Datenschutzerklärung - Aury Platform

Diese Datenschutzerklärung beschreibt, wie die Aury Care GmbH personenbezogene Daten im Rahmen der Aury Platform verarbeitet. Die Aury Platform ist eine Lösung, bei der andere Anbieter ("dein Anbieter") die Web-Infrastruktur, KI-Komponenten und zugehörige Dienste der Aury Care GmbH nutzen und auf diese Datenschutzerklärung verweisen.

Diese Datenschutzerklärung gilt nicht für unsere eigenen Konsumentenprodukte (z. B. die Aury-App, das Präventionsangebot „Digitale Stressbewältigung mit Aury“ oder die WhatsApp-Beta). Hierzu verweisen wir auf eine gesonderte Datenschutzerklärung:

aury.co/de/privacy

In dieser Datenschutzerklärung erläutern wir:

• welche personenbezogenen Daten wir verarbeiten,
• zu welchen Zwecken und auf welcher Rechtsgrundlage,
• wie lange wir sie speichern,
• an wen wir Daten ggf. weitergeben,
• und welche Rechte du hast.

Bei der Nutzung von Aury Platform-Produkten gibt es zwei datenschutzrechtliche Rollen:

• Dein Anbieter/Vertragspartner ist in der Regel der Verantwortliche (Controller) nach DSGVO für die Verarbeitung deiner Daten in seinem Produkt. Er bestimmt die Zwecke und Rechtsgrundlagen der Verarbeitung, erfüllt die Informationspflichten nach Art. 13/14 DSGVO und ist Ansprechpartner für deine Betroffenenrechte.
• Aury Care GmbH verarbeitet Daten im Rahmen der Aury Platform als Auftragsverarbeiter (Processor) im Auftrag deines Anbieters (Art. 28 DSGVO). Wir verarbeiten personenbezogene Daten ausschließlich nach dokumentierter Weisung deines Anbieters.

Wichtig: Für Auskunft, Löschung, Widerspruch und sonstige Betroffenenrechte wende dich bitte primär an deinen Anbieter. Wir unterstützen deinen Anbieter bei der Bearbeitung, soweit wir technisch betroffen sind.

Aury Care GmbH

E-Mail: info@aury.co

Geschäftsführer:innen: Saskia Fester, Robert Wasenmüller, Maximilian Rank

Frank Trautwein (externer Datenschutzbeauftragter)

• Betroffenenanfragen (z. B. Auskunft, Löschung, Datenkopie): dpo@aury.co
• Vertrauliche Anfragen direkt an den DSB: dsb@freshcompliance.de

Du hast – je nach Voraussetzungen – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Bitte richte Anfragen zuerst an deinen Anbieter (Verantwortlicher). Alternativ kannst du uns unter dpo@aury.co kontaktieren; wir leiten deine Anfrage an den Anbieter weiter, soweit erforderlich.

Du kannst dich bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig für uns ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (Brandenburg)

https://www.lda.brandenburg.de/lda/de/ueber-uns/kontaktanreise/

Hinweis: Für den Betrieb unserer eigenen Website (Abschnitt 4) und für interne Kommunikationswerkzeuge (Abschnitt 5) können abweichende Regelungen gelten, die in den jeweiligen Abschnitten erläutert werden.

Die Aury Platform – einschließlich der Web-Anwendungen sowie der dazugehörigen Infrastruktur (z. B. Nutzerverwaltung, Datenbank, Backups, System-Logs) – wird bei Scalingo SAS (Hosting-Anbieter) unter Nutzung von Servern der Outscale SASU (eine Marke der Dassault Systèmes SE) als Infrastruktur-Provider ausschließlich in Frankreich (EU) betrieben.

• Scalingo Compliance: https://doc.scalingo.com/security/overview/compliance
• Scalingo DPA: https://scalingo.com/data-processing-agreement

Verarbeitete Daten (typisch):

IP-Adresse, technische Protokoll-/Logdaten (Zeitstempel, Geräte-/Browserinfos, Statuscodes), ggf. Account-/Kontaktangaben (z. B. Nutzer-IDs, Name – sofern vom Anbieter im Produkt genutzt) sowie Inhalte und Angaben, die im Rahmen des Whitelabel-Produkts verarbeitet werden.

