IFA — Startup Impact Acceleration

Ein Projekt von Anthropia

Rechtliches

Datenschutzerklärung

Stand: 2026-04-22 · Für das Bewerbungs-Portal der IFA Startup Impact Acceleration

Hinweis: Diese Erklärung beschreibt, welche Daten wir beim Bewerbungsprozess verarbeiten und warum. Sie ist in einfachem Deutsch gehalten und enthält alle Angaben, die Art. 13 DSGVO vorschreibt.

1. Verantwortlicher

[PLATZHALTER Firmenname]
[PLATZHALTER Straße und Hausnummer]
[PLATZHALTER PLZ Ort]
Telefon: [PLATZHALTER Telefonnummer]
Email: [PLATZHALTER Kontakt-Email]

Die Geschäftsführung übernimmt die Funktion des Datenschutzbeauftragten. Du erreichst sie unter der obigen Email-Adresse.

2. Welche Daten wir verarbeiten

  • Grunddaten: Startup-Name, Ansprechpartner-Name, Email, Teamgröße, Umsatz im letzten Jahr, aktueller Runway.
  • Pitch Deck: Die von dir hochgeladene PDF-Datei.
  • Pitch-Deck-Textauszug: Der automatisch extrahierte Textinhalt deines Decks (ohne Bilder, max. 8.000 Zeichen).
  • Interview-Audio und Transkript: Die Audio-Aufnahme deines Gesprächs mit dem KI-Sprachagenten und das automatisch erzeugte schriftliche Transkript.
  • Technische Daten: IP-Adresse (gekürzt, letzte Stelle anonymisiert), User-Agent, Zeitstempel deiner Einwilligungen, deine Bewerbungs-ID.
  • Protokollereignisse: Welche Schritte der Bewerbung du wann durchlaufen hast (Audit-Log zur technischen Nachvollziehbarkeit).

3. Zwecke und Rechtsgrundlage

Wir verarbeiten diese Daten ausschließlich, um deine Bewerbung für das IFA Startup Impact Acceleration-Programm (Kohorte 2026) zu prüfen.

Rechtsgrundlage: Deine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Du gibst zwei getrennte Einwilligungen:

  • Die Aufklärung zum KI-gestützten Bewerbungsprozess zur Kenntnis zu nehmen.
  • Der Audio-Aufnahme und Verarbeitung des Interviews zuzustimmen.

Beide Einwilligungen werden mit Zeitstempel, Policy-Version, anonymisierter IP und Browserkennung revisionssicher protokolliert, damit wir sie nach Art. 7 Abs. 1 DSGVO nachweisen können.

4. Wer deine Daten bekommt (Empfänger und Auftragsverarbeiter)

  • Microsoft (Azure, SharePoint, Outlook, Document Intelligence): Hosting, Dateiablage, Bestätigungs-Email, automatische PDF-Text-Extraktion. Verarbeitung im EU-Rechenzentrum (Germany West Central). Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht.
  • ElevenLabs Inc. (USA): Durchführung des KI-Sprachinterviews, Speech-to-Text-Transkription, Voice-Synthesis. Übermittlung in ein Drittland — siehe Abschnitt 6.

Wir geben deine Daten darüber hinaus nicht an Dritte weiter. Insbesondere findet kein Verkauf und keine Werbemaßnahme statt.

5. KI-Einsatz und menschliche Letztentscheidung (Art. 22 DSGVO, EU AI Act)

Wir setzen KI-Systeme als Hilfsmittel ein:

  • KI-Sprachagent (ElevenLabs Convai) führt das Interview und generiert Text und synthetische Stimme.
  • Azure Document Intelligence extrahiert Text aus deinem Pitch Deck.

Kein Automatismus bei der Entscheidung: Über Aufnahme oder Ablehnung deiner Bewerbung entscheidet immer unser Team. Es gibt keine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO. Das KI-Interview dient dazu, die Gespräche einheitlich zu strukturieren; das Transkript ist eine Vorbereitung für die menschliche Bewertung.

