Datenschutzerklärung

Aury ist ein konversationelles KI-System, mit dem du über Themen rund um dein psychisches Wohlbefinden sprechen kannst.

In dieser Datenschutzerklärung erklären wir:

• welche personenbezogenen Daten wir verarbeiten,
• zu welchen Zwecken und auf welcher Rechtsgrundlage,
• wie lange wir sie speichern,
• an wen wir Daten ggf. weitergeben,
• und welche Rechte du hast.

Diese Datenschutzerklärung gilt für:

• unsere Konsumenten-Produkte (inkl. des Präventionsangebotes „Digitale Stressbewältigung mit Aury“),
• unsere Website,
• sowie alle Kontaktkanäle (z. B. E-Mail, Social Media).

Wenn sich eine Datenverarbeitung zwischen dem Präventionsangebot „Digitale Stressbewältigung mit Aury“ und anderen Angeboten unterscheidet, markieren wir das im jeweiligen Abschnitt.

Verantwortlicher für die Datenverarbeitung ist:

Aury Care GmbH

E-Mail: info@aury.co

Geschäftsführer:innen: Saskia Fester, Robert Wasenmüller, Maximilian Rank

Frank Trautwein (externer Datenschutzbeauftragter)

• Betroffenenanfragen (z. B. Auskunft, Löschung, Datenkopie): dpo@aury.co
• Vertrauliche Anfragen direkt an den DSB: dsb@freshcompliance.de

Je nach Nutzung verarbeiten wir insbesondere:

• Account-/Kontaktangaben (z. B. E-Mail, Name – sofern angegeben)
• Kommunikationsinhalte (z. B. Chatnachrichten, Feedback)
• Nutzungs-/Protokolldaten (z. B. Zeitpunkte, technische Logs, IP-Adresse)
• Geräte-/Browserdaten (z. B. Gerätetyp, Betriebssystem, App-/Browser-Infos)

Wichtig zu sensiblen Daten (Gesundheitsdaten):

Wenn du in Gesprächen Angaben zu deinem psychischen Zustand, Symptomen oder deiner Gesundheit machst, können das Gesundheitsdaten sein. Diese verarbeiten wir nur, soweit es für die Nutzung von Aury erforderlich ist und nach den im jeweiligen Abschnitt genannten Rechtsgrundlagen.

Je nach Zweck stützen wir uns insbesondere auf:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / Nutzung der Anwendung)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. Newsletter, optionale Analysen/Tracking)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. IT-Sicherheit, Missbrauchs-/Fehleranalyse)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten, falls anwendbar)

Soweit Gesundheitsdaten betroffen sind, gilt zusätzlich eine Ausnahme nach Art. 9 DSGVO (z. B. ausdrückliche Einwilligung, wenn erforderlich).

Wir setzen Auftragsverarbeiter ein (z. B. Hosting, Infrastruktur, Analyse-Tools), die Daten ausschließlich nach unseren Weisungen verarbeiten.

Außerdem können Drittanbieter eigenständig verantwortlich sein (z. B. Messenger-/Social-Media-Plattformen), wenn du diese Kanäle nutzt. Details stehen in den jeweiligen Abschnitten.

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist, oder solange gesetzliche Aufbewahrungspflichten bestehen.

Konkrete Speicherdauern nennen wir bei den jeweiligen Verarbeitungsvorgängen (z. B. Hosting-Logs, Analyse, Newsletter).

Du hast – je nach Voraussetzungen – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte kontaktiere uns unter: dpo@aury.co.

Du kannst dich bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig für uns ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (Brandenburg)

https://www.lda.brandenburg.de/lda/de/ueber-uns/kontaktanreise/

Aury erzeugt Antworten automatisiert (KI-gestützt). Wir treffen dabei keine ausschließlich automatisierten Entscheidungen, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlich erheblicher Weise beeinträchtigen.

