Data protection — Impello Studio
Stand: 1. Juli 2026. Diese Erklärung gilt für die Fundraising-Plattform „Impello Studio“ (impello-capital-studio.de). Für die Unternehmenswebsite impello-capital.de gilt die separate allgemeine Datenschutzerklärung. English version below — see Part B.
Teil A — Deutsch
1. Verantwortlicher
Impello Capital UG (haftungsbeschränkt)
Enkheimer Str. 11, 60385 Frankfurt am Main, Deutschland
E-Mail: contact@impello-capital.de
Ein Datenschutzbeauftragter ist nach Größe und Art der Verarbeitung gesetzlich nicht zwingend bestellt; Datenschutzanfragen richten Sie bitte an die vorstehende E-Mail-Adresse.
2. Geltungsbereich
Diese Erklärung gilt für die Plattform Impello Studio. Verantwortlicher ist eine deutsche Gesellschaft; es gilt das Datenschutzrecht der EU/Deutschlands. Die maßgebliche Aufsichtsbehörde ist in Abschnitt 11 genannt.
3. Verarbeitete Datenkategorien
- Konto- und Anmeldedaten: Benutzername, E-Mail-Adresse, Anzeigename, Vor-/Nachname, Firmenname, Rolle, optional LinkedIn-Profil, kryptografisch gehashtes Passwort, Anmeldezeitpunkte.
- Unternehmens-/Projektprofil: Teaser-/Pitch-Texte, Zielmärkte, Sitzland, Geschäftsmodell, Cap Table (Namen der Gesellschafter und Beteiligungsquoten), Readiness-Antworten, Finanzkennzahlen und Finanzmodelle, Verwendung der Mittel, Finanzierungsziel, bekannte Lücken.
- Teammitglieder: Name, Funktion, Schlüsselrolle, Stärken/Bedarf, Dateiname eines hochgeladenen Lebenslaufs.
- Hochgeladene Dokumente: Pitch Decks und PDFs werden serverseitig in Text/JSON umgewandelt und in der Datenbank gespeichert; die Originaldateien werden nicht dauerhaft als Datei gespeichert.
- KI-Ergebnisse: generierte Bewertungen, Entwürfe und Antworten.
- Bewerbungs-/Antrag-Q&A: Fragen und vom Nutzer behaltene Antworten.
- Support & Kommunikation: Support-Tickets, Nachrichten, Einladungen, Benachrichtigungen.
- Terminbuchung: bei Buchung einer Sprechstunde Name und E-Mail über das eingebettete Calendly-Widget.
- Nutzungs- und Sicherheitsprotokolle: Audit-Log mit Nutzer-ID, Aktion, Zeitpunkt, IP-Adresse und Browser-Kennung; Plattform-Ereignisprotokoll; Credit-Buchungen.
4. Zwecke und Rechtsgrundlagen
- Bereitstellung, Vertrag und Funktionen der Plattform — Art. 6 Abs. 1 lit. b DSGVO.
- Sicherheit, Missbrauchs- und Fehlerabwehr, Audit-Protokolle, Credit-Abrechnung — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, nachvollziehbaren Betrieb).
- Optionale Funktionen (z. B. KI-gestützte Entwürfe, Terminbuchung) — Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO; soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO.
- Gesetzliche Pflichten (z. B. handels-/steuerrechtliche Aufbewahrung) — Art. 6 Abs. 1 lit. c DSGVO.
5. KI-Verarbeitung (OpenAI)
Zur Erzeugung von Bewertungen, Entwürfen und Vorschlägen werden ausgewählte Inhalte (z. B. Profil-/Unternehmensdaten, Teaser-/Deck-Texte, Antragsfragen) an OpenAI übermittelt und dort verarbeitet. Für Nutzer im EWR ist OpenAI Ireland Limited (Dublin) Vertragspartner; eine Verarbeitung kann durch Unterauftragsverarbeiter in den USA erfolgen. Die Übermittlung in die USA wird durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit der Anbieter entsprechend zertifiziert ist – das EU-US Data Privacy Framework abgesichert; mit dem Anbieter wird ein Auftragsverarbeitungs-Zusatz (Data Processing Addendum) geschlossen. Über die API übermittelte Inhalte werden vom Anbieter standardmäßig nicht zum Training seiner Modelle verwendet und nach maximal 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. KI-Ausgaben sind Entwürfe und vom Nutzer eigenverantwortlich zu prüfen.
