Ein Programm von AnthropiaIFA — Startup Impact Acceleration

Rechtliches

Datenschutzerklärung

Stand: 2026-04-30 · Für das Bewerbungs-Portal der IFA Startup Impact Acceleration

Hinweis: Diese Erklärung beschreibt, welche Daten wir beim Bewerbungsprozess verarbeiten und warum. Sie ist in einfachem Deutsch gehalten und enthält alle Angaben, die Art. 13 DSGVO vorschreibt.

1. Verantwortlicher

Anthropia gGmbH
Franz-Haniel-Platz 4
47119 Duisburg
Telefon: +49 152 09327338
Email: info@anthropia.de

Die Geschäftsführung übernimmt die Funktion des Datenschutzbeauftragten. Du erreichst sie unter der obigen Email-Adresse.

2. Welche Daten wir verarbeiten

  • Grunddaten: Startup-Name, Ansprechpartner-Name, Email, Teamgröße, Umsatz im letzten Jahr, aktueller Runway.
  • Pitch Deck: Die von dir hochgeladene PDF-Datei.
  • Pitch-Deck-Textauszug: Der automatisch extrahierte Textinhalt deines Decks (ohne Bilder, max. 8.000 Zeichen).
  • Interview-Audio und Transkript: Die Audio-Aufnahme deines Gesprächs mit dem KI-Sprachagenten und das automatisch erzeugte schriftliche Transkript.
  • Technische Daten: IP-Adresse (gekürzt, letzte Stelle anonymisiert), User-Agent, Zeitstempel deiner Einwilligungen, deine Bewerbungs-ID.
  • Protokollereignisse: Welche Schritte der Bewerbung du wann durchlaufen hast (Audit-Log zur technischen Nachvollziehbarkeit).
  • KI-erzeugte Zusammenfassung deines Interviews: Eine ca. 250-Wörter-Verdichtung des Transkripts in fünf Abschnitten (Kerngeschäft, Team, aktueller Stand, Risiken, Stärken). Wird auf Anforderung der Reviewer:innen erzeugt und ersetzt nicht das Originaltranskript.
  • KI-Vor-Bewertungen (Reviewer-Dashboard): Pro Bewerbung können Reviewer:innen über ein internes Tool eine algorithmische Vor-Einschätzung anstoßen. Diese liefert pro fünf Dimensionen (Readiness, Impact, Vertrieb/Wachstum, Marketing, Finanzierung) jeweils einen Score von 0–10 plus eine kurze Begründung. Diese Vor-Einschätzung ist ausschließlich Entscheidungs-Vorbereitung — die finale Bewertung trifft das Reviewer-Team manuell (siehe Abschnitt 5).
  • Reviewer-Override-Daten: Die endgültigen, von Menschen vergebenen Scores und Begründungen pro Dimension. Sie werden zusammen mit der KI-Vor-Bewertung aufbewahrt, damit die Letztentscheidung nachvollziehbar bleibt.

3. Zwecke und Rechtsgrundlage

Wir verarbeiten diese Daten ausschließlich, um deine Bewerbung für das IFA Startup Impact Acceleration-Programm (Kohorte 2026) zu prüfen.

Rechtsgrundlage: Deine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Du gibst zwei getrennte Einwilligungen:

  • Die Aufklärung zum KI-gestützten Bewerbungsprozess zur Kenntnis zu nehmen.
  • Der Audio-Aufnahme und Verarbeitung des Interviews zuzustimmen.

Beide Einwilligungen werden mit Zeitstempel, Policy-Version, anonymisierter IP und Browserkennung revisionssicher protokolliert, damit wir sie nach Art. 7 Abs. 1 DSGVO nachweisen können.

