Datenschutzinformation — ekipa VentureKit
Version 1.6 | Mai 2026 | venturekit.ekipa.de/datenschutz
Diese Datenschutzinformation erläutert, welche personenbezogenen Daten ekipa GmbH im Rahmen des ekipa VentureKit verarbeitet, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen als betroffener Person zustehen. Sie gilt gemäß Art. 13 der Datenschutz-Grundverordnung (DSGVO).
1. Verantwortlicher
ekipa GmbH
Münchener Straße 41, 60329 Frankfurt am Main
E-Mail: hello@ekipa.de | Webseite: ekipa.de
Datenschutzbeauftragter (extern):
IITR Datenschutz GmbH, Dr. Sebastian Kraska
E-Mail: data-protection@ekipa.de
Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Wiesbaden.
2. Welche personenbezogenen Daten verarbeiten wir?
Wir verarbeiten ausschließlich Daten, die für die Erbringung unserer Dienstleistungen im Rahmen des Projekts erforderlich sind:
2.1 Stamm- und Kontodaten
- Name und Vorname
- Geschäftliche E-Mail-Adresse
- Zugehörige Organisation (Kundenorganisation)
- Rolle innerhalb des Projekts (z. B. Stakeholder, Viewer, Admin)
- Authentifizierungsmethode (Magic Link)
2.2 Nutzungsdaten
- Login-Zeitstempel und Sitzungsdaten
- Interaktionen mit Plattformfunktionen (Seitenaufrufe, Aktionen)
- Technische Gerätedaten (Browser, Betriebssystem, IP-Adresse)
2.3 Projektinhalte
- Von Ihnen oder im Rahmen des Projekts eingetragene Inhalte (z. B. Kommentare, hochgeladene Dateien, Bewertungen)
- Erstellte Analysen, Berichte und identifizierte Lösungsanbieter
3. Zwecke der Verarbeitung und Rechtsgrundlagen
3.1 Vertragserfüllung und berechtigtes Interesse (Art. 6 Abs. 1 lit. b und lit. f DSGVO)
Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Nutzung des VentureKit erfolgt je nach zugrundeliegender Vertragsgestaltung auf einer der folgenden Rechtsgrundlagen:
Soweit das VentureKit ausdrücklicher Bestandteil der zwischen ekipa GmbH und Ihrer Kundenorganisation vereinbarten Dienstleistung ist, erfolgt die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). In diesem Fall ist die Nutzung des VentureKit eine geschuldete Leistung, zu deren Erbringung die Verarbeitung Ihrer Daten erforderlich ist.
Soweit das VentureKit ergänzend und nicht als vertraglich geschuldete Leistung eingesetzt wird, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse von ekipa liegt in der effizienten, strukturierten und sicheren Abwicklung von Innovationsprojekten zum Mehrwert der Kundenorganisation. Da die Verarbeitung auf den beruflichen Kontext beschränkt ist und Nutzerinnen und Nutzer im B2B-Umfeld mit dem Einsatz digitaler Projektwerkzeuge durch Dienstleister rechnen müssen, überwiegen Ihre Grundrechte und Interessen diesem Interesse nicht.
Sofern Sie nicht bereit sind, Ihre Daten im Rahmen des VentureKit zu teilen, wenden Sie sich bitte an data-protection@ekipa.de. Wir prüfen in diesen Fällen gemeinsam mit Ihrer Kundenorganisation, ob eine Projektabwicklung ohne Einsatz des VentureKit möglich ist.
4. Empfänger und Auftragsverarbeiter
ekipa GmbH setzt für den Betrieb des VentureKit externe Dienstleister als Auftragsverarbeiter ein (Art. 28 DSGVO). Mit allen Dienstleistern sind Auftragsverarbeitungsverträge (AVV) abgeschlossen. Convex, Hetzner und Mailjet verarbeiten Daten ausschließlich innerhalb der EU. Für Anthropic, Inc. (USA) werden ergänzende Transfermechanismen gemäß Art. 46 DSGVO eingesetzt (siehe Abschnitt 5):
| Anbieter | Zweck | Sitz | Transfergrundlage | AVV | Status |
|---|---|---|---|---|---|
| Convex, Inc. | Backend-Datenbank, Echtzeit-Synchronisation, Datenspeicherung | EU (Frankfurt) | AVV (DSGVO-konform) | Ja | aktiv |
| Hetzner Online GmbH | Hosting und Serverbetrieb (Web-Anwendung, Server) | Deutschland | AVV (DSGVO-konform) | Ja | aktiv |
| Mailjet SAS | Transaktions-E-Mails (Magic-Link-Authentifizierung) | EU (Frankreich) | AVV (DSGVO-konform) | Ja | aktiv |
| Anthropic, Inc. | KI-Sprachmodell (Claude API) für KI-gestützte Scouting- und Analysefunktionen; nur bei aktiver Nutzung der KI-Funktion; keine Nutzung der übermittelten Daten für Modell-Training | USA | SCCs + DPF + Anthropic DPA | Ja | aktiv |
5. Internationale Datenübermittlungen
Convex, Hetzner und Mailjet verarbeiten Daten ausschließlich innerhalb der Europäischen Union; für diese Anbieter sind keine Drittlandübermittlungen erforderlich.
