Datenschutzerklärung

Stand: Mai 2026

Diese Datenschutzerklärung gilt für die Websites aria-strategy.com (Marketing-Auftritt) und check.aria-strategy.com (Aria Strategy Self-Check). Wo Abschnitte ausschließlich eine der beiden Anwendungen betreffen, ist das in der Sektion vermerkt.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Jess Reisig (handelnd unter der Geschäftsbezeichnung „Aria Strategy")
Martinskirchstraße 62
60529 Frankfurt am Main
Deutschland

E-Mail: hello@aria-strategy.com
Telefon: +49 1774973430

Eine gesonderte Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO sowie § 38 BDSG nicht erforderlich.

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der Nutzerin/des Nutzers oder auf Grundlage einer anderen gesetzlichen Rechtsgrundlage.

2.2 Rechtsgrundlagen der Datenverarbeitung

Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ergeben sich insbesondere aus:

Art. 6 Abs. 1 lit. a DSGVO:Einwilligung der betroffenen Person
Art. 6 Abs. 1 lit. b DSGVO:Erfüllung eines Vertrags oder vorvertragliche Maßnahmen
Art. 6 Abs. 1 lit. c DSGVO:Erfüllung einer rechtlichen Verpflichtung
Art. 6 Abs. 1 lit. f DSGVO:Wahrung berechtigter Interessen

2.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung darüber hinaus erfolgt nur, wenn dies durch europäische oder nationale Gesetzgebung (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen) vorgesehen ist. Konkrete Speicherfristen sind in den jeweiligen Abschnitten unten ausgewiesen.

3. Hosting und Bereitstellung der Websites

3.1 Hosting-Provider

Beide Websites werden gehostet bei der

Hetzner Online GmbH
Industriestraße 25
91710 Gunzenhausen
Deutschland

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Datenverarbeitung findet auf einem Server im Rechenzentrum Helsinki, Finnland (EU/EWR) statt. Eine Übermittlung in Drittländer findet im Rahmen des Hostings nicht statt.

3.2 Server-Logfiles

Beim Aufruf der Websites werden vom Webserver automatisch folgende technische Informationen verarbeitet:

Gekürzte IP-Adresse (anonymisiert, die letzten Oktette werden vor der Speicherung entfernt, eine Re-Identifikation einzelner Nutzer ist nicht möglich)
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Datei
Übertragene Datenmenge
Meldung über erfolgreichen Abruf
Verwendeter Browser und Betriebssystem
Referrer-URL (zuvor besuchte Seite)

Zweck: Sicherstellung der Stabilität und Sicherheit der Anwendungen, Fehleranalyse, Schutz vor Missbrauch.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit und Sicherheit).

Speicherdauer: Maximal 7 Tage. Eine Zusammenführung mit anderen Datenbeständen findet nicht statt.

4. Aria Strategy Self-Check

Dieser Abschnitt gilt ausschließlich für check.aria-strategy.com.

4.1 Beschreibung der Verarbeitung

Unter check.aria-strategy.com bieten wir ein Self-Assessment-Tool („Aria Strategy Self-Check") an, mit dem Nutzerinnen und Nutzer eine Einschätzung zum Reifegrad ihrer KI-Governance-Praxis erhalten können. Die Nutzung des Tools ist freiwillig und kostenlos.

4.2 Verarbeitete Daten

a) Self-Check-Antworten und Berechnungs-Ergebnis

Inhaltliche Antworten auf die gestellten Fragen werden während der laufenden Sitzung temporär in der Datenbank gespeichert und unmittelbar nach Anzeige des Ergebnisses automatisch gelöscht. Eine dauerhafte Speicherung der Einzel-Antworten findet nicht statt.
Pseudonyme Session-ID zur Zuordnung von Antworten während der Sitzung (Cookie aria_session_id)
Automatisiert berechneter Score (0-100), Risk-Level und Produkt-Empfehlung. Diese Berechnungs-Ergebnisse werden ausschließlich in Verbindung mit Kontaktdaten dauerhaft gespeichert (siehe Punkt b).

b) Kontaktdaten (freiwillig, nur bei Wunsch nach Ergebnis-Zustellung)

Vor- und Nachname
E-Mail-Adresse
Unternehmen/Organisation
Position/Funktion
Telefonnummer (optional)
Tracking-Quelle (UTM-Parameter aus dem Aufruf-Link, sofern vorhanden)
Einwilligungs-Status mit Zeitstempel (zur Dokumentation der Einwilligung gemäß Art. 7 DSGVO)

Hinweis zur Pseudonymisierung: Die Berechnungs-Ergebnisse werden nur dann mit Kontaktdaten verknüpft, wenn die Nutzerin/der Nutzer freiwillig Kontaktdaten angibt und einwilligt. In diesem Fall liegt eine Pseudonymisierung vor, eine vollständige Anonymität ist dann nicht mehr gegeben.