Zwecke:

Betrieb und Bereitstellung der Plattform, IT-Sicherheit, Fehler- und Performanceanalyse, Missbrauchs- und Störungsprävention.

Rechtsgrundlage:

Die Rechtsgrundlage gegenüber dir bestimmt dein Anbieter als Verantwortlicher. Aury Care GmbH verarbeitet als Auftragsverarbeiter nach dokumentierter Weisung des Anbieters (Art. 28 DSGVO).

Drittlandübermittlung:

Es erfolgt keine Übermittlung von Daten in Drittländer.

Speicherfristen:

• System- und Sicherheitslogs: grundsätzlich bis zu 180 Tage, danach Löschung oder Anonymisierung (sofern keine gesetzlichen Pflichten entgegenstehen).
• Anwendungs- und Accountdaten: grundsätzlich bis zur Löschung durch bzw. auf Anweisung des Anbieters oder solange für den Betrieb erforderlich.

Für KI-gestützte Funktionen in der Aury Platform nutzen wir Modell-Hosting in EU-Datenzonen bei:

• Microsoft Azure (EU)
• Google Vertex AI (EU)

Dabei werden Inhalte einzelner Nutzernachrichten verarbeitet, um Antworten zu generieren.

Weitere Informationen:

• Microsoft Azure: https://www.microsoft.com/de-de/privacy/privacystatement
• Google Vertex AI: https://cloud.google.com/privacy/gdpr?hl=de

Datenminimierung:

Wir übermitteln an die Modell-Hoster keine direkten Identifikatoren (z. B. keine E-Mail-Adressen, keine Nutzer-IDs, keine Profile oder Trackingdaten). Ein Personenbezug kann nur entstehen, wenn du ihn im Nachrichteninhalt selbst herstellst.

Training:

• Google Vertex AI: Google verarbeitet Kundendaten auf Vertex AI nicht zum Trainieren oder Fine-Tuning ohne vorherige Erlaubnis/Anweisung. Weitere Informationen: https://docs.cloud.google.com/vertex-ai/generative-ai/docs/vertex-ai-zero-data-retention
• Microsoft Azure: Für Azure-basierte GenAI-Dienste werden Prompts und Completions nicht zum Training genutzt. Eine temporäre Speicherung (typischerweise bis zu 30 Tage) kann für Abuse-Monitoring und Service-Reliability erfolgen. Weitere Informationen: https://learn.microsoft.com/en-us/answers/questions/5757291/data-privacy-zero-data-retention

Rechtsgrundlage:

Wie in Abschnitt 2.1; die Rechtsgrundlage gegenüber dir bestimmt dein Anbieter. Aury verarbeitet nach Weisung (Art. 28 DSGVO).

Soweit Gesundheitsdaten betroffen sind (siehe Abschnitt 2.7), bestimmt dein Anbieter die zusätzliche Rechtsgrundlage nach Art. 9 DSGVO.

Drittlandübermittlung:

Es erfolgt keine Übermittlung von Daten in Drittländer.

Speicherfrist:

Je nach Anbieter/Service werden Inhalte kurzzeitig zur Sicherstellung des Dienstes und zur Missbrauchs- und Sicherheitsüberwachung gespeichert (typischerweise bis zu 30 Tage) und anschließend gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

Zur Fehlerbehebung, Qualitätssicherung und – soweit vom Anbieter vorgesehen (z. B. auf Basis einer Einwilligung der Nutzer) – zur Produktanalyse setzen wir folgende Unterauftragsverarbeiter ein:

• Datadog, Inc. (EU-Betrieb/Region) - Infrastruktur-Monitoring und Fehleranalyse: https://www.datadoghq.com/legal/privacy/ (Stand: 26.02.2026)
• PostHog, Inc. (EU-Betrieb/Region) - Produktanalyse und Nutzungsstatistiken: https://posthog.com/privacy (Stand: 26.02.2026)
• Langfuse GmbH - LLM-Observability und Qualitätssicherung der KI-Antworten: https://langfuse.com/privacy (Stand: 26.02.2026)
• Proton AG - Qualitätssicherung: https://proton.me/legal/privacy (Stand: 26.02.2026)

Datadog, Inc. und PostHog, Inc. sind US-Unternehmen; wir nutzen diese Dienste ausschließlich über deren EU-Rechenzentren. Personenbezogene Daten werden in pseudonymisierter Form verarbeitet.

