optional)
Praxisstatus (Gründung, Übernahme, bestehende Praxis)
Praxisform (Einzelpraxis, Berufsausübungsgemeinschaft)
Standorttyp (ländlich, urban)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung personalisierter Förderempfehlungen).

c) Nutzungsdaten

Lesezeichen für Förderprogramme
Erinnerungen (optionales Datum pro Lesezeichen)
Themen-Abonnements — Sie können thematische Labels (z. B. Digitalisierung, Nachhaltigkeit) abonnieren, um über neue passende Förderprogramme benachrichtigt zu werden. Gespeichert wird: abonniertes Label und Benachrichtigungspräferenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

d) Zahlungs- und Abonnementdaten

Bei einem kostenpflichtigen Abonnement speichern wir in unserer Datenbank:

Stripe-Kunden-ID und Stripe-Abonnement-ID
Zahlungstyp (Monats- oder Jahresabo)
Abonnement-Status (aktiv, gekündigt, abgelaufen)
Laufzeitende und Kündigungsstatus

Kreditkarten- oder Bankdaten werden nicht bei uns gespeichert, sondern direkt von Stripe verarbeitet (siehe Abschnitt 8). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

e) Benutzerrollen

Für die Zugriffskontrolle speichern wir eine Benutzerrolle (Nutzer, Redakteur oder Administrator). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verwaltung von Zugriffsrechten).

Diese Daten werden ausschließlich zur Bereitstellung des Dienstes verwendet und nicht an Dritte weitergegeben (außer an die unter Punkt 8–14 genannten Auftragsverarbeiter).

f) Warteliste und Feature-Wünsche

Name und E-Mail-Adresse
Praxis- oder Organisationsname (optional)
Angabe, ob Sie Produkt-Neuigkeiten erhalten möchten
Freiwillige Feature-Wünsche oder Feedback

Diese Angaben speichern wir zunächst in unserer Datenbank, um Ihren Eintrag nachzuhalten. Anschließend können die Daten an unser CRM und Lifecycle-Tool übertragen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der strukturierten Planung des Produktstarts).

4. Cookies

Notwendige Cookies: Wir verwenden technisch notwendige Cookies für die Authentifizierung (Supabase Auth Session). Diese Cookies sind für den Betrieb der Website erforderlich und bedürfen keiner Einwilligung (Art. 6 Abs. 1 lit. f DSGVO).

Einwilligungs-Cookie: Ihre Cookie-Präferenz wird im Cookie "fc_cookie_consent" gespeichert (Gültigkeit: 1 Jahr). Mögliche Werte: "all" (alle Cookies) oder "necessary" (nur notwendige Cookies).

5. Bot-Schutz & Sicherheit

a) Cloudflare Turnstile (CAPTCHA)

Bei der Registrierung und Anmeldung setzen wir Cloudflare Turnstile ein, um automatisierte Zugriffe zu erkennen. Dabei wird ein einmaliges Token an Cloudflare übermittelt und geprüft. Es werden keine personenbezogenen Daten dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch). Weitere Informationen: siehe Abschnitt 13.

b) User-Agent-Prüfung

Zum Schutz vor automatisierten Zugriffen prüft unsere Middleware den User-Agent-Header eingehender Anfragen. Diese Prüfung erfolgt ausschließlich in Echtzeit — die User-Agent-Daten werden nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).

6. E-Mail-Benachrichtigungen

Wir versenden transaktionale E-Mails in folgenden Fällen:

Zahlungsbestätigungen und -fehler
Abonnement-Kündigungsbestätigungen
Benachrichtigungen über neue passende Förderprogramme
Erinnerungen an gemerkte Förderprogramme
Änderungen an Ihrer Benutzerrolle

Zum Versand nutzen wir den Dienst Resend (siehe Abschnitt 14). Wir protokollieren den Versand jeder E-Mail (Empfänger, Betreff, Sendezeitpunkt, Zustellstatus) zur Nachvollziehbarkeit und Fehlerbehebung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit).

Wenn Sie sich in unsere Warteliste eintragen, synchronisieren wir Ihre Angaben zusätzlich mit Attio (CRM) und Loops (Lifecycle-E-Mails), damit wir den Pre-Launch steuern und Sie auf Wunsch über Neuigkeiten informieren können. Dabei übermitteln wir mindestens Name, E-Mail-Adresse und den Kontext Ihres Eintrags. Weitere Informationen: Attio Datenschutzerklärung und Loops Datenschutzerklärung.

