Datenschutzerklärung

Stand: 9. Januar 2026

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten und in unserer Webanwendung (nachfolgend zusammenfassend bezeichnet als "Onlineangebot").

Verantwortlicher

Moritz Pfau

E-Mail-Adresse: contact@arioso.app

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z. B. Name, E-Mail-Adresse)
  • Inhaltsdaten (z. B. hochgeladene Dokumente, Texteingaben in Gesprächen)
  • Nutzungsdaten (z. B. besuchte Seiten, Nutzungszeiten)
  • Meta- und Kommunikationsdaten (z. B. IP-Adressen, Zeitangaben)
  • Protokolldaten (z. B. Logfiles betreffend Logins oder Zugriffszeiten)

Kategorien betroffener Personen

  • Nutzer (z. B. Webseitenbesucher, Nutzer der Anwendung)
  • Kommunikationspartner

Zwecke der Verarbeitung

  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
  • Erbringung vertraglicher Leistungen (KI-gestütztes Lernen)
  • Verarbeitung von Dokumenten mittels künstlicher Intelligenz
  • Sicherheitsmaßnahmen
  • Kommunikation

Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten.

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG).

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers übertragen werden, wodurch die Daten vor unbefugtem Zugriff geschützt sind.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Dies betrifft Fälle, in denen der ursprüngliche Verarbeitungszweck entfällt oder die Daten nicht mehr benötigt werden.

Ausnahmen von dieser Regelung bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Speicherfristen für spezifische Datenarten

  • Hochgeladene Dokumente (PDFs): Werden gespeichert, bis der Nutzer sie aktiv löscht.
  • Lerngespräche und Sitzungsdaten: Werden gespeichert, bis der Nutzer die jeweilige Sitzung löscht.
  • Nutzerkontodaten: Bei Löschung des Nutzerkontos werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

  • Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Protokolldaten.
  • Betroffene Personen: Nutzer.
  • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Informationstechnische Infrastruktur; Sicherheitsmaßnahmen.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Eingesetzte Dienste und Dienstanbieter

Cloudflare Pages (Marketing-Website): Für die Bereitstellung unserer Marketing-Website nutzen wir den Dienst Cloudflare Pages.

  • Dienstanbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA
  • Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/
  • Verarbeitete Daten: IP-Adresse, Browsertyp, Zugriffszeiten, aufgerufene Seiten

Vercel (Anwendungs-Hosting): Für die Bereitstellung unserer Webanwendung nutzen wir die Plattform Vercel.

  • Dienstanbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
  • Website: https://vercel.com
  • Datenschutzerklärung: https://vercel.com/legal/privacy-policy
  • Verarbeitete Daten: IP-Adresse, Browsertyp, Zugriffszeiten, Anwendungsdaten
  • Grundlage Drittlandtransfer: Standardvertragsklauseln

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet.

  • Verarbeitete Datenarten: Bestandsdaten (Name, E-Mail-Adresse); Authentifizierungsdaten (Passwort in verschlüsselter Form); Nutzungsdaten; Protokolldaten.
  • Betroffene Personen: Nutzer.
  • Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen; Sicherheitsmaßnahmen; Bereitstellung unseres Onlineangebotes.
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
  • Löschung: Bei Löschung des Nutzerkontos werden alle mit dem Konto verbundenen Daten (einschließlich hochgeladener Dokumente und Lerngespräche) innerhalb von 30 Tagen gelöscht.

Eingesetzter Dienst

Supabase (Authentifizierung und Datenspeicherung): Für die Nutzerauthentifizierung und Speicherung von Nutzerdaten verwenden wir Supabase.

  • Dienstanbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992
  • Website: https://supabase.com
  • Datenschutzerklärung: https://supabase.com/privacy
  • Verarbeitete Daten: E-Mail-Adresse, Name, verschlüsseltes Passwort, hochgeladene Dokumente, Lerngespräche, Nutzungsdaten
  • Grundlage Drittlandtransfer: Standardvertragsklauseln

KI-gestützte Dokumentenanalyse und Lernfunktionen

Arioso ist ein KI-gestütztes Lernwerkzeug, das Nutzern hilft, akademische Dokumente durch strukturierte, sokratische Gespräche zu verstehen. Hierfür werden hochgeladene Dokumente und Nutzereingaben an einen KI-Dienst zur Verarbeitung übermittelt.

  • Verarbeitete Datenarten: Inhaltsdaten (hochgeladene PDF-Dokumente, Texteingaben in Lerngesprächen).
  • Betroffene Personen: Nutzer.

Zwecke der Verarbeitung

  • Analyse hochgeladener Dokumente zur Erstellung personalisierter Lernpfade
  • Generierung von Fragen und Erklärungen basierend auf dem Dokumentinhalt
  • Durchführung interaktiver Lerngespräche

Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist erforderlich, um die vereinbarte Dienstleistung (KI-gestütztes Lernen) zu erbringen.

Wichtige Hinweise zur KI-Verarbeitung

Welche Daten werden an den KI-Dienst übermittelt:

  • Der vollständige Textinhalt hochgeladener PDF-Dokumente
  • Ihre Antworten und Eingaben während der Lerngespräche
  • Ihre angegebenen Lernziele und Vorkenntnisse (aus dem Einrichtungsprozess)

Keine Verwendung für KI-Training: Wir verwenden Ihre Dokumente und Gespräche nicht zum Training von KI-Modellen. Die Verarbeitung dient ausschließlich der Erbringung der Dienstleistung für Sie.

Hinweis zu sensiblen Dokumenten: Bitte laden Sie keine Dokumente hoch, die vertrauliche persönliche Informationen Dritter, Geschäftsgeheimnisse oder andere sensible Daten enthalten, deren Verarbeitung durch Dritte Sie nicht verantworten können.

Eingesetzter Dienst

Google Gemini API (KI-Verarbeitung):

  • Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EU-Nutzer); Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Website: https://ai.google.dev
  • Datenschutzerklärung: https://policies.google.com/privacy
  • API-Nutzungsbedingungen: https://ai.google.dev/terms
  • Verarbeitete Daten: Dokumentinhalte, Gesprächsverläufe, Lernziele
  • Datenverarbeitung: Gemäß den Google API-Nutzungsbedingungen werden Daten, die über die Gemini API gesendet werden, nicht zum Training von Google-KI-Modellen verwendet.
  • Grundlage Drittlandtransfer: Data Privacy Framework (DPF), Standardvertragsklauseln

Kontaktaufnahme

Bei der Kontaktaufnahme mit uns (z. B. per E-Mail) werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

  • Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Meta- und Kommunikationsdaten.
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung: Kommunikation; Beantwortung von Anfragen.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
  • Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
  • Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
  • Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
  • Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
  • Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Zuständige Aufsichtsbehörde für Berlin:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
https://www.datenschutz-berlin.de

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.