6. Empfänger / Auftragsverarbeiter
- Hosting: Server in Deutschland (Strato GmbH). Die Plattformdatenbank ist eine einzelne Datenbank auf diesem Server.
- KI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA) — siehe Abschnitt 5.
- Terminbuchung: Calendly LLC (USA) — eingebettetes Widget auf der Sprechstunden-Seite; erhält bei Buchung Name und E-Mail und kann eigene Cookies setzen. Absicherung über EU-Standardvertragsklauseln/DPF.
- E-Mail-Versand: Strato GmbH (Deutschland) als SMTP-Anbieter für Transaktions-E-Mails.
- Zahlungsabwicklung: Stripe (Stripe Payments Europe / Stripe, Inc., USA) — nur sofern und sobald kostenpflichtige Funktionen aktiviert werden; derzeit nicht aktiv.
Es werden keine Analyse-, Tracking- oder Telemetrie-Dienste eingesetzt.
7. Drittlandübermittlung
Übermittlungen in die USA (OpenAI; Calendly; ggf. Stripe) erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO und – soweit zertifiziert – des EU-US Data Privacy Framework, jeweils ergänzt um geeignete technische und organisatorische Maßnahmen. Eine Kopie der Garantien kann über die oben genannte Kontaktadresse angefragt werden.
8. Cookies
Impello Studio setzt ausschließlich ein technisch notwendiges Sitzungs-Cookie zur Authentifizierung (kein Tracking, keine Werbung, keine Analyse). Beim Laden des Calendly-Widgets auf der Sprechstunden-Seite können Cookies des Drittanbieters Calendly gesetzt werden.
9. Speicherdauer
- Konto-, Profil- und Inhaltsdaten: bis zur Löschung des Kontos bzw. Beendigung der Geschäftsbeziehung, zzgl. gesetzlicher Aufbewahrungsfristen.
- Audit-Protokolle (inkl. IP/Browser-Kennung): in der Regel bis zu 365 Tage.
- An die KI übermittelte Inhalte: beim Anbieter max. 30 Tage (siehe Abschnitt 5).
- Sicherungskopien werden im Rotationsverfahren überschrieben.
10. Sicherheit
Verschlüsselte Übertragung (HTTPS/TLS); Speicherung von Passwörtern ausschließlich als kryptografischer Hash; rollen- und arbeitsbereichsbezogene Zugriffskontrolle; Minimierung eingebundener Drittanbieter.
11. Ihre Rechte und Aufsichtsbehörden
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie auf Widerruf erteilter Einwilligungen. Kontakt: contact@impello-capital.de.
Beschwerderecht (Deutschland): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de.
Nutzereingaben und Plattforminhalte
Alle Informationen, die Nutzer aktiv in Impello Studio eingeben, hochladen oder speichern, können verarbeitet werden, soweit dies zur Bereitstellung und Personalisierung der Plattformfunktionen erforderlich ist. Dazu gehören insbesondere Unternehmensangaben, Pitch- und Teaser-Texte, Finanzdaten, Readiness-Antworten, Q&A-Inhalte, hochgeladene Dokumente sowie vom Nutzer gespeicherte oder bestätigte KI-Ergebnisse.
Nutzung der vom Nutzer eingegebenen Informationen zur Plattformbereitstellung
Informationen, die Nutzer in Impello Studio eingeben, hochladen oder speichern, werden verarbeitet, um die Plattformfunktionen bereitzustellen, den jeweiligen Arbeitsbereich zu personalisieren, Investor-Readiness-Analysen zu ermöglichen, KI-gestützte Entwürfe zu erzeugen, gespeicherte Inhalte wiederzuverwenden und den Nutzer bei der Vorbereitung von Finanzierungs-, Grant-, Accelerator- oder Partnerprozessen zu unterstützen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der Plattform und ihrer Funktionen erforderlich ist.
Keine Nutzung vertraulicher Startup-Inhalte für öffentliche Referenzen oder Werbung ohne gesonderte Freigabe
Vertrauliche Startup-Informationen, hochgeladene Dokumente, Finanzmodelle, Pitch-Inhalte und Investor-Readiness-Ergebnisse werden nicht ohne gesonderte Freigabe des Nutzers als öffentliche Referenz, Case Study, Marketingmaterial oder externe Kommunikation verwendet.
12. Änderungen
Wir passen diese Erklärung bei Bedarf an; die jeweils aktuelle Fassung ist unter dieser Adresse verfügbar.
