Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der DSGVO ist:

Cock2Go ist ein mobiler Getränkelieferdienst. Fahrradkuriere tragen Inventar mit sich und liefern Getränke direkt zum Kunden. Bestellungen erfolgen über die Cock2Go App. Cock2Go agiert als Händler: Wir kaufen Waren ein, verkaufen sie weiter und stellen Rechnungen aus.

2. Welche Daten wir verarbeiten und warum

2.1 Registrierung und Nutzerkonto

Für die Nutzung der App benötigen wir Ihren Vornamen, Nachnamen und Ihre E-Mail-Adresse. Diese Daten sind erforderlich, um Ihr Konto zu verwalten und Ihnen Rechnungen zustellen zu können. Bei alkoholischen Produkten benötigen wir zusätzlich Ihr Geburtsdatum zur Altersverifikation: Bier und Wein dürfen ab 16 Jahren erworben werden, Spirituosen und hochprozentige Mischgetränke erst ab 18 Jahren (§ 9 JuSchG).

Sie können sich per E-Mail (Einmalcode/OTP), SMS-Code, Apple Sign-In oder Google Sign-In anmelden. Es gibt kein klassisches Passwort. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Bestellungen und Zahlungen

Bei jeder Bestellung speichern wir die bestellten Produkte, den Preis, Ihren Lieferstandort sowie Zeitpunkt und Status der Bestellung. Diese Daten sind zur Durchführung der Lieferung und für die gesetzlich vorgeschriebene Rechnungsstellung erforderlich.

Zahlungen werden über Stripe abgewickelt. Wir speichern keine vollständigen Kreditkartennummern. Rechnungsrelevante Bestelldaten bewahren wir aus steuerrechtlichen Gründen zehn Jahre auf (§ 147 AO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflicht).

2.3 Standortdaten

Ihr Standort ist für den Betrieb von Cock2Go unverzichtbar. Ohne Standortangabe kann die Lieferung nicht durchgeführt werden. Die Verarbeitung erfolgt auf Grundlage des Liefervertrags (Art. 6 Abs. 1 lit. b DSGVO). Wir speichern keinen Standortverlauf und erstellen keine Bewegungsprofile.

Lieferkoordinate: Beim Checkout wird einmalig Ihr aktueller GPS-Standort als Lieferadresse erfasst und mit der Bestellung gespeichert. Bevor wir Ihren Standort erfassen, werden Sie in der App darüber informiert. Die GPS-Koordinaten werden nach Abschluss der Bestellung anonymisiert; aus steuerrechtlichen Gründen bleibt die Rechnungsnummer und der Betrag erhalten.

Live-Tracking während der Lieferung: Nach erfolgreicher Bezahlung wird Ihr Standort automatisch mit dem zugewiesenen Fahrer geteilt, damit dieser Sie direkt finden kann. Das Tracking ist ausschließlich auf den Vordergrund beschränkt – es findet kein Hintergrund-Tracking statt. Sie können das Tracking jederzeit über den Button „Deaktivieren" in der App beenden. Bei Abschluss oder Stornierung der Bestellung stoppt das Tracking automatisch. Ihr Live-Standort wird sofort nach Bestellabschluss gelöscht.

Fahrer-GPS: Unsere Fahrradkuriere teilen ihren Standort während aktiver Schichten. Es wird ausschließlich der aktuelle Standort gespeichert – kein Verlauf. Kunden sehen den Fahrer auf der Karte; nach Ende der Schicht ist kein Standort mehr sichtbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag).

Stadtbestimmung: Um Ihnen verfügbare Produkte und Fahrer anzuzeigen, vergleicht die App Ihren Standort lokal auf Ihrem Gerät mit den Stadtkoordinaten (München, Köln). GPS-Koordinaten werden dabei nicht an unsere Server übertragen. Die lokal erkannte Stadt wird genutzt, um verfügbare Produkte und Fahrer zu laden sowie den Dienst bereitzustellen.

