Impello Capital

Data protection — Impello Studio and Impello Application Companion

Stand: 16. Mai 2026. Diese Erklärung gilt für die Fundraising-Plattform „Impello Studio“ (impello-capital-studio.de) und die zugehörige Chrome-Erweiterung „Impello Application Companion“. Für die Unternehmenswebsite impello-capital.de gilt die separate allgemeine Datenschutzerklärung. English version below — see Part B.

Teil A — Deutsch

1. Verantwortlicher

Impello Capital UG (haftungsbeschränkt)
Enkheimer Str. 11, 60385 Frankfurt am Main, Deutschland
E-Mail: contact@impello-capital.de

Ein Datenschutzbeauftragter ist nach Größe und Art der Verarbeitung gesetzlich nicht zwingend bestellt; Datenschutzanfragen richten Sie bitte an die vorstehende E-Mail-Adresse.

2. Geltungsbereich

Diese Erklärung gilt für die Plattform Impello Studio sowie für die Browser-Erweiterung „Impello Application Companion“ (Abschnitt 13). Verantwortlicher ist eine deutsche Gesellschaft; es gilt das Datenschutzrecht der EU/Deutschlands. Die maßgebliche Aufsichtsbehörde ist in Abschnitt 12 genannt.

3. Verarbeitete Datenkategorien

  • Konto- und Anmeldedaten: Benutzername, E-Mail-Adresse, Anzeigename, Vor-/Nachname, Firmenname, Rolle, optional LinkedIn-Profil, kryptografisch gehashtes Passwort, Anmeldezeitpunkte.
  • Unternehmens-/Projektprofil: Teaser-/Pitch-Texte, Zielmärkte, Sitzland, Geschäftsmodell, Cap Table (Namen der Gesellschafter und Beteiligungsquoten), Readiness-Antworten, Finanzkennzahlen und Finanzmodelle, Verwendung der Mittel, Finanzierungsziel, bekannte Lücken.
  • Teammitglieder: Name, Funktion, Schlüsselrolle, Stärken/Bedarf, Dateiname eines hochgeladenen Lebenslaufs.
  • Hochgeladene Dokumente: Pitch Decks und PDFs werden serverseitig in Text/JSON umgewandelt und in der Datenbank gespeichert; die Originaldateien werden nicht dauerhaft als Datei gespeichert.
  • KI-Ergebnisse: generierte Bewertungen, Entwürfe und Antworten.
  • Bewerbungs-/Antrag-Q&A: Fragen und vom Nutzer behaltene Antworten (auch über die Browser-Erweiterung).
  • Support & Kommunikation: Support-Tickets, Nachrichten, Einladungen, Benachrichtigungen.
  • Terminbuchung: bei Buchung einer Sprechstunde Name und E-Mail über das eingebettete Calendly-Widget.
  • Nutzungs- und Sicherheitsprotokolle: Audit-Log mit Nutzer-ID, Aktion, Zeitpunkt, IP-Adresse und Browser-Kennung; Plattform-Ereignisprotokoll; Credit-Buchungen; gehashte Tokens der Browser-Erweiterung.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung, Vertrag und Funktionen der Plattform — Art. 6 Abs. 1 lit. b DSGVO.
  • Sicherheit, Missbrauchs- und Fehlerabwehr, Audit-Protokolle, Credit-Abrechnung — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, nachvollziehbaren Betrieb).
  • Optionale Funktionen (z. B. KI-gestützte Entwürfe, Terminbuchung) — Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO; soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO.
  • Gesetzliche Pflichten (z. B. handels-/steuerrechtliche Aufbewahrung) — Art. 6 Abs. 1 lit. c DSGVO.