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Verarbeitung, Rechtslagen oder Produkte ändern. Die jeweils aktuelle Version findest du in der Anwendung bzw. auf unserer Website.

Die folgende Übersicht zeigt alle Unterauftragsverarbeiter, die wir für die in den Abschnitten 2-5 beschriebenen Datenverarbeitungen nutzen (Ausnahme: Nutzung der Beta-Version auf WhatsApp, beachte hier bitte die Listung der Anbieter in den jeweiligen Abschnitten).

Wir stellen dir Zugänge zu unseren Anwendungen auf folgenden Kanälen bereit:

Für das Präventionsangebot „Digitale Stressbewältigung mit Aury“ gilt ausschließlich dieser Abschnitt.

Wir stellen für die Nutzung von Aury und für die Nutzung des Präventionsangebotes „Digitale Stressbewältigung mit Aury“ eine Web-App zur Verfügung. Das Präventionsangebot ist nicht über WhatsApp oder andere Messenger nutzbar.

Hinweis zum Status: Das Präventionsangebot befindet sich derzeit in der finalen Vorbereitung und wird in Kürze veröffentlicht.

• Hosting der Web-App & Infrastruktur: Scalingo SAS als Hosting-Anbieter; Serverbetrieb über Outscale SASU (Marke der Dassault Systèmes SE) in Frankreich (EU).
• Speicherung & Verarbeitung personenbezogener Daten: ausschließlich innerhalb der EU/EWR.
• KI-gestützte Funktionen (Modell-Hosting): Microsoft Azure Cloud (EU Data Zone) und Google Vertex AI (EU Data Zone).
• Keine Drittlandübermittlung: Im Rahmen des Präventionsangebots findet keine Übermittlung personenbezogener Daten in Drittstaaten (z. B. USA) statt.

Dieser Abschnitt gilt ausdrücklich nicht für das Präventionsangebot „Digitale Stressbewältigung mit Aury“, sondern nur für separat angebotene Services der Aury Care GmbH („Nicht-Präventionsangebote“), die ggf. über Drittplattformen erreichbar sind.

Aury-Chat über WhatsApp (Beta):

Eine Beta-Version eines Aury-Services kann über WhatsApp angeboten werden. Diese WhatsApp-Beta ist kein Bestandteil des Präventionsangebots und ist davon getrennt.

Drittanbieter & mögliche Drittlandübermittlung:

• Bei Nutzung von WhatsApp werden personenbezogene Daten (insbesondere deine Telefonnummer, Kommunikationsmetadaten und Inhalte im Rahmen der Plattformnutzung) an WhatsApp/Meta als eigenständigen Anbieter übermittelt und dort verarbeitet.
• Für Nutzer:innen in der EU gilt: Durch die Nutzung von WhatsApp kann es zu Übermittlungen in Drittstaaten (z. B. USA) kommen – abhängig von den Verarbeitungen durch WhatsApp/Meta und ggf. weitere eingesetzte Dienstleister im Rahmen der WhatsApp-Beta.

Ende-zu-Ende-Verschlüsselung:

WhatsApp verwendet Ende-zu-Ende-Verschlüsselung für Nachrichteninhalte. Bitte beachte, dass dennoch bestimmte Metadaten (z. B. Telefonnummern, Geräte-/Nutzungsinformationen) durch WhatsApp/Meta verarbeitet werden können.

Datenschutzhinweise von WhatsApp

Wichtiger Hinweis zur Wahl des Kanals:

Wenn du eine Verarbeitung ausschließlich innerhalb der EU/EWR ohne Drittlandübermittlung möchtest, nutze bitte das Präventionsangebot über die Aury-Web-App (sofern verfügbar). Die WhatsApp-Beta ist ein separater Kanal mit abweichenden datenschutzrechtlichen Rahmenbedingungen.