2.4 Push-Benachrichtigungen

Mit Ihrer ausdrücklichen Einwilligung senden wir Ihnen Push-Benachrichtigungen zu Ihren Bestellungen (Fahrer unterwegs, Fahrer ist gleich da, Bestellung abgeschlossen). Die Benachrichtigungen werden direkt über Apple Push Notification Service (APNs) versendet – ohne Zwischenschaltung eines weiteren Anbieters.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Benachrichtigungen jederzeit in den Geräteeinstellungen (iOS: Einstellungen > Cock2Go > Benachrichtigungen) widerrufen.

2.5 Kommunikation

Ihre E-Mail-Adresse verwenden wir ausschließlich für transaktionale Nachrichten: Einmalcodes (OTP) bei der Anmeldung, Bestellbestätigungen und Rechnungen. Werbliche Nachrichten versenden wir nur mit gesonderter Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.6 Geräteinformationen und Fehlerprotokollierung

Zur Sicherstellung der technischen Funktionsfähigkeit der App verarbeiten wir bei Fehlern technische Informationen wie App-Version, Betriebssystem-Version und Gerätetyp. Hierfür setzen wir Sentry ein. Personenbezogene Daten (wie Name oder E-Mail) werden dabei nicht automatisch übermittelt.

Aus Sicherheitsgründen protokollieren wir technische Ereignisse (z. B. Statusänderungen bei Bestellungen) in einem internen Audit-Log. IP-Adressen werden darin nach 30 Tagen automatisch anonymisiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit der Plattform, der Betrugsprävention und der technischen Fehlerbehebung.

2.7 Website (cock2go.de)

Unsere Website cock2go.de verwendet keine Tracking-Cookies und kein Web-Analytics. Beim Aufruf der Website werden durch den Hosting-Anbieter Hetzner technische Server-Logs gespeichert (IP-Adresse, Zeitstempel, aufgerufene Seite). Diese Logs dienen ausschließlich der Sicherheit und werden nach 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Website).

3. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. In diesen Fällen stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

• EU-US Data Privacy Framework (DPF): Twilio und Resend sind unter dem EU-US Data Privacy Framework zertifiziert, das von der EU-Kommission als angemessenes Schutzniveau anerkannt wurde (Angemessenheitsbeschluss vom 10. Juli 2023).
• Standardvertragsklauseln (SCC): Für Dienstleister, die nicht unter dem DPF zertifiziert sind, schließen wir EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO ab (insbesondere mit Sentry/Functional Software Inc.).
• EU-Hosting: Supabase (Frankfurt), Hetzner (Deutschland) und Stripe (Dublin, Irland) verarbeiten Daten innerhalb der EU – keine Drittlandsübermittlung.
• Apple und Google: Die Verarbeitung durch Apple Inc. und Google LLC erfolgt auf Basis des EU-US Data Privacy Framework sowie der jeweiligen Standardvertragsklauseln.

Auf Anfrage stellen wir Ihnen eine Kopie der relevanten Garantien zur Verfügung (Art. 46 Abs. 3 DSGVO). Bitte wenden Sie sich dazu an: datenschutz@cock2go.de.

4. Auftragsverarbeiter

Wir setzen folgende Dienstleister ein. Mit den nachfolgend als Auftragsverarbeiter gekennzeichneten Dienstleistern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Stripe, Apple und Google handeln als eigenverantwortliche Verantwortliche.