5. KI-Verarbeitung (OpenAI)

Zur Erzeugung von Bewertungen, Entwürfen und Vorschlägen werden ausgewählte Inhalte (z. B. Profil-/Unternehmensdaten, Teaser-/Deck-Texte, Antrags­fragen) an OpenAI übermittelt und dort verarbeitet. Für Nutzer im EWR ist OpenAI Ireland Limited (Dublin) Vertragspartner; eine Verarbeitung kann durch Unterauftragsverarbeiter in den USA erfolgen. Die Übermittlung in die USA wird durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit der Anbieter entsprechend zertifiziert ist – das EU-US Data Privacy Framework abgesichert; mit dem Anbieter wird ein Auftragsverarbeitungs-Zusatz (Data Processing Addendum) geschlossen. Über die API übermittelte Inhalte werden vom Anbieter standardmäßig nicht zum Training seiner Modelle verwendet und nach maximal 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. KI-Ausgaben sind Entwürfe und vom Nutzer eigenverantwortlich zu prüfen. In der Browser-Erweiterung werden Fragen nach personenbezogenen Kontaktdaten (z. B. E-Mail, Telefon, Adresse, IBAN, Steuer-ID) erkannt und nicht an die KI übermittelt.

6. Empfänger / Auftragsverarbeiter

  • Hosting: Server in Deutschland (Strato GmbH). Die Plattformdatenbank ist eine einzelne Datenbank auf diesem Server.
  • KI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA) — siehe Abschnitt 5.
  • Terminbuchung: Calendly LLC (USA) — eingebettetes Widget auf der Sprechstunden-Seite; erhält bei Buchung Name und E-Mail und kann eigene Cookies setzen. Absicherung über EU-Standardvertragsklauseln/DPF.
  • E-Mail-Versand: Strato GmbH (Deutschland) als SMTP-Anbieter für Transaktions-E-Mails.
  • Zahlungsabwicklung: Stripe (Stripe Payments Europe / Stripe, Inc., USA) — nur sofern und sobald kostenpflichtige Funktionen aktiviert werden; derzeit nicht aktiv.

Es werden keine Analyse-, Tracking- oder Telemetrie-Dienste eingesetzt.

7. Drittlandübermittlung

Übermittlungen in die USA (OpenAI; Calendly; ggf. Stripe) erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO und – soweit zertifiziert – des EU-US Data Privacy Framework, jeweils ergänzt um geeignete technische und organisatorische Maßnahmen. Eine Kopie der Garantien kann über die oben genannte Kontaktadresse angefragt werden.

8. Cookies

Impello Studio setzt ausschließlich ein technisch notwendiges Sitzungs-Cookie zur Authentifizierung (kein Tracking, keine Werbung, keine Analyse). Beim Laden des Calendly-Widgets auf der Sprechstunden-Seite können Cookies des Drittanbieters Calendly gesetzt werden.

9. Speicherdauer

  • Konto-, Profil- und Inhaltsdaten: bis zur Löschung des Kontos bzw. Beendigung der Geschäftsbeziehung, zzgl. gesetzlicher Aufbewahrungsfristen.
  • Audit-Protokolle (inkl. IP/Browser-Kennung): in der Regel bis zu 365 Tage.
  • An die KI übermittelte Inhalte: beim Anbieter max. 30 Tage (siehe Abschnitt 5).
  • Sicherungskopien werden im Rotationsverfahren überschrieben.

10. Sicherheit

Verschlüsselte Übertragung (HTTPS/TLS); Speicherung von Passwörtern ausschließlich als kryptografischer Hash; rollen- und arbeitsbereichsbezogene Zugriffskontrolle; Minimierung eingebundener Drittanbieter.

11. Minderjährige

Impello Studio richtet sich an Gründerinnen und Gründer und nicht an Personen unter 18 Jahren.

12. Ihre Rechte und Aufsichtsbehörden

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie auf Widerruf erteilter Einwilligungen. Kontakt: contact@impello-capital.de.

Beschwerderecht (Deutschland): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de.

13. Browser-Erweiterung „Impello Application Companion“ (Chrome)

Dieser Abschnitt beschreibt die Datenverarbeitung der Chrome-Erweiterung „Impello Application Companion“ vollständig und eigenständig. Die Erweiterung hilft angemeldeten Impello-Studio-Nutzern, Antworten auf Fragen in externen Förder-, Accelerator-, Wettbewerbs- und öffentlichen Antragsformularen zu entwerfen, indem sie die im Impello-Studio-Konto hinterlegte Wissensbasis verwendet. Sie erzeugt ausschließlich Entwürfe/Vorschläge.