4. Wer deine Daten bekommt (Empfänger und Auftragsverarbeiter)

  • Microsoft (Azure, SharePoint, Outlook, Document Intelligence): Hosting, Dateiablage, Bestätigungs-Email, automatische PDF-Text-Extraktion. Verarbeitung im EU-Rechenzentrum (Germany West Central). Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht.
  • ElevenLabs Inc. (USA): Durchführung des KI-Sprachinterviews, Speech-to-Text-Transkription, Voice-Synthesis. Übermittlung in ein Drittland — siehe Abschnitt 6.
  • Google LLC / Google Ireland Ltd. (Gemini API): Erzeugung der KI-Zusammenfassung des Interview-Transkripts und der KI-Vor-Bewertung in den fünf Dimensionen. Übermittelt werden ausschließlich der Transkript-Text, der extrahierte Pitch-Deck-Text und der Startup-Name; keine personenbezogenen Stammdaten (E-Mail, Name etc. werden vor der API-Anfrage entfernt). Übermittlung kann in ein Drittland erfolgen — siehe Abschnitt 6.
  • Anthropia-interne Reviewer:innen: Mitarbeitende der Anthropia gGmbH greifen über ein internes, durch Microsoft-365- Login geschütztes Reviewer-Dashboard auf deine Bewerbungsdaten zu, um sie zu bewerten. Der Zugriff erfolgt mit deren persönlichem Anthropia-M365-Konto; Reviewer-Aktionen werden in einem pseudonymisierten Audit-Log dokumentiert (die E-Mail-Adresse der Reviewer:innen wird per SHA-256 gehasht in der Spur abgelegt und ist von deinen Bewerbungsdaten getrennt löschbar).

Wir geben deine Daten darüber hinaus nicht an Dritte weiter. Insbesondere findet kein Verkauf und keine Werbemaßnahme statt.

5. KI-Einsatz und menschliche Letztentscheidung (Art. 22 DSGVO, EU AI Act)

Wir setzen KI-Systeme als Hilfsmittel ein:

  • KI-Sprachagent (ElevenLabs Convai) führt das Interview und generiert Text und synthetische Stimme.
  • Azure Document Intelligence extrahiert Text aus deinem Pitch Deck.
  • Google Gemini 3.1 Pro erzeugt — auf ausdrückliche Anforderung einer Reviewer:in im internen Reviewer-Dashboard — eine verdichtete Zusammenfassung deines Transkripts und eine algorithmische Vor-Einschätzung in den fünf Dimensionen Readiness, Impact, Wachstum/Vertrieb, Marketing und Finanzierung mit jeweiliger Begründung.

Kein Automatismus bei der Entscheidung: Über Aufnahme oder Ablehnung deiner Bewerbung entscheidet immer unser Team. Es gibt keine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO. Das KI-Interview dient dazu, die Gespräche einheitlich zu strukturieren; das Transkript, die Zusammenfassung und die KI-Vor-Bewertung sind ausschließlich Vorbereitung für die menschliche Bewertung.

Reviewer-Letztentscheidung mit dokumentiertem Override: Jede Reviewer:in setzt im Dashboard ihren eigenen finalen Score und die zugehörige Begründung pro Dimension. Beide Datensätze — die KI-Vor-Bewertung und die Reviewer-Letztentscheidung — werden zusammen aufbewahrt, sodass jede Abweichung zwischen Vorschlag und Endentscheidung nachvollziehbar bleibt (Art. 14 Abs. 4 EU AI Act, Human-in-the-Loop-Pflicht).

Wir betrachten unseren KI-Einsatz konservativ nach dem EU AI Act. Unsere Transparenzpflichten aus Art. 50 EU AI Act erfüllen wir durch die klar sichtbare Aufklärung vor dem Interview und diese Erklärung. Eine vollständige Selbst-Einschätzung dokumentieren wir intern unter docs/compliance/eu-ai-act-assessment.md und stellen sie auf Anfrage zur Verfügung.

6. Übermittlung in Drittländer (ElevenLabs, Google)

ElevenLabs Inc. (USA): Das Interview läuft über ElevenLabs Inc. mit Sitz in den USA. Als Rechtsgrundlage für die Übermittlung dienen die EU-Standardvertragsklauseln (2021/914) nach Art. 46 Abs. 2 lit. c DSGVO. Diese werden zusammen mit dem Auftragsverarbeitungsvertrag mit ElevenLabs vor dem Produktiv-Start des Portals abgeschlossen. Bis zum Abschluss verwenden wir das Portal ausschließlich für interne Tests — keine echten Bewerberdaten werden vor der Unterzeichnung verarbeitet.

Google LLC (Gemini API): Die KI-Zusammenfassung und KI-Vor-Bewertung der Reviewer:innen läuft über die Gemini-API von Google LLC (Mountain View, USA), bzw. den europäischen Vertragspartner Google Ireland Ltd. Als Rechtsgrundlage dient ebenfalls Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit den EU-Standardvertragsklauseln sowie dem von Google bereitgestellten Auftragsverarbeitungsvertrag (Google Cloud Data Processing Addendum). Google ist seit 2023 unter dem EU-US Data Privacy Framework zertifiziert, was die Übermittlung in die USA zusätzlich nach Art. 45 DSGVO absichert.