Diese Angaben beschreiben unsere technischen Dienstleister („Auftragsverarbeiter“) für Hosting und KI-Funktionen. Für das Präventionsangebot „Digitale Stressbewältigung mit Aury“ gelten dabei ausschließlich EU/EWR-Verarbeitungen; Drittlandübermittlungen sind dort ausgeschlossen.

Unsere Website und unsere Web-Anwendungen (inkl. des Präventionsangebots „Digitale Stressbewältigung mit Aury“) sowie die dazugehörige Infrastruktur (z. B. Nutzerverwaltung, Datenbank, Backups, System-Logs) werden bei Scalingo SAS (Hosting-Anbieter) unter Nutzung von Servern der Outscale SASU (eine Marke der Dassault Systèmes SE) als Infrastruktur-Provider ausschließlich in Frankreich (EU) betrieben.

Verarbeitete Daten:

IP-Adresse, technische Protokoll-/Logdaten (z. B. Zeitstempel, Geräte-/Browserinfos), Account-/Kontaktangaben (z. B. E-Mail; Name, falls angegeben) sowie Inhalte/Angaben, die du in der Web-App eingibst, soweit sie zur Nutzung gespeichert werden.

Zwecke:

Betrieb und Bereitstellung der Website/Web-App, IT-Sicherheit, Fehler-/Performanceanalyse, Missbrauchs- und Störungsprävention.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung/Nutzung der Web-App) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilität, Missbrauchsprävention).

Drittlandübermittlung:

Es erfolgt keine Übermittlung von Daten in Drittländer.

Speicherfrist:

Log-/Systemdaten grundsätzlich bis zu 180 Tage (Sicherheits-/Fehleranalyse), danach Löschung/Anonymisierung, sofern keine gesetzlichen Pflichten entgegenstehen. Account- und in der Anwendung gespeicherte Nutzungsdaten grundsätzlich bis zur Löschung des Accounts bzw. solange für die Nutzung erforderlich.

Für KI-gestützte Funktionen in der Web-App (inkl. des Präventionsangebotes „Digitale Stressbewältigung mit Aury“) nutzen wir Modell-Hosting in EU-Datenzonen bei:

• Microsoft Azure (EU): https://www.microsoft.com/de-de/privacy/privacystatement (Stand: 26.02.2026)
• Google Vertex AI (EU): https://cloud.google.com/privacy/gdpr?hl=de (Stand: 26.02.2026)

Training:

Google verarbeitet Kundendaten auf Vertex AI nicht zum Trainieren/Fine-Tuning ohne vorherige Erlaubnis/Anweisung.

Für Azure-basierte GenAI-Dienste wird ebenfalls beschrieben, dass Inhalte nicht zum Training genutzt werden und ggf. kurzzeitig für Sicherheit/Abuse-Monitoring gespeichert werden können.

Verarbeitete Daten:

Inhalte einzelner Nutzernachrichten. An die Modell-Hoster werden keine direkten Identifikatoren wie Nutzer-IDs, E-Mail-Adressen, Profile oder Trackingdaten übermittelt. Ein Personenbezug kann nur entstehen, wenn du ihn selbst im Nachrichtentext herstellst.

Zwecke:

Generieren von Antworten, um mit Aury zu chatten.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der KI-Funktionen als Teil der Web-App). Soweit Gesundheitsdaten betroffen sind, zusätzlich Art. 9 DSGVO (siehe Abschnitt „sensible Daten/Gesundheitsdaten“).

Drittlandübermittlung:

Es erfolgt keine Übermittlung von Daten in Drittländer.

Speicherfrist:

Je nach Anbieter/Service werden Inhalte kurzzeitig zur Sicherstellung des Dienstes und zur Missbrauchs-/Sicherheitsüberwachung gespeichert (typischerweise bis zu 30 Tage) und anschließend gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

Dieser Abschnitt gilt nicht für das Präventionsangebot, sondern nur für die separat angebotene WhatsApp-Beta.

Für die Verarbeitung einzelner Chatnachrichten in der WhatsApp-Beta nutzen wir zusätzlich OpenAI als Modellhoster; dabei können Inhalte an Server in den USA übertragen werden.