a) Welche Daten erhoben werden. Abhängig von der Nutzung: (1) Anmelde-/Sitzungs-Token zur Authentifizierung gegenüber Impello Studio; (2) der Feld- bzw. Fragetext, den der Nutzer ausdrücklich anklickt oder auswählt; (3) Domain/Ursprung der aktuellen Seite (nur als technischer Kontext und für anonymisierte Nutzungsstatistik – nicht die vollständige URL); (4) Zeichenlimit und Sprache des Feldes; (5) ein optionaler vom Nutzer eingegebener Hinweistext; (6) die erzeugten Antwortentwürfe; (7) vom Nutzer ausdrücklich behaltene/gespeicherte Antworten; (8) Credit-Nutzung sowie technische Fehler-/Diagnoseprotokolle.

b) Wie erhoben wird (nutzerausgelöst). Die Erweiterung ist standardmäßig inaktiv. Erst wenn der Nutzer den Companion ausdrücklich aktiviert und anschließend ein Feld anklickt oder Text auswählt, liest sie den betreffenden Feld-/Fragetext. Ohne diese ausdrückliche Aktion werden keine Seiteninhalte gelesen oder übertragen.

c) Wie die Daten verwendet werden. Zur Erzeugung und Verbesserung (Kürzen/Übersetzen) von Antwortentwürfen; zum Speichern ausdrücklich behaltener Antworten im Impello-Studio-Arbeitsbereich des Nutzers; zur Verbuchung der Credit-Nutzung; zur Authentifizierung, Sicherheit und Fehlerbehebung. Eine Verwendung für Werbung oder Profilbildung findet nicht statt.

d) Wie/wo gespeichert wird, Aufbewahrung. Im Browser werden in chrome.storage.local nur das Sitzungs-Token und ein zwischengespeichertes Profil (Anzeigename, Firma, Credit-Stand) gespeichert; beim Abmelden gelöscht. Serverseitig werden ausdrücklich behaltene Antworten im Impello-Studio-Konto gespeichert, bis der Nutzer sie bzw. das Konto löscht. Technische Protokolle werden nur kurzzeitig aufbewahrt (siehe Abschnitt 9).

e) An wen Daten weitergegeben werden (Empfänger). Daten werden ausschließlich an die folgenden Empfänger weitergegeben, soweit zur Funktion erforderlich:

  • Impello Capital UG (haftungsbeschränkt), Frankfurt am Main, Deutschland — Verantwortlicher und Betreiber des Impello-Studio-Backends.
  • Strato GmbH, Deutschland — Hosting des Backends/der Datenbank (Server in Deutschland) und E-Mail-Versand. Auftragsverarbeiter (Art. 28 DSGVO).
  • OpenAI (für den EWR: OpenAI Ireland Limited, Dublin; Verarbeitung kann durch Unterauftragsverarbeiter in den USA erfolgen) — verarbeitet den ausgewählten Feld-/Fragetext über das Impello-Backend, um Entwürfe zu erzeugen. Die Übermittlung in die USA wird durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit zertifiziert – das EU-US Data Privacy Framework abgesichert; mit dem Anbieter wird ein Auftragsverarbeitungs-Zusatz geschlossen. Über die API übermittelte Inhalte werden standardmäßig nicht zum KI-Training verwendet und nach max. 30 Tagen gelöscht (siehe Abschnitt 5).

Es werden keine weiteren Dritten eingebunden. Daten werden nicht verkauft, nicht für Werbung verwendet und nicht an Datenhändler weitergegeben. Es werden keine Analyse-/Tracking-/Telemetrie-Dienste eingesetzt; die Erweiterung lädt keine externen Schriftarten oder Skripte.

f) Nicht erhoben. Passwörter; Cookies; Browserverlauf; Inhalte des E-Mail-Postfachs (kein Scannen des Posteingangs); Daten aus anderen, nicht aktiven Tabs; vollständige Seiteninhalte im Hintergrund. Es findet kein automatisches Absenden von Formularen, kein automatisches Versenden von E-Mails und keine Hintergrundüberwachung statt. Fragen nach personenbezogenen Kontaktdaten (z. B. E-Mail, Telefon, Adresse, IBAN, Steuer-ID) werden erkannt und nicht an die KI übermittelt. Berechtigungen sind auf storage und activeTab minimiert.

