Anthropia Inkubationsprogramm

Ein Projekt von Anthropia

Rechtliches

Datenschutzerklärung

Stand: 2026-05-22 · Für das Bewerbungs-Portal des Anthropia Inkubationsprogramms (IFI)

Hinweis: Diese Erklärung beschreibt, welche Daten wir beim Bewerbungsprozess für das Inkubationsprogramm verarbeiten und warum. Sie ist in einfachem Deutsch gehalten und enthält alle Angaben, die Art. 13 DSGVO vorschreibt.

1. Verantwortlicher

Anthropia gGmbH
Franz-Haniel-Platz 4
47119 Duisburg
Telefon: +49 152 09327338
Email: ifi@anthropia.de

Die Geschäftsführung übernimmt die Funktion des Datenschutzbeauftragten. Du erreichst sie unter der obigen Email-Adresse.

2. Welche Daten wir verarbeiten

  • E-Mail-Adresse & Kohorte: Aus dem Vorformular zu Beginn der Bewerbung. Die E-Mail-Adresse dient dem Resume-Link und der Bestätigungs-E-Mail.
  • Kontakt- und Kurzprofil-Angaben: Startup-Name, Vor- und Nachname der Hauptansprechpartner:in, Telefonnummer, Standort sowie Kurzbeschreibung. Diese werden als Pflichtfragen im Bewerbungs-Chat erfasst (nicht mehr im Vorformular) und beim Absenden für Export und Bestätigungs-Mail verwendet.
  • Einwilligungs-Nachweise: Zwei getrennte Einwilligungs-Vorgänge aus dem Vorformular — die Kenntnisnahme dieser Datenschutzerklärung und die Einwilligung in die Verarbeitung deiner Bewerbungsdaten — werden mit Zeitstempel und Policy-Version dokumentiert.
  • Value Proposition Canvas (VPC): Die von dir als PDF hochgeladene Datei. Wir lesen die Datei NICHT automatisch aus (kein Text-Extract, keine Bild-Erkennung) und nutzen sie nur als Anhang für die Reviewer:innen.
  • Antworten auf die Pflichtfragen: Der Text, den du zu jeder Pflichtfrage des Wizards einträgst, jeweils zusammen mit Zeichenanzahl und Antwortzeit (technische Auswertungs-Hilfe für unser Programm-Team).
  • Magic-Link-Token: Ein zufälliger Schlüssel, mit dem du deine begonnene Bewerbung in einem anderen Browser fortsetzen kannst. Wir speichern nur einen kryptographischen Hash, nicht den Token selbst.
  • Technische Daten: Anonymisierte IP-Adresse (letztes Oktett auf 0 gesetzt), User-Agent-Familie, Zeitstempel deiner Einwilligung, deine technische Bewerbungs-ID.
  • Protokollereignisse (Audit-Log): Welche Schritte der Bewerbung du wann durchlaufen hast — zur technischen Nachvollziehbarkeit und für Reklamationen.

3. Zwecke und Rechtsgrundlage

Wir verarbeiten deine Daten für zwei klar getrennte Zwecke:

(a) Bewerbungsbearbeitung — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wir prüfen deine Bewerbung für das Anthropia Inkubationsprogramm (laufende Kohorte). Im Vorformular setzt du zwei getrennte Pflicht-Häkchen — die Kenntnisnahme dieser Datenschutzerklärung und die Einwilligung in die Verarbeitung deiner Bewerbungsdaten. Damit bestätigst du zugleich, die Aufklärung zur menschlichen Letztentscheidung über deine Bewerbung zur Kenntnis genommen zu haben.

(b) Technisches Fehler-Monitoring — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Wir verarbeiten technische Fehlerdaten (siehe Abschnitt 4 zu Sentry) zum sicheren, fehlerfreien Betrieb der Plattform und zur schnellen Fehlerdiagnose (Erwägungsgrund 49 DSGVO). Du kannst dieser Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen (siehe Abschnitt 8).

Deine Einwilligung wird mit Zeitstempel, Policy-Version (kryptographischer Hash dieser Erklärung), anonymisierter IP und Browser-Familie revisionssicher protokolliert, damit wir sie nach Art. 7 Abs. 1 DSGVO nachweisen können.

4. Wer deine Daten bekommt (Empfänger und Auftragsverarbeiter)

  • Microsoft (Azure, SharePoint, Outlook): Hosting der virtuellen Maschine, Dateiablage deiner abgeschickten Bewerbung, Versand der Bestätigungs-E-Mail. Verarbeitung im EU-Rechenzentrum (Germany West Central). Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht.
  • Anthropia-interne Reviewer:innen: Mitarbeitende der Anthropia gGmbH greifen auf deine abgesendete Bewerbung in unserem internen SharePoint zu, um sie zu prüfen. Der Zugriff erfolgt ausschließlich mit deren persönlichem Anthropia-M365-Konto.
  • Sentry (Fehler-Monitoring, EU-Region): Wenn das Portal einen technischen Fehler auslöst, übermittelt es einen Fehlerbericht (Stacktrace, Browser-/Server-Kontext, Zeitstempel) an unseren Auftragsverarbeiter Sentry. Verarbeitung ausschließlich in der EU-Region. Die Firmierung der Betreibergesellschaft und EU-Vertragspartnerschaft ergibt sich aus dem aktiven Sentry-DPA (Auftragsverarbeitungsvertrag nach Art. 28 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, fehlerfreien Betrieb der Plattform und an einer schnellen Fehlerdiagnose). Übermittelt werden keine Stammdaten, keine Pflichtfragen-Antworten, keine VPC-Inhalte und keine Magic-Link-Token (Query-Strings werden vor dem Versand entfernt; ein E-Mail-Filter redigiert versehentlich mit-übermittelte Adressen). Übermittelt wird ggf. eine pseudonyme Bewerbungs-Kennung (`applicationId`) im Sinne von Art. 4 Abs. 5 DSGVO; diese Kennung erlaubt es uns, einen Fehlerbericht einer Bewerbung zuzuordnen, ist aber für sich genommen kein direkt-personenbezogenes Datum — die Re-Identifizierung wäre ausschließlich über unsere interne Datenbank möglich. Der Zugriff auf das Sentry-Projekt ist organisatorisch auf Personen beschränkt, die ohnehin Zugriff auf diese Datenbank haben. Sentry hat keinen Einfluss auf die Entscheidung über deine Bewerbung.

