Anthropia Inkubationsprogramm

Ein Projekt von Anthropia

Rechtliches

Datenschutzerklärung

Stand: 2026-05-08 · Für das Bewerbungs-Portal des Anthropia Inkubationsprogramms (IFI)

Hinweis: Diese Erklärung beschreibt, welche Daten wir beim Bewerbungsprozess für das Inkubationsprogramm verarbeiten und warum. Sie ist in einfachem Deutsch gehalten und enthält alle Angaben, die Art. 13 DSGVO vorschreibt.

1. Verantwortlicher

Anthropia gGmbH
Franz-Haniel-Platz 4
47119 Duisburg
Telefon: +49 152 09327338
Email: info@anthropia.de

Die Geschäftsführung übernimmt die Funktion des Datenschutzbeauftragten. Du erreichst sie unter der obigen Email-Adresse.

2. Welche Daten wir verarbeiten

  • Stammdaten: Startup-Name, Ansprechpartner-Name, E-Mail-Adresse und die Bewerbungs-Kohorte. Diese kommen aus dem Vorformular zu Beginn der Bewerbung.
  • Value Proposition Canvas (VPC): Die von dir als PDF hochgeladene Datei. Wir lesen die Datei NICHT automatisch aus (kein Text-Extract, keine Bild-Erkennung) und nutzen sie nur als Anhang für die Reviewer:innen.
  • Antworten auf die Pflichtfragen: Der Text, den du zu jeder Pflichtfrage des Wizards einträgst, jeweils zusammen mit Zeichenanzahl und Antwortzeit (technische Auswertungs-Hilfe für unser Programm-Team).
  • Reflexions-Verlauf: Der Dialog im abschließenden Reflexions-Schritt. Beide Sprecher (System-Prompt und deine Antwort) werden gespeichert.
  • FAQ-Rückfragen: Wenn du den FAQ-Hilfsdialog im Wizard nutzt, speichern wir deine Frage und die FAQ-Antwort des KI-Modells. Falls die Antwort durch unsere Sicherheitsfilter blockiert wurde, speichern wir den Sperr-Grund. Diese Rückfragen sind ausschließlich Hilfsgespräche zum Programm und werden NICHT für die Bewerbungsbewertung herangezogen.
  • Magic-Link-Token: Ein zufälliger Schlüssel, mit dem du deine begonnene Bewerbung in einem anderen Browser fortsetzen kannst. Wir speichern nur einen kryptographischen Hash, nicht den Token selbst.
  • Technische Daten: Anonymisierte IP-Adresse (letztes Oktett auf 0 gesetzt), User-Agent-Familie, Zeitstempel deiner Einwilligung, deine technische Bewerbungs-ID.
  • Protokollereignisse (Audit-Log): Welche Schritte der Bewerbung du wann durchlaufen hast — zur technischen Nachvollziehbarkeit und für Reklamationen.

3. Zwecke und Rechtsgrundlage

Wir verarbeiten diese Daten ausschließlich, um deine Bewerbung für das Anthropia Inkubationsprogramm (laufende Kohorte) zu prüfen.

Rechtsgrundlage: Deine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Mit dem Absenden des Vorformulars bestätigst du, die Aufklärung zum KI-Einsatz (FAQ-Hilfsdialog via Google Gemini) und zur menschlichen Letztentscheidung zur Kenntnis genommen zu haben.

Deine Einwilligung wird mit Zeitstempel, Policy-Version (kryptographischer Hash dieser Erklärung), anonymisierter IP und Browser-Familie revisionssicher protokolliert, damit wir sie nach Art. 7 Abs. 1 DSGVO nachweisen können.

4. Wer deine Daten bekommt (Empfänger und Auftragsverarbeiter)

  • Microsoft (Azure, SharePoint, Outlook): Hosting der virtuellen Maschine, Dateiablage deiner abgeschickten Bewerbung, Versand der Bestätigungs-E-Mail. Verarbeitung im EU-Rechenzentrum (Germany West Central). Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht.
  • Google LLC / Google Ireland Ltd. (Gemini API): Wenn du den FAQ-Hilfsdialog im Bewerbungs-Wizard nutzt, schicken wir deine Frage an Google Gemini, um eine sachliche Antwort aus unserer FAQ-Wissensbasis zu generieren. Übermittelt werden ausschließlich der Text deiner Frage und unsere FAQ-Wissensbasis. Keine Stammdaten, keine Antworten aus den Pflichtfragen, keine VPC-Inhalte werden an Google übertragen. Übermittlung kann in ein Drittland erfolgen — siehe Abschnitt 6.
  • Anthropia-interne Reviewer:innen: Mitarbeitende der Anthropia gGmbH greifen auf deine abgesendete Bewerbung in unserem internen SharePoint zu, um sie zu prüfen. Der Zugriff erfolgt ausschließlich mit deren persönlichem Anthropia-M365-Konto.

Wir geben deine Daten darüber hinaus nicht an Dritte weiter. Insbesondere findet kein Verkauf und keine Werbemaßnahme statt.

5. KI-Einsatz und menschliche Letztentscheidung (Art. 22 DSGVO, EU AI Act)

Im Bewerbungsportal des Inkubationsprogramms setzen wir KI an genau einer Stelle ein:

  • FAQ-Hilfsdialog (Google Gemini 3.1 Pro): Im Wizard kannst du jederzeit Rückfragen zum Programm stellen. Diese werden mit unserer FAQ-Wissensbasis an Gemini geschickt; das Modell antwortet sachlich auf Basis dieser Wissensbasis. Eingangsfilter blockieren Versuche, das Modell zu instruieren; Ausgangsfilter blockieren Bewertungs-, Empfehlungs- und Versprechens-Sprache, sodass das Modell deine Bewerbungs-Chancen NIEMALS kommentiert. Wenn die Antwort nicht aus der Wissensbasis ableitbar ist, gibt das Modell einen Standard-Hinweis aus, sich direkt an info@anthropia.de zu wenden.

