Datenschutzerklärung

Gemäß DSGVO · Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Maria Strunden | Graciella Dharmawan

Heidestr. 36

60316 Frankfurt am Main

Deutschland

E-Mail: hello@aerahealth.de

2. Welche Daten wir erheben

a) Warteliste

Wenn du dich für unsere Warteliste einträgst, erheben wir deine E-Mail-Adresse und optional dein Interessensgebiet. Diese Daten werden ausschließlich dazu verwendet, dich über den Launch von Aera zu informieren.

b) Kontaktformular

Wenn du uns über das Kontaktformular schreibst, erheben wir deinen Namen, deine E-Mail-Adresse, optional ein Betreff sowie den Inhalt deiner Nachricht.

c) Gesundheitsfragebogen (Check)

Wenn du den Gesundheits-Check ohne Konto durchführst, werden deine Antworten ausschließlich lokal in deinem Browser (localStorage) gespeichert und nicht an unsere Server übertragen. Wenn du dich anschließend für den Companion registrierst oder einloggst, wird das daraus abgeleitete Hormonprofil in deinem Konto gespeichert (siehe Abschnitt e).

d) Zugriffsdaten / Server-Logs

Beim Besuch unserer Website werden automatisch technische Informationen übermittelt (IP-Adresse, Browsertyp, Zeitstempel). Diese werden nach 7 Tagen automatisch gelöscht.

e) Companion-Konto & Gesundheitsdaten

Wenn du ein Konto für den Aera Companion anlegst, verarbeiten wir folgende Daten:

  • circleE-Mail-Adresse und Passwort (verschlüsselt gespeichert)
  • circleVorname (optional, für die persönliche Ansprache)
  • circleHormonprofil-Schlüssel (z.B. "Perimenopause" oder "Schilddrüse") – abgeleitet aus deinen Fragebogen-Antworten
  • circleAltersgruppe (als Kategorie, z.B. "Ende 30 bis Mitte 40")
  • circleGesundheitliche Hinweismerkmale: ob du Hinweise auf POI (vorzeitige Ovarialinsuffizienz) oder Endometriose angegeben hast (als Ja/Nein-Merkmal)
  • circleQuiz-Antworten und Symptom-Scores
  • circleGesprächsverläufe aus dem Companion-Chat
Hinweis: Das Hormonprofil sowie die Hinweismerkmale zu POI und Endometriose stellen besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne von Art. 9 DSGVO dar. Wir verarbeiten diese Daten ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du bei der Registrierung erteilst. Du kannst diese Einwilligung jederzeit widerrufen.

f) KI-Verarbeitung (Companion-Chat)

Um dir im Companion-Chat personalisierte Antworten geben zu können, werden bei jeder Anfrage folgende Daten an den KI-Dienst Anthropic (USA) übermittelt: dein Hormonprofil-Schlüssel, deine Altersgruppe, die gesundheitlichen Hinweismerkmale sowie die letzten 6 Nachrichten des aktuellen Gesprächs. Diese Daten werden ausschließlich zur Generierung der Antwort verarbeitet und nicht zur Modelltraining verwendet. Weitere Details findest du in Abschnitt 4 (Dienstleister).

3. Rechtsgrundlagen der Verarbeitung

Warteliste: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Kontaktformular: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / berechtigtes Interesse an der Bearbeitung deiner Anfrage).

Server-Logs: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Infrastruktur).

Companion-Konto (allgemeine Kontodaten): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei der Registrierung).

Gesundheitsdaten (Hormonprofil, Hinweismerkmale): Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Diese Einwilligung erteilst du bei der Registrierung für den Companion. Du kannst sie jederzeit durch Löschung deines Kontos widerrufen.

KI-gestützte Gesprächsverarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und – für Gesundheitsdaten im Prompt – Art. 9 Abs. 2 lit. a DSGVO.

4. Datenspeicherung & Dienstleister

Supabase (Datenbank & Authentifizierung)

Wir nutzen Supabase als Datenbankdienst in der EU-Region (Frankfurt, AWS eu-central-1). Supabase ist nach SOC 2 Type II zertifiziert und es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Dort werden Kontodaten, Hormonprofil und Gesprächsverläufe gespeichert.

Anthropic PBC (KI-Sprachmodell für den Companion)

Für die KI-gestützte Gesprächsfunktion im Companion nutzen wir das Sprachmodell Claude von Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA.

Was übermittelt wird: Bei jeder Anfrage werden dein Hormonprofil-Schlüssel, deine Altersgruppe, gesundheitliche Hinweismerkmale (Ja/Nein-Angaben zu POI und Endometriose) sowie die letzten 6 Nachrichten des Gesprächs an Anthropic übertragen.

Datennutzung durch Anthropic: Anthropic verwendet deine Daten nicht zum Training von KI-Modellen. Die Verarbeitung erfolgt ausschließlich zur Erstellung der Antwort und unterliegt dem Anthropic API Data Processing Agreement.

Drittlandtransfer (USA): Die Übermittlung an Anthropic erfolgt auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic ist zudem unter dem EU-US Data Privacy Framework zertifiziert.