Verarbeitete Daten:

Übermittelt werden ausschließlich Nachrichteninhalte (keine Nutzer-IDs/E-Mails/Profile/Trackingdaten durch uns). Ein Personenbezug kann nur entstehen, wenn du ihn im Text selbst angibst.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der WhatsApp-Beta als Service).

Drittlandübermittlung:

Bei Übermittlungen in die USA erfolgt dies auf Basis geeigneter Garantien (insb. EU-Standardvertragsklauseln) und zusätzlicher Maßnahmen, soweit erforderlich.

Speicherfrist:

Für API-basierte Verarbeitung wird eine Löschung/Entfernung von API-Inhalten nach einem begrenzten Zeitraum (typischerweise 30 Tage) beschrieben; zudem wird dargestellt, dass Daten nicht standardmäßig zum Training verwendet werden.

Wenn du mit Aury chattest, interagierst du mit einem KI-gestützten System, nicht mit einem Menschen.

Aury ist darauf ausgelegt, allgemeine Unterstützung und Informationen zum psychischen Wohlbefinden zu geben. Aury ist kein Ersatz für professionelle (psycho-)therapeutische, medizinische oder psychologische Diagnostik oder Behandlung.

Wichtige Hinweise zur Nutzung:

• KI-Antworten können unrichtig, unvollständig oder verzerrt sein. Nutze sie nicht als alleinige Grundlage für wichtige Entscheidungen, insbesondere im Gesundheitsbereich.
• Wenn du dich in einer akuten Krise befindest oder dich selbst/andere gefährdet siehst: wende dich bitte an lokale Notruf-/Krisendienste.

Melden von problematischen Antworten:

• In WhatsApp über unsere Feedback-Funktion (z. B. „/feedback“ plus die betreffende Antwort).
• Per E-Mail an info@aury.co.

Hinweis: Aury ist nicht dafür bestimmt, Emotionserkennung oder biometrische Kategorisierung vorzunehmen.

Wir setzen Analyse- und Produktoptimierungs-Tools nur dann ein, wenn du dem ausdrücklich zugestimmt hast (Opt-In).

Verarbeitete Daten (bei Opt-In):

• Nutzungsdaten (z. B. Zeitpunkte, Dauer, genutzte Funktionen)
• technische Ereignisse (z. B. Fehlercodes)
• ggf. pseudonymisierte Nutzungskennung
• ggf. anonymisierte oder stark pseudonymisierte Auszüge aus Interaktionen (z. B. zur Qualitätsmessung), soweit technisch vorgesehen

Empfänger / Dienstleister:

Die Daten werden in pseudonymisierter Form an folgende Auftragsverarbeiter übermittelt und in der EU verarbeitet:

• DataDog, Inc. (EU-Betrieb/Region): https://www.datadoghq.com/legal/privacy/ (Stand: 26.02.2026)
• PostHog, Inc. (EU-Betrieb/Region): https://posthog.com/privacy (Stand: 26.02.2026)
• Langfuse GmbH: https://langfuse.com/privacy (Stand: 26.02.2026)
• Proton AG: https://proton.me/legal/privacy (Stand: 26.02.2026)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• soweit Endgeräte-Zugriffe/Cookies betroffen sind: § 25 Abs. 1 TDDDG (Einwilligung)

Widerruf:

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherfrist:

• Nutzungsdaten: grundsätzlich bis zu 180 Tage nach letzter Aktivität
• ggf. (pseudo-/anonymisierte) Interaktionsauszüge: grundsätzlich bis zu 7 Tage oder bis zu deinem Löschantrag

Wir kontaktieren dich nur, wenn es für die Bereitstellung des Dienstes erforderlich ist (Service-Nachrichten) oder wenn du eingewilligt hast (z. B. Newsletter).