Kein Automatismus bei der Entscheidung: Über Aufnahme oder Ablehnung deiner Bewerbung entscheidet immer unser Team. Es gibt keine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO. Das Portal sammelt deine Antworten und deinen VPC-Upload und leitet beides an unser Programm-Team weiter. Die KI im FAQ-Hilfsdialog hat KEINEN Zugriff auf deine Antworten oder deinen VPC und ist nicht Teil der Entscheidungsfindung.

Wir betrachten unseren KI-Einsatz konservativ nach dem EU AI Act. Unsere Transparenzpflichten aus Art. 50 EU AI Act erfüllen wir durch die klar sichtbare Aufklärung im Bewerbungs-Wizard und diese Erklärung. Eine vollständige Selbst-Einschätzung dokumentieren wir intern unter docs/compliance/eu-ai-act-assessment.md und stellen sie auf Anfrage zur Verfügung.

6. Übermittlung in Drittländer (Google Gemini)

Google LLC (Gemini API): Der FAQ-Hilfsdialog im Wizard läuft über die Gemini-API von Google LLC (Mountain View, USA), bzw. den europäischen Vertragspartner Google Ireland Ltd. Als Rechtsgrundlage dient Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit den EU-Standardvertragsklauseln sowie dem von Google bereitgestellten Auftragsverarbeitungsvertrag (Google Cloud Data Processing Addendum). Google ist seit 2023 unter dem EU-US Data Privacy Framework zertifiziert, was die Übermittlung in die USA zusätzlich nach Art. 45 DSGVO absichert.

Übermittelt werden ausschließlich der Text deiner FAQ-Frage und unsere FAQ-Wissensbasis. Stammdaten (E-Mail, Name etc.), deine Pflichtfragen-Antworten und dein VPC-Upload werden NICHT an Google übermittelt.

Du hast das Recht, eine Kopie der Standardvertragsklauseln bei uns anzufordern. Trotz dieser Schutzmechanismen bleibt das Restrisiko, dass US-Behörden unter dem US-Recht (z.B. CLOUD Act) auf Daten zugreifen. Mit deiner Einwilligung bestätigst du, dieses Risiko zur Kenntnis genommen zu haben.

7. Wie lange wir deine Daten speichern

Deine Bewerbungsdaten (Grunddaten, Deck, Transkript, Interview-Metadaten) werden 12 Monate nach Abschluss deiner Bewerbung automatisiert gelöscht. Nimmst du am Programm teil, werden die Daten bis zum Ende der Programmteilnahme aufbewahrt und anschließend gelöscht.

Technische Protokolle (Audit-Log, Einwilligungs-Events) werden zusammen mit den Bewerbungsdaten gelöscht. Systemprotokolle der VM (nginx-Logs, systemd-Journal) werden nach 14 Tagen rotiert.

FAQ-Rückfragen und der Reflexions-Verlauf werden gemeinsam mit deiner Bewerbung gelöscht. Wenn du eine begonnene Bewerbung NICHT abschickst, löschen wir die unvollständige Bewerbung nach 30 Tagen automatisch.

8. Deine Rechte

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16) — Korrektur falscher Daten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — deine Daten in einem gängigen Format
  • Widerspruch (Art. 21) gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft

Um eines dieser Rechte auszuüben, schreib eine formlose Email an info@anthropia.de. Wir antworten innerhalb eines Monats.

Beschwerderecht: Du kannst dich zusätzlich bei der für uns zuständigen Aufsichtsbehörde beschweren. Für uns ist das die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

9. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen folgende technisch-organisatorische Maßnahmen um:

  • Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen
  • Secrets ausschließlich in Azure Key Vault, Zugriff über Managed Identity
  • Webhook-Signaturprüfung per HMAC-SHA256
  • Strikte Server-seitige Prüfung aller Eingaben (UUID-Validierung, PDF-Magic-Bytes, MIME-Type)
  • Zeitsichere String-Vergleiche für geheime Tokens
  • Tägliche verschlüsselte Backups mit automatischer 90-Tage-Löschung
  • Hardening des systemd-Service (NoNewPrivileges, ProtectSystem=strict)
  • Content-Security-Policy, HSTS, X-Content-Type-Options und weitere Security-Header
  • Zentrale Log-Sammlung mit Azure Monitor / Log Analytics (Alert-Regeln werden sukzessive aufgeschaltet)
  • Mehrstufiger Filter um den FAQ-Hilfsdialog: Eingangsfilter gegen Prompt-Injection, Ausgangsfilter gegen Bewertungs-/Versprechens-Sprache, kontrollierter Fallback-Satz wenn die FAQ-Wissensbasis keine Antwort liefert
  • Rate-Limit auf den FAQ-Hilfsdialog (max. 5 Rückfragen pro Bewerbung im 30-Minuten-Fenster) zum Schutz vor Missbrauch

10. Cookies und Tracking

Wir verwenden ein einziges technisch notwendiges Cookie (ifi_application_id) zur Identifikation deiner laufenden Bewerbung. Dieses Cookie ist httpOnly, sameSite=lax, nur 24 Stunden gültig und wird ausschließlich server-seitig ausgewertet.

Kein Tracking, kein Analytics, keine Werbe-Cookies, keine externen Tracker. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich, da das Cookie zur Bereitstellung des von dir ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.

11. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Die jeweils aktuelle Version findest du unter dieser URL. Den Stand findest du am Seitenanfang.