Dienstleister	Zweck und Datenschutzinformationen
Supabase Inc. (USA)	Datenbank, Authentifizierung, Echtzeit – Hosting ausschließlich in Frankfurt (EU); Übermittlung an US-Muttergesellschaft auf Basis SCC | supabase.com/privacy
Stripe Payments Europe Ltd. (eigenverantwortlich)	Zahlungsabwicklung (Kreditkarte, PayPal, Apple Pay, Google Pay) – Dublin, Irland (EU); ggf. Übermittlung an Stripe Inc., USA, auf Basis SCC/DPF | stripe.com/de/privacy
Twilio Inc. (Verify)	SMS-Einmalcodes – EU-US DPF zertifiziert | twilio.com/legal/privacy
Resend Inc.	E-Mail-Versand (Codes, Rechnungen) – EU-US DPF zertifiziert | resend.com/privacy
Sentry (Functional Software Inc., USA)	Fehlerprotokollierung – keine PII automatisch übermittelt; AVV (DPA v5.1.0) abgeschlossen; SCC | sentry.io/privacy
Hetzner Online GmbH	Server-Hosting cock2go.de – Rechenzentrum Deutschland | hetzner.com/legal/privacy
Apple Inc. (USA, eigenverantwortlich)	Sign in with Apple, Apple Pay, APNs, Geocodierung (iOS) – EU-US DPF + SCC | apple.com/legal/privacy
Google LLC (USA, eigenverantwortlich)	Google Sign-In, Google Pay, Google Maps (Android) – EU-US DPF + SCC | policies.google.com/privacy

5. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Kontodaten: für die Dauer des Vertragsverhältnisses; bei Kontolöschung sofort gelöscht
• Live-Standort (Kunden): sofort nach Bestellabschluss automatisch gelöscht
• Fahrer-Standort: nur aktueller Standort; kein Verlauf; kein Standort nach Schichtende
• Bestelldaten mit Rechnung: 10 Jahre (§ 147 AO); danach Anonymisierung der GPS-Koordinaten
• Bestelldaten ohne Rechnung: bei Kontolöschung vollständig gelöscht
• IP-Adressen in Server-Logs: nach 30 Tagen automatisch anonymisiert
• Anmeldecodes (OTP): sofort nach Verbrauch oder Ablauf gelöscht
• Technische Fehlerlogs (Sentry): max. 30 Tage

6. Automatisierte Entscheidungsfindung

Wir treffen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Es findet kein Profiling im Sinne von Art. 4 Nr. 4 DSGVO statt.

7. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): vollständiger Datenexport direkt in der App – Profil-Icon oben rechts > Einstellungen > Meine Daten exportieren (PDF oder JSON, Versand per E-Mail)
• Berichtigung (Art. 16 DSGVO): Profilangaben jederzeit in der App – Profil-Icon oben rechts > Einstellungen
• Löschung (Art. 17 DSGVO): Kontolöschung jederzeit in der App – Profil-Icon oben rechts > Einstellungen > Account löschen – alle personenbezogenen Daten werden sofort gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO): unter den gesetzlichen Voraussetzungen
• Datenübertragbarkeit (Art. 20 DSGVO): JSON-Export über die App-Exportfunktion
• Widerspruch (Art. 21 DSGVO): gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) können Sie jederzeit Widerspruch einlegen
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Einwilligungen (insbesondere Push-Benachrichtigungen) können jederzeit mit Wirkung für die Zukunft widerrufen werden

Hinweis zur Standortverarbeitung: Die Verarbeitung Ihres Standorts für die Lieferung erfolgt auf Basis des Vertrags (Art. 6 Abs. 1 lit. b DSGVO). Ohne Standortangabe kann der Liefervertrag nicht erfüllt werden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@cock2go.de – Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde ist:

9. Minderjährige

Cock2Go richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Für den Kauf alkoholischer Getränke gelten folgende Altersgrenzen: Bier und Wein ab 16 Jahren, Spirituosen ab 18 Jahren. Der Fahrer prüft den Ausweis bei der Übergabe (§ 9 JuSchG).

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich rechtliche Anforderungen oder unsere Dienste ändern. Über wesentliche Änderungen informieren wir Sie per Push-Benachrichtigung oder E-Mail. Die aktuelle Version ist jederzeit auf cock2go.de/datenschutz abrufbar.

11. Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr/

Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.