Verarbeitete Daten:

• Nutzungsdaten (z. B. Zeitpunkte, Dauer, genutzte Funktionen)
• technische Ereignisse (z. B. Fehlercodes)
• ggf. pseudonymisierte Nutzungskennungen
• ggf. anonymisierte oder stark pseudonymisierte Auszüge aus Interaktionen (z. B. zur Qualitätsmessung), soweit technisch vorgesehen

Rechtsgrundlage:

Die Rechtsgrundlage gegenüber dir bestimmt dein Anbieter.

Speicherfrist:

Grundsätzlich bis zu 180 Tage nach letzter Aktivität.

Im Rahmen der Aury Platform setzen wir typischerweise die folgenden Unterauftragsverarbeiter ein:

Falls dein Anbieter darüber hinaus eigene Tools oder Dienste einsetzt, findest du Details hierzu in dessen Datenschutzerklärung.

Ohne bestimmte Daten (z. B. technisch notwendige Verbindungsdaten und die Inhalte, die du eingibst) kann das Produkt technisch nicht bereitgestellt werden. Welche Eingaben verpflichtend sind, legt dein Anbieter fest.

Das System erzeugt Antworten automatisiert (KI-gestützt). Wir treffen dabei keine ausschließlich automatisierten Entscheidungen, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlich erheblicher Weise beeinträchtigen.

Wenn du in Gesprächen Angaben zu deinem psychischen Zustand, Symptomen oder deiner Gesundheit machst, können diese als Gesundheitsdaten im Sinne von Art. 9 DSGVO einzuordnen sein. Die Rechtsgrundlage für die Verarbeitung solcher Daten (z. B. Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung) bestimmt dein Anbieter als Verantwortlicher. Wir verarbeiten solche Daten ausschließlich nach dessen Weisung.

Beim Aufruf unserer Website verarbeiten wir Server-Logdaten, die technisch erforderlich sind, um die Website auszuliefern und zu schützen.

Verarbeitete Daten:

IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer-URL, Browser/OS, Statuscodes, Datenmenge.

Zwecke:

Auslieferung, IT-Sicherheit, Fehleranalyse, Missbrauchsprävention.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

Speicherfrist:

In der Regel bis zu 180 Tage (Sicherheits-/Fehleranalyse), danach Löschung oder Anonymisierung.

Wir verwenden (i) technisch notwendige Cookies bzw. ähnliche Technologien und (ii) optionale Technologien (z. B. Analytics) nur nach Einwilligung.

• Technisch notwendig: Erforderlich für die von dir ausdrücklich gewünschte Funktion. Rechtsgrundlage: § 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO (oder lit. b DSGVO, je nach Funktion).
• Optional (z. B. Analytics): Nur nach Opt-In. Rechtsgrundlage: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO.

Du kannst deine Auswahl jederzeit über das Consent-Tool oder die Browser-Einstellungen ändern (sofern verfügbar).

Sofern du einwilligst, nutzen wir Google Analytics (Google LLC). Dabei kann es zu Übermittlungen in die USA kommen. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Verarbeitete Daten:

Online-Kennungen (z. B. Cookie-IDs), Geräte-/Browserdaten, Nutzungsdaten, gekürzte IP-Adresse (soweit aktiviert).

Zwecke:

Reichweitenmessung, Website-Optimierung.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG.

Drittlandübermittlung:

Übermittlungen in die USA auf Basis des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).

Speicherfrist:

Gemäß Einstellungen in Google Analytics (Konfiguration).

https://policies.google.com/privacy (Stand: 26.02.2026)