Für den Einsatz der KI-Funktionen des VentureKit werden Daten an Anthropic, Inc. (USA) übermittelt. Eine Übermittlung findet ausschließlich statt, wenn Nutzerinnen und Nutzer eine KI-gestützte Funktion aktiv aufrufen; im Rahmen des regulären Plattformbetriebs werden keine Daten an Anthropic übertragen. Anthropic verwendet API-Anfragen gemäß seinen kommerziellen Nutzungsbedingungen ausdrücklich nicht für das Training von KI-Modellen. Die Übermittlung ist durch folgende Maßnahmen gemäß Art. 46 DSGVO abgesichert:
- Standard Contractual Clauses (SCCs) der EU-Kommission (Durchführungsbeschluss 2021/914, Modul 2: Verantwortlicher an Auftragsverarbeiter)
- Zertifizierung von Anthropic unter dem EU-US Data Privacy Framework (DPF)
- Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß den kommerziellen Nutzungsbedingungen von Anthropic
Eine Kopie der abgeschlossenen SCCs kann auf Anfrage bei data-protection@ekipa.de angefordert werden.
6. Cookies
Das VentureKit verwendet ausschließlich technisch notwendige Cookies. Diese sind erforderlich für:
- Die Verwaltung der Nutzersitzung (Session-Cookie nach Login)
- Authentifizierungs-Token (HttpOnly-Cookie, SHA-256-gehasht)
- CSRF-Schutz
Technisch notwendige Cookies sind gemäß § 25 Abs. 2 TTDSG vom Einwilligungserfordernis ausgenommen. Ein Cookie-Consent-Banner ist daher nicht erforderlich. Es werden keine Tracking-, Werbe- oder Analyse-Cookies gesetzt, die einer Einwilligung bedürfen würden.
7. Speicherdauer und Löschkonzept
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Datenkategorie | Aufbewahrungsdauer | Rechtsgrundlage |
|---|---|---|
| Nutzerkonto (Name, E-Mail, Rolle) | 6 Monate nach Projektende | Art. 6 Abs. 1 lit. b/f DSGVO |
| Projektinhalte (Analysen, Berichte, Provider-Listen) | 6 Monate nach Projektende | Art. 6 Abs. 1 lit. b/f DSGVO |
| Audit-Logs / Systemprotokolle | 3 Jahre | Berechtigtes Interesse (Sicherheit, Compliance), Art. 6 Abs. 1 lit. f DSGVO |
Nach Ablauf der jeweiligen Frist werden die Daten automatisiert und unwiederbringlich gelöscht oder anonymisiert. Auf Anfrage können Daten vorzeitig gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 8).
8. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte gegenüber ekipa GmbH als Verantwortlichem:
- Auskunft (Art. 15 DSGVO) — Sie haben das Recht zu erfahren, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
- Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO) — Unter bestimmten Voraussetzungen können Sie verlangen, dass wir die Verarbeitung Ihrer Daten einschränken.
- Datenübertragbarkeit (Art. 20 DSGVO) — Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO beruht und automatisiert erfolgt, haben Sie das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO) — Soweit wir Daten auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, Widerspruch einzulegen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: data-protection@ekipa.de
Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten. Bei Beschwerden können Sie sich an die zuständige Aufsichtsbehörde wenden: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Wiesbaden.
9. Datensicherheit
ekipa GmbH trifft geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz Ihrer Daten gemäß Art. 32 DSGVO. Dies umfasst unter anderem verschlüsselte Datenübertragung, Zugangsbeschränkungen sowie regelmäßige Sicherheitsüberprüfungen. Detaillierte Informationen zu den eingesetzten Sicherheitsmaßnahmen sind im Rahmen des Auftragsverarbeitungsvertrags erhältlich.
10. Änderungen dieser Datenschutzinformation
ekipa GmbH behält sich vor, diese Datenschutzinformation bei wesentlichen Änderungen an der Datenverarbeitung oder bei Änderungen der Rechtslage zu aktualisieren. Die jeweils aktuelle Version ist unter venturekit.ekipa.de/datenschutz abrufbar. Wesentliche Änderungen werden den Nutzern per E-Mail mitgeteilt.
11. Kontakt und Anfragen
Allgemeine Anfragen:
hello@ekipa.de | ekipa GmbH, Münchener Straße 41, 60329 Frankfurt am Main
Datenschutzanfragen:
data-protection@ekipa.de | IITR Datenschutz GmbH, Dr. Sebastian Kraska (externer Datenschutzbeauftragter)
Frankfurt am Main, Mai 2026 — ekipa GmbH