Wir betrachten unseren KI-Einsatz konservativ nach dem EU AI Act. Unsere Transparenzpflichten aus Art. 50 EU AI Act erfüllen wir durch die klar sichtbare Aufklärung vor dem Interview und diese Erklärung.

6. Übermittlung in die USA (ElevenLabs)

Das Interview läuft über ElevenLabs Inc. mit Sitz in den USA. Als Rechtsgrundlage für die Übermittlung dienen die EU-Standardvertragsklauseln (2021/914) nach Art. 46 Abs. 2 lit. c DSGVO. Diese werden zusammen mit dem Auftragsverarbeitungsvertrag mit ElevenLabs vor dem Produktiv-Start des Portals abgeschlossen. Bis zum Abschluss verwenden wir das Portal ausschließlich für interne Tests — keine echten Bewerberdaten werden vor der Unterzeichnung verarbeitet.

Du hast das Recht, eine Kopie dieser Klauseln bei uns anzufordern. Trotz der Standardvertragsklauseln bleibt das Risiko, dass US-Behörden unter dem US-Recht (z.B. CLOUD Act) auf die Daten zugreifen. Mit deiner Einwilligung zur Audio-Aufnahme bestätigst du, dieses Risiko zur Kenntnis genommen zu haben.

7. Wie lange wir deine Daten speichern

Deine Bewerbungsdaten (Grunddaten, Deck, Transkript, Interview-Metadaten) werden 12 Monate nach Abschluss deiner Bewerbung automatisiert gelöscht. Nimmst du am Programm teil, werden die Daten bis zum Ende der Programmteilnahme aufbewahrt und anschließend gelöscht.

Technische Protokolle (Audit-Log, Einwilligungs-Events) werden zusammen mit den Bewerbungsdaten gelöscht. Systemprotokolle der VM (nginx-Logs, systemd-Journal) werden nach 14 Tagen rotiert.

8. Deine Rechte

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16) — Korrektur falscher Daten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — deine Daten in einem gängigen Format
  • Widerspruch (Art. 21) gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft

Um eines dieser Rechte auszuüben, schreib eine formlose Email an [PLATZHALTER Kontakt-Email]. Wir antworten innerhalb eines Monats.

Beschwerderecht: Du kannst dich zusätzlich bei der für uns zuständigen Aufsichtsbehörde beschweren. Für uns ist das der/die Landesbeauftragte für Datenschutz und Informationsfreiheit [PLATZHALTER Bundesland].

9. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen folgende technisch-organisatorische Maßnahmen um:

  • Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen
  • Secrets ausschließlich in Azure Key Vault, Zugriff über Managed Identity
  • Webhook-Signaturprüfung per HMAC-SHA256
  • Strikte Server-seitige Prüfung aller Eingaben (UUID-Validierung, PDF-Magic-Bytes, MIME-Type)
  • Zeitsichere String-Vergleiche für geheime Tokens
  • Tägliche verschlüsselte Backups mit automatischer 90-Tage-Löschung
  • Hardening des systemd-Service (NoNewPrivileges, ProtectSystem=strict)
  • Content-Security-Policy, HSTS, X-Content-Type-Options und weitere Security-Header
  • Zentrale Log-Sammlung mit Azure Monitor / Log Analytics (Alert-Regeln werden sukzessive aufgeschaltet)

10. Cookies und Tracking

Wir verwenden ein einziges technisch notwendiges Cookie (ifa_application_id) zur Identifikation deiner laufenden Bewerbung. Dieses Cookie ist httpOnly, sameSite=lax, nur 24 Stunden gültig und wird ausschließlich server-seitig ausgewertet.

Kein Tracking, kein Analytics, keine Werbe-Cookies, keine externen Tracker. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich, da das Cookie zur Bereitstellung des von dir ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.

11. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Die jeweils aktuelle Version findest du unter dieser URL. Den Stand findest du am Seitenanfang.