Datenschutzerklärung

Stand: 2026-05-27 — Version 1

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung von personenbezogenen Daten (im Folgenden "Daten") im Rahmen der Nutzung von Grant-AI. Für die Begrifflichkeiten wird auf die Definitionen in Art. 4 DSGVO verwiesen.

1. Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO ist der Betreiber von Grant-AI. Die vollständigen Kontaktdaten finden Sie im Impressum. Datenschutzanfragen bitte an privacy@mithgard.ai.

2. Erhobene Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Konto- und Stammdaten: Name, E-Mail-Adresse, Profilbild (von OAuth-Providern), Passwort-Hash (sofern lokal erstellt, sonst via OAuth).
• Startup-Profildaten: Firmenname, Branche, Gründungsjahr, Teamgröße, Standort, Finanzkennzahlen, Pitchdeck-Uploads.
• Bewerbungsdaten: Von Ihnen eingereichte bzw. KI-generierte Bewerbungsinhalte, Bewerbungs-Status.
• Kommunikationsdaten: E-Mails im Rahmen des Grant-Inbox-Features, Nachrichten zwischen Gründern und Investoren.
• Abrechnungsdaten: Stripe-Customer-ID, Abonnementstatus, Rechnungen (Rechnungsdaten werden bei Stripe gespeichert, nicht bei uns).
• Nutzungsdaten: Aufgerufene Seiten, Suchanfragen, Zeitstempel, Geräte-Informationen, IP-Adresse (nur anonymisiert oder für Sicherheitszwecke).
• Log-Daten: Server-Logs mit IP-Adresse, User-Agent, angefragter URL — automatisch gelöscht nach 30 Tagen.

3. Zweck und Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der Plattform, Matching, Bewerbungs-Generierung, Abrechnung.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrungsfristen nach HGB/AO, Meldepflichten.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherheit, Missbrauchsprävention, anonymisierte Nutzungsstatistiken.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Optionale Cookies (Analytics, Session-Replay), Newsletter, Marketing — jederzeit widerrufbar unter Einstellungen > Privatsphäre.

4. Weitergabe an Dritte (Auftragsverarbeiter und Empfänger)

Wir setzen folgende Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Bei Drittlandübermittlungen sichern Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO ab.

4.1 Stripe (Zahlungsabwicklung)

Stripe Payments Europe, Ltd., Dublin. Verarbeitet Zahlungsdaten für die Abrechnung von Abonnements. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: stripe.com/privacy.

4.2 Resend (E-Mail-Versand)

Resend, Inc., San Francisco, USA. Verarbeitet Ihre E-Mail-Adresse und Inhalte der Transaktions-E-Mails (z. B. Benachrichtigungen, Bestätigungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: resend.com/legal/privacy-policy.

4.3 OpenAI und Anthropic (KI-Verarbeitung)

OpenAI, L.L.C. und Anthropic, PBC (USA). Verarbeiten Ihre Bewerbungstexte und Profil-Snippets zur Erzeugung von Vorschlägen. Laut API-Verträgen werden keine Daten zum Trainieren der Modelle verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: openai.com/policies/privacy-policy und anthropic.com/legal/privacy.

4.4 Sentry (Fehler-Monitoring)

Functional Software, Inc. dba Sentry (USA). Erfasst Fehler-Stacktraces und optional Session-Replays (Text maskiert). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung); Session-Replay nur nach Einwilligung. Datenschutz: sentry.io/privacy.

4.5 PostHog (Produkt-Analytics)

PostHog, Inc. (EU-Region: Frankfurt). Erfasst pseudonymisierte Nutzungsmuster. Wird nur nach Einwilligung aktiviert (siehe Cookie-Banner). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Datenschutz: posthog.com/privacy.

4.6 Google OAuth / GitHub OAuth

Google Ireland Ltd. bzw. GitHub, Inc. stellen OAuth-Login-Dienste bereit. Übermittelt werden Name, E-Mail-Adresse, Profilbild (Google) bzw. zusätzlich öffentliche Repository-Daten (GitHub, nur nach separater Einwilligung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: policies.google.com/privacy und GitHub Privacy Statement.

4.7 Hosting und Backups

Hosting erfolgt über Vercel Inc. (Frontend, USA mit EU-Edge) und Railway (Backend). Datenbanken und Backups werden auf AWS S3 (eu-central-1) gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

5. Cookies

Wir setzen nur die technisch erforderlichen Cookies ohne Einwilligung (§ 25 Abs. 2 TTDSG): Session-Cookie für Login und CSRF-Schutz. Optionale Cookies (Analytics, Session-Replay) werden nur nach aktiver Einwilligung über unseren Cookie-Banner aktiviert. Die Einwilligung kann jederzeit über Einstellungen > Privatsphäre geändert oder widerrufen werden.

6. Rechte der Betroffenen

Ihnen stehen nach DSGVO folgende Rechte zu — Sie können sie unter Einstellungen > Privatsphäre selbst ausüben oder per E-Mail an privacy@mithgard.ai:

• Auskunft (Art. 15 DSGVO): Exportieren Sie alle zu Ihnen gespeicherten Daten im JSON-Format.
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
• Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO): Löschung Ihrer Daten innerhalb einer 30-tägigen Reue-Frist.
• Einschränkung (Art. 18 DSGVO): Temporäre Sperre der Verarbeitung.
• Datenübertragbarkeit (Art. 20 DSGVO): Maschinenlesbarer Export.
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit möglich, wirkt für die Zukunft.
• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Zuständig ist die Datenschutzbehörde Ihres Bundeslandes.

7. Server-Logs und Speicherdauer

Beim Aufruf unserer Seiten werden automatisch Logdaten (IP-Adresse, User-Agent, Referrer, URL, Zeitstempel) erhoben. Diese werden zur Sicherheit und Fehlerdiagnose verarbeitet (Art. 6 Abs. 1 lit. f DSGVO) und nach 30 Tagen automatisch gelöscht.

Weitere Aufbewahrungsfristen:

• Aktive Konten: solange das Konto besteht.
• Gelöschte Konten: 30 Tage Reue-Frist, danach unwiderrufliche Löschung.
• Bewerbungshistorie: bis zu 2 Jahre nach letzter Aktivität.
• Abrechnungsdaten: 10 Jahre nach § 147 AO (Pflicht).

8. Rechtsgrundlagen pro Datenkategorie (Übersicht)

9. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Verarbeitungsvorgänge oder rechtliche Rahmenbedingungen ändern. Die aktuelle Fassung ist jederzeit auf dieser Seite abrufbar. Wesentliche Änderungen teilen wir per E-Mail mit.

Hinweis: Diese Datenschutzerklärung basiert auf den Standard-Anforderungen der DSGVO. Für den produktiven Einsatz empfiehlt sich eine finale Prüfung durch eine Datenschutz-Anwältin oder den DSB.