Du hast das Recht, eine Kopie der jeweiligen Klauseln bei uns anzufordern. Trotz dieser Schutzmechanismen bleibt das Restrisiko, dass US-Behörden unter dem US-Recht (z.B. CLOUD Act) auf die Daten zugreifen. Mit deiner Einwilligung bestätigst du, dieses Risiko zur Kenntnis genommen zu haben.

7. Wie lange wir deine Daten speichern

Deine Bewerbungsdaten (Grunddaten, Deck, Transkript, Interview-Metadaten) werden 12 Monate nach Abschluss deiner Bewerbung automatisiert gelöscht. Nimmst du am Programm teil, werden die Daten bis zum Ende der Programmteilnahme aufbewahrt und anschließend gelöscht.

Technische Protokolle (Audit-Log, Einwilligungs-Events) werden zusammen mit den Bewerbungsdaten gelöscht. Systemprotokolle der VM (nginx-Logs, systemd-Journal) werden nach 14 Tagen rotiert.

KI-Vor-Bewertungen, Reviewer-Overrides und KI-erzeugte Zusammenfassungen werden gemeinsam mit der zugehörigen Bewerbung gelöscht. Reviewer-Identifikationen (Klartext-E-Mail) sind in einer separaten Tabelle abgelegt und können auf Verlangen einer Reviewer:in unabhängig von Bewerbungsdaten gelöscht werden — der pseudonymisierte Audit-Trail bleibt dabei erhalten, kann aber keiner natürlichen Person mehr zugeordnet werden.

8. Deine Rechte

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16) — Korrektur falscher Daten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — deine Daten in einem gängigen Format
  • Widerspruch (Art. 21) gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft

Um eines dieser Rechte auszuüben, schreib eine formlose Email an info@anthropia.de. Wir antworten innerhalb eines Monats.

Beschwerderecht: Du kannst dich zusätzlich bei der für uns zuständigen Aufsichtsbehörde beschweren. Für uns ist das die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

9. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen folgende technisch-organisatorische Maßnahmen um:

  • Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen
  • Secrets ausschließlich in der verschlüsselten Container-Laufzeitumgebung (Docker env_file, kein Application-Layer-Zugriff)
  • Webhook-Signaturprüfung per HMAC-SHA256
  • Strikte Server-seitige Prüfung aller Eingaben (UUID-Validierung, PDF-Magic-Bytes, MIME-Type)
  • Zeitsichere String-Vergleiche für geheime Tokens
  • Tägliche verschlüsselte Backups mit automatischer 90-Tage-Löschung
  • Container-Hardening (non-root User, tini PID 1, Multi-Stage-Build, digest-gepinntes Base-Image mit automatisierten Security-Updates)
  • Content-Security-Policy, HSTS, X-Content-Type-Options und weitere Security-Header
  • Zentrale Log-Sammlung mit Azure Monitor / Log Analytics (Alert-Regeln werden sukzessive aufgeschaltet)
  • Reviewer-Zugriff ausschließlich über Microsoft-Entra-Single-Sign-On (Single-Tenant-Modus): nur Mitarbeitende mit Anthropia-M365-Konto können sich am internen Reviewer-Dashboard authentifizieren
  • Pseudonymisierung von Reviewer-Identitäten im Audit-Log (SHA-256-Hash der E-Mail-Adresse, separat purgebare Identitäts-Mapping-Tabelle gemäß Art. 5 Abs. 1 lit. c DSGVO)
  • Idempotenz-Garantien für KI-Vor-Bewertungen (Datenbank-Constraint verhindert doppelte Anfragen pro Bewerbung) und Reviewer-Override (Last-Write-Wins pro Reviewer:in mit vollständiger Versions-Historie im Audit-Log)

10. Cookies und Tracking

Wir verwenden ein einziges technisch notwendiges Cookie (ifa_application_id) zur Identifikation deiner laufenden Bewerbung. Dieses Cookie ist httpOnly, sameSite=lax, nur 24 Stunden gültig und wird ausschließlich server-seitig ausgewertet.

Kein Tracking, kein Analytics, keine Werbe-Cookies, keine externen Tracker. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich, da das Cookie zur Bereitstellung des von dir ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.

11. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Die jeweils aktuelle Version findest du unter dieser URL. Den Stand findest du am Seitenanfang.