g) Ihre Rechte und Löschung. Abmelden entfernt die lokalen Daten. Zur Löschung des Kontos/Arbeitsbereichs oder zur Ausübung Ihrer Betroffenenrechte (Abschnitt 12) genügt eine E-Mail an contact@impello-capital.de.

h) Limited Use Disclosure (Chrome Web Store). The use of information received from the Impello Application Companion adheres to the Chrome Web Store User Data Policy, including the Limited Use requirements. We use user data only to provide and improve the extension’s single user-facing feature (drafting application answers from the user’s own Impello Studio knowledge base). We do not sell user data, do not use or transfer it for advertising or any purpose unrelated to the extension’s core functionality, and do not transfer it to third parties except the service providers named above as strictly necessary to provide the feature, or as required by law.

14. Änderungen

Wir passen diese Erklärung bei Bedarf an; die jeweils aktuelle Fassung ist unter dieser Adresse verfügbar.

Part B — English

1. Controller

Impello Capital UG (haftungsbeschränkt), Enkheimer Str. 11, 60385 Frankfurt am Main, Germany — contact@impello-capital.de. No data protection officer is mandatorily appointed given the size and nature of processing.

2. Scope

This policy covers the Impello Studio platform and the "Impello Application Companion" browser extension (Section 13). The controller is a German company; EU/German data-protection law applies. The marketing site impello-capital.de has its own separate notice.

3. Data we process

Account & login data (username, email, name, company, role, optional LinkedIn, hashed password, login timestamps); company/project profile (teaser and pitch text, markets, business model, cap table — shareholder names and ownership %, readiness answers, financial figures and models, raise target, use of funds); team members (name, title, role, CV filename); uploaded documents (decks/PDFs converted to text/JSON in the database; originals are not stored as files); AI-generated outputs; application Q&A (including via the browser extension); support tickets, invitations and notifications; office-hours bookings (name and email via the embedded Calendly widget); usage and security logs (audit log with user ID, action, time, IP address and browser identifier; platform event log; credit ledger; hashed extension tokens).

4. Purposes & legal bases

Providing the platform and performing the contract (GDPR Art. 6(1)(b)); security, abuse/error prevention, audit logging and credit accounting (Art. 6(1)(f)); optional features such as AI drafting and scheduling (Art. 6(1)(b)/(f), or (a) where consent is required); legal obligations such as commercial/tax retention (Art. 6(1)(c)).

5. AI processing (OpenAI)

To generate assessments, drafts and suggestions, selected content (e.g. profile/company data, teaser and deck text, application questions) is transmitted to and processed by OpenAI. For EEA users the contracting entity is OpenAI Ireland Limited (Dublin); sub-processing may occur in the USA. The US transfer is safeguarded by the EU Standard Contractual Clauses (GDPR Art. 46) and, where the provider is certified, the EU-US Data Privacy Framework, together with a Data Processing Addendum. Content sent via the API is, by default, not used to train the provider's models and is deleted after at most 30 days unless retention is legally required. AI outputs are drafts and must be reviewed by the user. In the browser extension, questions asking for personal contact data (e.g. email, phone, address, IBAN, tax ID) are detected and are not sent to the AI.

6. Recipients / processors

Hosting on a server in Germany (Strato GmbH); the platform database is a single database on that server. AI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA). Scheduling: Calendly LLC (USA), embedded widget that receives name and email on booking and may set its own cookies. Transactional email: Strato GmbH (Germany) SMTP. Payments: Stripe (USA/EU) only if and when paid features are activated — currently inactive. No analytics, tracking or telemetry services are used.

7. International transfers

Transfers to the USA (OpenAI; Calendly; Stripe if activated) rely on the EU Standard Contractual Clauses (GDPR Art. 46) and, where certified, the EU-US Data Privacy Framework, supplemented by appropriate technical and organisational measures. A copy of the safeguards can be requested at the contact address above.

8. Cookies

Only a strictly necessary authentication session cookie is used (no tracking, advertising or analytics). Loading the Calendly widget on the office-hours page may set third-party Calendly cookies.