4.3 Zwecke und Rechtsgrundlagen

a) Durchführung des Self-Checks und Anzeige des Ergebnisses
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der angeforderten Leistung).

b) Zusendung des Ergebnisberichts per E-Mail
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

c) Kontaktaufnahme zur Vertiefung möglicher Beratungsleistungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung wird durch aktives Setzen einer Checkbox vor Übermittlung der Daten erklärt. Eine vorausgewählte Checkbox kommt nicht zum Einsatz.

4.4 Automatisierte Auswertung

Die Antworten werden durch eine regelbasierte Scoring-Engine automatisiert ausgewertet und einem Reifegrad-Score zugeordnet. Eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt. Die Auswertung dient ausschließlich zur Information der Nutzerin/des Nutzers und zur Vorbereitung eines möglichen Beratungsgesprächs.

4.5 Speicherdauer

Datenkategorie	Speicherdauer
Pseudonyme Session-Antworten ohne Übermittlung der Kontaktdaten	unmittelbare Löschung nach Sitzungsende, spätestens nach 24 Stunden
Lead-Datensatz (Kontaktdaten + Berechnungs-Ergebnis + Einwilligungs-Status)	12 Monate nach letzter Interaktion, anschließend automatisierte Löschung
Bei Zustandekommen einer Geschäftsbeziehung	gemäß handels- und steuerrechtlichen Aufbewahrungsfristen (bis zu 10 Jahre, §§ 147 AO, 257 HGB)

Bei Widerruf der Einwilligung erfolgt die Löschung unverzüglich.

5. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren (z. B. an hello@aria-strategy.com), werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet.

Verarbeitete Daten: Absender-E-Mail-Adresse, Name (sofern angegeben), Inhalt der Nachricht.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragsanbahnung)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen)

Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage. Bei geschäftlicher Korrespondenz gelten die handelsrechtlichen Aufbewahrungsfristen (bis zu 6 Jahre, § 257 HGB).

6. Cookies und vergleichbare Technologien

Die Marketing-Website aria-strategy.com setzt keine Cookies. Die folgenden Cookies werden ausschließlich von check.aria-strategy.com verwendet.

Cookie-Name	Zweck	Speicherdauer
`aria_session_id`	Zuordnung von Nutzeranfragen während der Sitzung (Self-Check)	Sitzungsdauer
`aria_lang`	Speicherung der Sprachpräferenz (DE/EN/NL)	12 Monate

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies, keine Einwilligung erforderlich).

Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich.

7. Empfänger und Auftragsverarbeiter

Im Rahmen der Datenverarbeitung greifen wir auf folgende Auftragsverarbeiter zurück, mit denen jeweils ein AVV nach Art. 28 DSGVO besteht:

Anbieter	Geltungsbereich	Sitz	Zweck	Drittland?
Hetzner Online GmbH	aria-strategy.com und check.aria-strategy.com	Deutschland (Server Helsinki, FI)	Hosting der Websites, Bereitstellung der Postgres-Datenbank	nein (EU/EWR)
Hetzner Mail	check.aria-strategy.com	Deutschland	Versand der Self-Check-Ergebnisbestätigungen und interner Notifications	nein (EU/EWR)
42he GmbH (CentralStation CRM)	check.aria-strategy.com	Köln, Deutschland	Lead-Verwaltung. Bei abgeschlossenem Self-Check werden Kontaktdaten plus eine Notiz mit Score und Empfehlung übermittelt.	nein (EU/EWR)
Cal.com, Inc. (EU-Region)	check.aria-strategy.com	Cal.com Inc. mit Sitz USA, EU-Region-Hosting	Termin-Buchungs-Service (Erstgesprächs-Vereinbarung). Bei Klick auf den Buchungs-Button werden Name, E-Mail-Adresse und der gewählte Termin übermittelt.	EU-Region-Hosting, Daten verbleiben in der EU. Standardvertragsklauseln (SCC) sind im AVV vereinbart.
Bunnyway d.o.o. (Bunny.net Fonts)	aria-strategy.com und check.aria-strategy.com	Slowenien, EU	Bereitstellung der Inter-Schriftart über fonts.bunny.net (datenschutzfreundliche Alternative zu Google Fonts). Beim Aufruf der Schriftart wird die IP-Adresse des Nutzers an Bunny.net übermittelt.	nein (EU/EWR)