Wir geben deine Daten darüber hinaus nicht an Dritte weiter. Insbesondere findet kein Verkauf und keine Werbemaßnahme statt.

5. Keine KI-Bewertung — menschliche Letztentscheidung (Art. 22 DSGVO, EU AI Act)

Im Bewerbungsportal des Inkubationsprogramms setzen wir keine künstliche Intelligenz zur Bewertung, Vorauswahl oder sonstigen Beeinflussung der Entscheidung über deine Bewerbung ein.

Kein Automatismus bei der Entscheidung: Über Aufnahme oder Ablehnung deiner Bewerbung entscheidet immer unser Team. Es gibt keine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO. Das Portal sammelt deine Antworten und deinen VPC-Upload und leitet beides an unser Programm-Team weiter.

Wir betrachten unseren Technologieeinsatz konservativ nach dem EU AI Act. Eine vollständige Selbst-Einschätzung dokumentieren wir intern unter docs/compliance/eu-ai-act-assessment.md und stellen sie auf Anfrage zur Verfügung.

6. Übermittlung in Drittländer

Eine Übermittlung deiner Daten in ein Drittland außerhalb der EU bzw. des EWR findet nicht statt. Alle in Abschnitt 4 genannten Auftragsverarbeiter verarbeiten deine Daten ausschließlich in Rechenzentren innerhalb der EU.

7. Wie lange wir deine Daten speichern

Deine Bewerbungsdaten (Stammdaten, Value Proposition Canvas, Antworten auf die Pflichtfragen) werden 12 Monate nach Abschluss deiner Bewerbung automatisiert gelöscht. Nimmst du am Programm teil, werden die Daten bis zum Ende der Programmteilnahme aufbewahrt und anschließend gelöscht.

Technische Protokolle (Audit-Log, Einwilligungs-Events) werden zusammen mit den Bewerbungsdaten gelöscht. Systemprotokolle der VM (nginx-Logs, systemd-Journal) werden nach 14 Tagen rotiert.

Wenn du eine begonnene Bewerbung NICHT abschickst, löschen wir die unvollständige Bewerbung nach 30 Tagen automatisch.

Sentry-Fehlerberichte: Technische Fehlerberichte (siehe Abschnitt 4) werden bei Sentry für maximal 90 Tage aufbewahrt und anschließend automatisch gelöscht.

8. Deine Rechte

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16) — Korrektur falscher Daten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — deine Daten in einem gängigen Format
  • Widerspruch (Art. 21) gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit mit Wirkung für die Zukunft

Um eines dieser Rechte auszuüben, schreib eine formlose Email an ifi@anthropia.de. Wir antworten innerhalb eines Monats.

Beschwerderecht: Du kannst dich zusätzlich bei der für uns zuständigen Aufsichtsbehörde beschweren. Für uns ist das die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

9. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen folgende technisch-organisatorische Maßnahmen um:

  • Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen
  • Secrets ausschließlich in Azure Key Vault, Zugriff über Managed Identity
  • Webhook-Signaturprüfung per HMAC-SHA256
  • Strikte Server-seitige Prüfung aller Eingaben (UUID-Validierung, PDF-Magic-Bytes, MIME-Type)
  • Zeitsichere String-Vergleiche für geheime Tokens
  • Tägliche verschlüsselte Backups mit automatischer 90-Tage-Löschung
  • Hardening des Anwendungs-Containers (Drop aller Linux-Capabilities, no-new-privileges, Non-root-User, Bind-Mount nur auf das Datenverzeichnis)
  • Content-Security-Policy, HSTS, X-Content-Type-Options und weitere Security-Header
  • Zentrale Log-Sammlung mit Azure Monitor / Log Analytics (Alert-Regeln werden sukzessive aufgeschaltet)

10. Cookies und Tracking

Wir verwenden ein einziges technisch notwendiges Cookie (ifi_application_id) zur Identifikation deiner laufenden Bewerbung. Dieses Cookie ist httpOnly, sameSite=lax, 14 Tage gültig und wird ausschließlich server-seitig ausgewertet.

Kein Tracking, kein Analytics, keine Werbe-Cookies, keine Profil-Cookies. Eine Einwilligung nach § 25 TTDSG ist für das oben genannte Cookie nicht erforderlich, da es zur Bereitstellung des von dir ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.

Unser Fehler-Monitoring-Dienst Sentry (siehe Abschnitt 4) setzt weder Cookies noch local- oder sessionStorage auf deinem Endgerät — eine Einwilligung nach § 25 TTDSG ist daher auch für Sentry nicht erforderlich.

11. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Die jeweils aktuelle Version findest du unter dieser URL. Den Stand findest du am Seitenanfang.