9. Retention

Account, profile and content data: until account deletion or end of the business relationship, plus statutory retention periods. Audit logs (incl. IP/browser identifier): generally up to 365 days. Content sent to the AI: max 30 days at the provider. Backups are overwritten on rotation.

10. Security

Encrypted transmission (HTTPS/TLS); passwords stored only as a cryptographic hash; role- and workspace-based access control; minimisation of embedded third parties.

11. Minors

Impello Studio is intended for founders and not for persons under 18.

12. Your rights & supervisory authority

You have the rights of access, rectification, erasure, restriction, portability, objection and withdrawal of consent. Contact: contact@impello-capital.de. Supervisory authority (Germany): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.

13. Browser extension ("Impello Application Companion", Chrome)

This section fully and self-containedly describes the Chrome extension's data handling. The extension helps signed-in Impello Studio users draft answers to questions in external grant, accelerator, competition and public application forms, using the knowledge base in the user's Impello Studio account. It produces drafts/suggestions only.

a) Data collected. Depending on use: (1) login/session token to authenticate to Impello Studio; (2) the field/question text the user explicitly clicks or selects; (3) the current page's domain/origin (technical context and anonymised usage statistics only — not the full URL); (4) the field's character limit and language; (5) an optional user-entered hint; (6) the generated draft answers; (7) answers the user explicitly keeps/saves; (8) credit usage and technical error/diagnostic logs.

b) How it is collected (user-triggered). The extension is inactive by default. Only when the user explicitly enables the companion and then clicks a field or selects text does it read that field/question text. Without that explicit action no page content is read or transmitted.

c) How data is used. To generate and refine (shorten/translate) draft answers; to store answers the user explicitly keeps in their Impello Studio workspace; to account for credit usage; for authentication, security and error handling. Not used for advertising or profiling.

d) How/where stored, retention. In the browser, only the session token and a cached profile (display name, company, credit balance) are kept in chrome.storage.local and deleted on logout. Server-side, answers the user explicitly keeps are stored in the user's Impello Studio account until the user deletes them or the account. Technical logs are kept only briefly (see Section 9).

e) Who data is shared with (recipients). Data is shared only with the following recipients, as strictly necessary for the feature:

  • Impello Capital UG (haftungsbeschränkt), Frankfurt am Main, Germany — controller and operator of the Impello Studio backend.
  • Strato GmbH, Germany — hosting of the backend/database (servers in Germany) and email delivery. Processor (GDPR Art. 28).
  • OpenAI (for the EEA: OpenAI Ireland Limited, Dublin; processing may occur via sub-processors in the USA) — processes the selected field/question text via the Impello backend to generate drafts. The US transfer is safeguarded by the EU Standard Contractual Clauses (GDPR Art. 46) and, where certified, the EU-US Data Privacy Framework, together with a Data Processing Addendum. API content is, by default, not used for AI training and is deleted after at most 30 days (see Section 5).

No other third parties are involved. Data is not sold, not used for advertising, and not shared with data brokers. No analytics/tracking/telemetry services are used; the extension loads no external fonts or scripts.

f) Not collected. Passwords; cookies; browsing history; mailbox contents (no inbox scanning); data from other, inactive tabs; full page content in the background. There is no automatic form submission, no automatic email sending and no background monitoring. Questions asking for personal contact data (e.g. email, phone, address, IBAN, tax ID) are detected and are not sent to the AI. Permissions are minimised to storage and activeTab.

g) Your rights and deletion. Logging out removes the local data. To delete the account/workspace or exercise your data-subject rights (Section 12), email contact@impello-capital.de.

h) Limited Use Disclosure (Chrome Web Store). The use of information received from the Impello Application Companion adheres to the Chrome Web Store User Data Policy, including the Limited Use requirements. We use user data only to provide and improve the extension's single user-facing feature (drafting application answers from the user's own Impello Studio knowledge base). We do not sell user data, do not use or transfer it for advertising or any purpose unrelated to the extension's core functionality, and do not transfer it to third parties except the service providers named above as strictly necessary to provide the feature, or as required by law.

14. Changes

We update this policy as needed; the current version is always available at this address.