7. Ihre Rechte

Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die bei uns gespeicherten personenbezogenen Daten zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten jederzeit über Ihr Profil korrigieren.
Recht auf Löschung (Art. 17 DSGVO): Sie können Ihr Konto und alle zugehörigen Daten über Ihr Profil löschen. Ein aktives Stripe-Abonnement wird dabei automatisch gekündigt. Folgende Daten werden bei Kontolöschung entfernt: Kontodaten, Profildaten, Lesezeichen, Abonnementdaten, Label-Abonnements und Benutzerrolle.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können alle Ihre Daten als JSON-Datei über Ihr Profil exportieren. Der Export umfasst: Kontodaten, Profildaten, Lesezeichen und Abonnementinformationen.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

8. Stripe — Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe Ltd. (Dublin, Irland). Stripe verarbeitet Daten innerhalb der EU; es findet kein Drittlandtransfer statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Zahlungsdaten (Kreditkartennummer, Bankdaten) direkt — wir speichern nur die Stripe-Kunden-ID und den Abonnement-Status.

Wir empfangen und protokollieren Webhook-Events von Stripe (z. B. Zahlungsbestätigungen, Abonnement-Änderungen), um Ihren Abonnement-Status aktuell zu halten. Diese Events werden mit Event-ID, Typ, Verarbeitungsstatus und Zeitstempel gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachvollziehbarkeit von Zahlungsvorgängen).

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

9. Vercel — Hosting

Diese Website wird bei Vercel Inc. (San Francisco, USA) gehostet. Die Serverless Functions laufen in Frankfurt (EU), das Edge-Netzwerk ist jedoch global verteilt. Vercel verarbeitet dabei Zugriffsdaten (IP-Adresse, Browser-Daten) gemäß Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Hosting). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs). Weitere Informationen: Vercel Datenschutzerklärung.

10. Pirsch Analytics — Webanalyse

Zur Analyse der Websitenutzung setzen wir Pirsch Analytics ein. Pirsch ist eine datenschutzfreundliche Webanalyse-Lösung, die ohne Cookies arbeitet. Die Erfassung erfolgt serverseitig und beschränkt sich auf technische Request-Daten sowie aufgerufene Seiten und Ereignisse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung). Weitere Informationen: Pirsch Datenschutzhinweise.

11. Supabase — Datenbank & Authentifizierung

Unsere Datenbank und Authentifizierung wird von Supabase Inc. bereitgestellt. Die Datenbank wird in der EU gehostet (AWS eu-west); es findet kein Drittlandtransfer statt. Supabase speichert Ihre Kontodaten (E-Mail, Passwort-Hash), Profildaten, Lesezeichen, Abonnementdaten und Label-Abonnements. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: Supabase Datenschutzerklärung.

12. Sentry — Fehlerüberwachung

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software Inc. dba Sentry, San Francisco, USA). Sentry erfasst Fehlerberichte, Performance-Traces und bei Fehlern auch Session Replays. Die Daten werden ausschließlich in der EU (Frankfurt) verarbeitet; es findet kein Drittlandtransfer statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemstabilität und Fehlerbehebung). Weitere Informationen: Sentry Datenschutzerklärung.

13. Cloudflare Turnstile — Bot-Schutz

Auf unseren Login- und Registrierungsseiten setzen wir Cloudflare Turnstile (Cloudflare Inc., San Francisco, USA) ein. Turnstile analysiert Browser-Signale zur Bot-Erkennung, setzt dabei keine Cookies und erhebt keine personenbezogenen Daten über das technisch Notwendige hinaus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor automatisiertem Missbrauch). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs). Weitere Informationen: Cloudflare Datenschutzerklärung.

14. Resend — E-Mail-Versand

Für den Versand transaktionaler E-Mails (Passwort-Reset, Benachrichtigungen) nutzen wir Resend Inc. Resend verarbeitet dabei Ihre E-Mail-Adresse und die E-Mail-Inhalte. Die Daten werden ausschließlich in der EU (Irland) verarbeitet; es findet kein Drittlandtransfer statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: Resend Datenschutzerklärung.

15. Technische Sicherheitsmaßnahmen

Wir setzen folgende technische Maßnahmen zum Schutz Ihrer Daten ein:

Verschlüsselte Übertragung aller Daten via HTTPS (TLS)
HTTP Strict Transport Security (HSTS) mit Preload
Content Security Policy (CSP) zum Schutz vor Cross-Site-Scripting
Row-Level Security (RLS) in der Datenbank — jeder Nutzer hat nur Zugriff auf seine eigenen Daten
Passwörter werden ausschließlich als kryptografische Hashes gespeichert

16. Aufbewahrungsfristen

Ihre Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

Kontodaten, Profildaten, Lesezeichen, Label-Abonnements: Werden bei Kontolöschung unverzüglich und vollständig gelöscht.
Abonnementdaten: Werden bei Kontolöschung gelöscht. Der zugehörige Stripe-Kunde und ein aktives Abonnement werden bei Stripe automatisch gekündigt.
E-Mail-Versandprotokolle: Werden zur Nachvollziehbarkeit und Fehlerbehebung aufbewahrt.
Stripe-Webhook-Protokolle: Werden zur Nachvollziehbarkeit von Zahlungsvorgängen aufbewahrt.
Zahlungsdaten bei Stripe: Unterliegen den gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) und werden von Stripe entsprechend aufbewahrt.
Einwilligungs-Cookie: Wird nach 1 Jahr automatisch ungültig.