Keine Identifikatoren: Es werden keine E-Mail-Adresse, kein Name oder andere direkte Identifikatoren an Anthropic übermittelt. Das Hormonprofil wird als kodierter Schlüssel (z.B. „PP" für Perimenopause) übertragen.

Vercel (Hosting & Infrastruktur)

Die Website wird über Vercel Inc. (USA) gehostet. Die Verarbeitung erfolgt auf Basis von Standardvertragsklauseln. Dabei werden technische Zugriffsdaten und API-Anfragen verarbeitet. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert.

Google Fonts

Diese Website lädt Schriftarten direkt von Google-Servern. Dabei wird deine IP-Adresse an Google übermittelt (Art. 6 Abs. 1 lit. f DSGVO). Google ist unter dem EU-US Data Privacy Framework zertifiziert.

5. KI-gestützte Verarbeitung & automatisierte Entscheidungen

Der Aera Companion verwendet ein KI-Sprachmodell (Claude von Anthropic), um personalisierte Antworten zu generieren. Die KI erhält dabei eine Zusammenfassung deines Hormonprofils als Kontext, damit sie dir relevante und auf dich zugeschnittene Informationen geben kann.

Keine automatisierten Entscheidungen mit rechtlicher Wirkung: Es findet keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO statt, die rechtliche oder ähnlich erhebliche Auswirkungen auf dich hat. Das KI-System gibt ausschließlich Informationen und Orientierung – es trifft keine medizinischen Diagnosen oder rechtsverbindliche Empfehlungen.

Menschliche Übersicht: KI-generierte Antworten ersetzen keine ärztliche Beratung. Du entscheidest selbst, welche Informationen du nutzt.

Widerspruchsrecht: Du kannst die KI-Verarbeitung jederzeit beenden, indem du deinen Companion-Zugang nicht mehr nutzt und uns bittest, dein Konto und deine Daten zu löschen.

6. Speicherdauer

Warteliste-Einträge: Bis zum Widerruf, spätestens 24 Monate nach Eintragung.

Kontaktanfragen: 12 Monate nach abschließender Bearbeitung.

Companion-Konto & Profildaten: Bis zur Löschung des Kontos durch dich oder auf deine Anfrage hin. Nach Löschung werden alle persönlichen Daten innerhalb von 30 Tagen endgültig entfernt.

Gesprächsverläufe (Companion): Bis zur aktiven Löschung einzelner Gespräche durch dich oder bis zur Kontolöschung.

KI-Verarbeitung bei Anthropic: Gemäß Anthropic-Richtlinien werden API-Anfragen für einen begrenzten Zeitraum zur Betrugsbekämpfung und Sicherheit gespeichert (max. 30 Tage) und danach gelöscht. Sie werden nicht zur Modelloptimierung genutzt.

Server-Logs: 7 Tage.

7. Deine Rechte als betroffene Person

Du hast das Recht auf:

  • checkAuskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • checkBerichtigung unrichtiger Daten (Art. 16 DSGVO)
  • checkLöschung deiner Daten (Art. 17 DSGVO) – inkl. Hormonprofil & Gesprächsverlauf
  • checkEinschränkung der Verarbeitung (Art. 18 DSGVO)
  • checkDatenübertragbarkeit (Art. 20 DSGVO)
  • checkWiderspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • checkWiderruf einer erteilten Einwilligung – auch der Einwilligung zur Gesundheitsdaten-Verarbeitung (Art. 7 Abs. 3 DSGVO)
  • checkBeschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Um deine Rechte auszuüben – insbesondere zur Datenlöschung oder zum Einwilligungswiderruf: hello@aerahealth.de

8. Datensicherheit

Die Übertragung zwischen Browser und Server erfolgt verschlüsselt über HTTPS (TLS). Passwörter werden ausschließlich als Hash (bcrypt) gespeichert, nie im Klartext. Daten in Supabase sind verschlüsselt. Die Kommunikation mit Anthropic erfolgt ausschließlich über verschlüsselte API-Verbindungen (TLS 1.2+). Wir setzen technische und organisatorische Sicherheitsmaßnahmen nach aktuellem Stand der Technik ein.

9. Weitergabe an Dritte

Wir verkaufen oder vermieten deine Daten nicht. Eine Weitergabe an Dritte erfolgt ausschließlich an die in Abschnitt 4 genannten Auftragsverarbeiter (Supabase, Anthropic, Vercel) im Rahmen der Leistungserbringung sowie soweit wir gesetzlich dazu verpflichtet sind. Alle Dienstleister sind vertraglich zur Einhaltung des Datenschutzes verpflichtet.

10. Cookies & Tracking

Diese Website verwendet keine Tracking-Cookies oder Werbepixel. Es werden ausschließlich technisch notwendige Session-Cookies für die Authentifizierung (Supabase Auth) sowie localStorage für temporäre Quiz-Daten verwendet. Es wird kein Cross-Site-Tracking durchgeführt.

11. Zuständige Aufsichtsbehörde

Zuständige Datenschutzbehörde für Hessen: Landesbeauftragte für Datenschutz und Informationsfreiheit Hessen. Eine Liste aller deutschen Behörden findest du unter www.bfdi.bund.de.

Stand: April 2026 · Verantwortlicher: Maria Strunden | Graciella Dharmawan, Heidestr. 36, 60316 Frankfurt am Main