Wir können dir notwendige Nachrichten zur Nutzung senden (z. B. Sicherheits-/Funktionshinweise, Bestätigungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und ggf. Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

Aury kann dir Erinnerungen senden, die du aktiv eingerichtet hast (z. B. im Onboarding oder per „/remindme“). Stoppen: z. B. „/stopremindingme“ (WhatsApp) oder über Einstellungen (Web-App, sofern vorhanden).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. b DSGVO (wenn Bestandteil der von dir aktivierten Funktion).

Wenn du dich anmeldest, senden wir dir Updates und Informationen zu Aury. Abmeldung jederzeit über den Link in jeder E-Mail oder via info@aury.co.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Wir können dich (bei Einwilligung) zu freiwilligen Umfragen einladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Kontaktinformationen und Präferenzen speichern wir bis zum Widerruf deiner Einwilligung. Nach Widerruf löschen wir sie, sofern keine Aufbewahrung zur Nachweisführung erforderlich ist.

Beim Aufruf unserer Website verarbeiten wir Server-Logdaten, die technisch erforderlich sind, um die Website auszuliefern und zu schützen.

Verarbeitete Daten: IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer-URL, Browser/OS, Statuscodes, Datenmenge.

Zwecke: Auslieferung, IT-Sicherheit, Fehleranalyse, Missbrauchsprävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

Speicherfrist: In der Regel bis zu 180 Tage (Sicherheits-/Fehleranalyse), danach Löschung oder Anonymisierung.

Wir verwenden (i) technisch notwendige Cookies bzw. ähnliche Technologien und (ii) optionale Technologien (z. B. Analytics) nur nach Einwilligung.

• Technisch notwendig: Erforderlich für die von dir ausdrücklich gewünschte Funktion. Rechtsgrundlage: § 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO (oder lit. b DSGVO, je nach Funktion).
• Optional (z. B. Analytics): Nur nach Opt-In. Rechtsgrundlage: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO.

Du kannst deine Auswahl jederzeit über das Consent-Tool oder die Browser-Einstellungen ändern (sofern verfügbar).

Sofern du einwilligst, nutzen wir Google Analytics (Google LLC). Dabei kann es zu Übermittlungen in die USA kommen. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Verarbeitete Daten: Online-Kennungen (z. B. Cookie-IDs), Geräte-/Browser-Daten, Nutzungsdaten, gekürzte IP-Adresse (soweit aktiviert).

Zwecke: Reichweitenmessung, Website-Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG.

Drittlandübermittlung: Übermittlungen in die USA auf Basis des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).

Speicherfrist: Gemäß Einstellungen in Google Analytics (Konfiguration).

https://policies.google.com/privacy (Stand: 26.02.2026)

Wir betreiben ein Unternehmensprofil auf LinkedIn. Anbieter: LinkedIn Ireland Unlimited Company.

LinkedIn verarbeitet personenbezogene Daten eigenverantwortlich; dabei kann eine Verarbeitung auch in Drittstaaten (z. B. USA) erfolgen.

Kommunikation über LinkedIn: Wenn du uns über LinkedIn kontaktierst, verarbeiten wir die von dir bereitgestellten Daten zur Beantwortung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (Kommunikation).

Speicherfrist: Nach Erforderlichkeit; zusätzlich gelten Lösch-/Speicher-Logiken der Plattform.

Page Insights / gemeinsame Verantwortlichkeit: Für sogenannte „Page Insights“ sind wir mit LinkedIn gemeinsam verantwortlich (Art. 26 DSGVO). Im Rahmen der Page Insights verarbeitet LinkedIn aggregierte Statistiken über die Nutzung unserer Unternehmensseite (z. B. Seitenaufrufe, demografische Merkmale der Besucher, Interaktionen mit Beiträgen).

• Vereinbarung („Joint Controller Addendum“): https://legal.linkedin.com/pages-joint-controller-addendum
• Datenschutzerklärung LinkedIn: https://www.linkedin.com/legal/privacy-policy