Eine Übermittlung personenbezogener Daten an Empfänger außerhalb der oben genannten Auftragsverarbeiter findet nicht statt. Eine operative Datenverarbeitung in Drittländern (außerhalb der EU/des EWR) findet nicht statt.

8. Externe Links

Unsere Websites können Verweise auf externe Websites und Profile enthalten. Beim Klick auf einen solchen Verweis verlassen Sie unseren Geltungsbereich. Für die Datenverarbeitung auf den verlinkten Websites sind wir nicht verantwortlich. Es gilt jeweils die Datenschutzerklärung des verlinkten Anbieters.

Eingebundene Inhalte wie Social Plugins werden auf unseren Seiten nicht verwendet.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Hierzu gehören insbesondere:

Verschlüsselte Datenübertragung mittels TLS/SSL (HTTPS) mit automatischer Zertifikats-Erneuerung über Let's Encrypt
Zugriffskontrolle und Token-basierte Authentifizierung für administrative Bereiche
Security Headers (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy)
Rate Limiting zum Schutz vor automatisiertem Missbrauch
IP-Anonymisierung in Server-Logs
Aktuelles Patching aller Systemkomponenten
Logging und Monitoring zur Erkennung von Sicherheitsvorfällen

Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.

10. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht	Inhalt	Rechtsgrundlage
Auskunft	Auskunft über die zu Ihrer Person gespeicherten Daten	Art. 15 DSGVO
Berichtigung	Berichtigung unrichtiger oder unvollständiger Daten	Art. 16 DSGVO
Löschung	Löschung Ihrer Daten („Recht auf Vergessenwerden")	Art. 17 DSGVO
Einschränkung	Einschränkung der Verarbeitung	Art. 18 DSGVO
Datenübertragbarkeit	Erhalt Ihrer Daten in maschinenlesbarem Format	Art. 20 DSGVO
Widerspruch	Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen	Art. 21 DSGVO
Widerruf	Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft	Art. 7 Abs. 3 DSGVO

Zur Geltendmachung Ihrer Rechte wenden Sie sich an: hello@aria-strategy.com

Wir prüfen Ihr Anliegen unverzüglich und antworten in der Regel innerhalb eines Monats. Bei komplexen Anfragen kann sich die Frist um zwei weitere Monate verlängern; in diesem Fall werden Sie hierüber informiert.

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres Wohnorts oder die für uns zuständige Aufsichtsbehörde wenden:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Website: datenschutz.hessen.de

Eine Liste aller Aufsichtsbehörden in Deutschland finden Sie unter: bfdi.bund.de

12. Pflicht zur Bereitstellung der Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, Daten bereitzustellen.

Folgen einer Nichtbereitstellung:

Ohne Beantwortung der Self-Check-Fragen kann der Self-Check nicht durchgeführt werden.
Ohne Angabe von Kontaktdaten kann kein Ergebnisbericht zugesandt werden und keine individuelle Beratungsanfrage bearbeitet werden.

Über die genannten Funktionseinschränkungen hinaus entstehen Ihnen aus einer Nichtbereitstellung keine Nachteile.

13. Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Die im Self-Check eingesetzte Scoring-Engine dient lediglich der Information und ersetzt keine individuelle Beratung.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Funktionen, geänderter rechtlicher Vorgaben oder behördlicher Anforderungen erforderlich wird. Es gilt jeweils die zum Zeitpunkt der Nutzung abrufbare Version.

Wesentliche Änderungen werden auf den Anwendungen kommuniziert. Bestehenden Kontakten kommunizieren wir wesentliche Änderungen zusätzlich per E-Mail, soweit eine entsprechende Kommunikationsbeziehung besteht.

Stand: Mai 2026