Part B — English
1. Controller
Impello Capital UG (haftungsbeschränkt), Enkheimer Str. 11, 60385 Frankfurt am Main, Germany — contact@impello-capital.de. No data protection officer is mandatorily appointed given the size and nature of processing.
2. Scope
This policy covers the Impello Studio platform. The controller is a German company; EU/German data-protection law applies. The marketing site impello-capital.de has its own separate notice.
3. Data we process
Account & login data (username, email, name, company, role, optional LinkedIn, hashed password, login timestamps); company/project profile (teaser and pitch text, markets, business model, cap table — shareholder names and ownership %, readiness answers, financial figures and models, raise target, use of funds); team members (name, title, role, CV filename); uploaded documents (decks/PDFs converted to text/JSON in the database; originals are not stored as files); AI-generated outputs; application Q&A; support tickets, invitations and notifications; office-hours bookings (name and email via the embedded Calendly widget); usage and security logs (audit log with user ID, action, time, IP address and browser identifier; platform event log; credit ledger).
4. Purposes & legal bases
Providing the platform and performing the contract (GDPR Art. 6(1)(b)); security, abuse/error prevention, audit logging and credit accounting (Art. 6(1)(f)); optional features such as AI drafting and scheduling (Art. 6(1)(b)/(f), or (a) where consent is required); legal obligations such as commercial/tax retention (Art. 6(1)(c)).
5. AI processing (OpenAI)
To generate assessments, drafts and suggestions, selected content (e.g. profile/company data, teaser and deck text, application questions) is transmitted to and processed by OpenAI. For EEA users the contracting entity is OpenAI Ireland Limited (Dublin); sub-processing may occur in the USA. The US transfer is safeguarded by the EU Standard Contractual Clauses (GDPR Art. 46) and, where the provider is certified, the EU-US Data Privacy Framework, together with a Data Processing Addendum. Content sent via the API is, by default, not used to train the provider's models and is deleted after at most 30 days unless retention is legally required. AI outputs are drafts and must be reviewed by the user.
6. Recipients / processors
Hosting on a server in Germany (Strato GmbH); the platform database is a single database on that server. AI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA). Scheduling: Calendly LLC (USA), embedded widget that receives name and email on booking and may set its own cookies. Transactional email: Strato GmbH (Germany) SMTP. Payments: Stripe (USA/EU) only if and when paid features are activated — currently inactive. No analytics, tracking or telemetry services are used.
7. International transfers
Transfers to the USA (OpenAI; Calendly; Stripe if activated) rely on the EU Standard Contractual Clauses (GDPR Art. 46) and, where certified, the EU-US Data Privacy Framework, supplemented by appropriate technical and organisational measures. A copy of the safeguards can be requested at the contact address above.
8. Cookies
Only a strictly necessary authentication session cookie is used (no tracking, advertising or analytics). Loading the Calendly widget on the office-hours page may set third-party Calendly cookies.
9. Retention
Account, profile and content data: until account deletion or end of the business relationship, plus statutory retention periods. Audit logs (incl. IP/browser identifier): generally up to 365 days. Content sent to the AI: max 30 days at the provider. Backups are overwritten on rotation.
10. Security
Encrypted transmission (HTTPS/TLS); passwords stored only as a cryptographic hash; role- and workspace-based access control; minimisation of embedded third parties.
11. Your rights & supervisory authority
You have the rights of access, rectification, erasure, restriction, portability, objection and withdrawal of consent. Contact: contact@impello-capital.de. Supervisory authority (Germany): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.
User input and platform content
All information that users actively enter, upload or save in Impello Studio may be processed to the extent necessary to provide and personalise the platform features. This includes, in particular, company information, pitch and teaser text, financial data, readiness answers, Q&A content, uploaded documents, and AI outputs saved or confirmed by the user.
Use of information entered by the user to provide the platform
Information entered, uploaded or saved by users in Impello Studio is processed to provide the platform features, personalise the user’s workspace, enable investor-readiness analyses, generate AI-assisted drafts, reuse saved content and support the user in preparing financing, grant, accelerator or partner processes.
The legal basis is GDPR Art. 6(1)(b), where processing is necessary to provide the platform and its features.
No use of confidential startup content for public references or marketing without separate approval
Confidential startup information, uploaded documents, financial models, pitch content and investor-readiness results will not be used as public references, case studies, marketing materials or external communication without the user’s separate approval.
12. Changes
We update this policy as needed; the current version is always available at this address.
