Impello Capital

Datenschutzerklärung – Impello Studio Plattform

Stand: 15. Mai 2026. Diese Erklärung gilt für die Fundraising-Plattform „Impello Studio“ unter impello-capital-studio.de. Für die Unternehmenswebsite impello-capital.de gilt die allgemeine Datenschutzerklärung; für die Chrome-Erweiterung der Datenschutzhinweis Impello Application Companion. English version below — see Part B.

Teil A — Deutsch

1. Verantwortlicher

Impello Capital UG (haftungsbeschränkt)
Enkheimer Str. 11, 60385 Frankfurt am Main, Deutschland
E-Mail: contact@impello-capital.de

Ein Datenschutzbeauftragter ist nach Größe und Art der Verarbeitung gesetzlich nicht zwingend bestellt; Datenschutzanfragen richten Sie bitte an die vorstehende E-Mail-Adresse.

2. Geltungsbereich und Nutzerkreis

Impello Studio ist eine internationale Plattform. Diese Erklärung gilt für alle Nutzer weltweit. Für Nutzer in der EU/dem EWR und in Serbien gelten zusätzlich die in Abschnitt 12 genannten Rechte und Aufsichtsbehörden.

3. Verarbeitete Datenkategorien

  • Konto- und Anmeldedaten: Benutzername, E-Mail-Adresse, Anzeigename, Vor-/Nachname, Firmenname, Rolle, optional LinkedIn-Profil, kryptografisch gehashtes Passwort, Anmeldezeitpunkte.
  • Unternehmens-/Projektprofil: Teaser-/Pitch-Texte, Zielmärkte, Sitzland, Geschäftsmodell, Cap Table (Namen der Gesellschafter und Beteiligungsquoten), Readiness-Antworten, Finanzkennzahlen und Finanzmodelle, Verwendung der Mittel, Finanzierungsziel, bekannte Lücken.
  • Teammitglieder: Name, Funktion, Schlüsselrolle, Stärken/Bedarf, Dateiname eines hochgeladenen Lebenslaufs.
  • Hochgeladene Dokumente: Pitch Decks und PDFs werden serverseitig in Text/JSON umgewandelt und in der Datenbank gespeichert; die Originaldateien werden nicht dauerhaft als Datei gespeichert.
  • KI-Ergebnisse: generierte Bewertungen, Entwürfe und Antworten.
  • Bewerbungs-/Antrag-Q&A: Fragen und vom Nutzer behaltene Antworten (auch über die Browser-Erweiterung).
  • Support & Kommunikation: Support-Tickets, Nachrichten, Einladungen, Benachrichtigungen.
  • Terminbuchung: bei Buchung einer Sprechstunde Name und E-Mail über das eingebettete Calendly-Widget.
  • Nutzungs- und Sicherheitsprotokolle: Audit-Log mit Nutzer-ID, Aktion, Zeitpunkt, IP-Adresse und Browser-Kennung; Plattform-Ereignisprotokoll; Credit-Buchungen; gehashte Tokens der Browser-Erweiterung.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung, Vertrag und Funktionen der Plattform — Art. 6 Abs. 1 lit. b DSGVO.
  • Sicherheit, Missbrauchs- und Fehlerabwehr, Audit-Protokolle, Credit-Abrechnung — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, nachvollziehbaren Betrieb).
  • Optionale Funktionen (z. B. KI-gestützte Entwürfe, Terminbuchung) — Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO; soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO.
  • Gesetzliche Pflichten (z. B. handels-/steuerrechtliche Aufbewahrung) — Art. 6 Abs. 1 lit. c DSGVO.

5. KI-Verarbeitung (OpenAI)

Zur Erzeugung von Bewertungen, Entwürfen und Vorschlägen werden ausgewählte Inhalte (z. B. Profil-/Unternehmensdaten, Teaser-/Deck-Texte, Antrags­fragen) an OpenAI übermittelt und dort verarbeitet. Für Nutzer im EWR ist OpenAI Ireland Limited (Dublin) Vertragspartner; eine Verarbeitung kann durch Unterauftragsverarbeiter in den USA erfolgen. Die Übermittlung in die USA wird durch die EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit der Anbieter entsprechend zertifiziert ist – das EU-US Data Privacy Framework abgesichert; mit dem Anbieter wird ein Auftragsverarbeitungs-Zusatz (Data Processing Addendum) geschlossen. Über die API übermittelte Inhalte werden vom Anbieter standardmäßig nicht zum Training seiner Modelle verwendet und nach maximal 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. KI-Ausgaben sind Entwürfe und vom Nutzer eigenverantwortlich zu prüfen. In der Browser-Erweiterung werden Fragen nach personenbezogenen Kontaktdaten (z. B. E-Mail, Telefon, Adresse, IBAN, Steuer-ID) erkannt und nicht an die KI übermittelt.

6. Empfänger / Auftragsverarbeiter

  • Hosting: Server in Deutschland (Strato GmbH). Die Plattformdatenbank ist eine einzelne Datenbank auf diesem Server.
  • KI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA) — siehe Abschnitt 5.
  • Terminbuchung: Calendly LLC (USA) — eingebettetes Widget auf der Sprechstunden-Seite; erhält bei Buchung Name und E-Mail und kann eigene Cookies setzen. Absicherung über EU-Standardvertragsklauseln/DPF.
  • E-Mail-Versand: Strato GmbH (Deutschland) als SMTP-Anbieter für Transaktions-E-Mails.
  • Zahlungsabwicklung: Stripe (Stripe Payments Europe / Stripe, Inc., USA) — nur sofern und sobald kostenpflichtige Funktionen aktiviert werden; derzeit nicht aktiv.

Es werden keine Analyse-, Tracking- oder Telemetrie-Dienste eingesetzt.

7. Drittlandübermittlung

Übermittlungen in die USA (OpenAI; Calendly; ggf. Stripe) erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO und – soweit zertifiziert – des EU-US Data Privacy Framework, jeweils ergänzt um geeignete technische und organisatorische Maßnahmen. Eine Kopie der Garantien kann über die oben genannte Kontaktadresse angefragt werden.

8. Cookies

Impello Studio setzt ausschließlich ein technisch notwendiges Sitzungs-Cookie zur Authentifizierung (kein Tracking, keine Werbung, keine Analyse). Beim Laden des Calendly-Widgets auf der Sprechstunden-Seite können Cookies des Drittanbieters Calendly gesetzt werden.

9. Speicherdauer

  • Konto-, Profil- und Inhaltsdaten: bis zur Löschung des Kontos bzw. Beendigung der Geschäftsbeziehung, zzgl. gesetzlicher Aufbewahrungsfristen.
  • Audit-Protokolle (inkl. IP/Browser-Kennung): in der Regel bis zu 365 Tage.
  • An die KI übermittelte Inhalte: beim Anbieter max. 30 Tage (siehe Abschnitt 5).
  • Sicherungskopien werden im Rotationsverfahren überschrieben.

10. Sicherheit

Verschlüsselte Übertragung (HTTPS/TLS); Speicherung von Passwörtern ausschließlich als kryptografischer Hash; rollen- und arbeitsbereichsbezogene Zugriffskontrolle; Minimierung eingebundener Drittanbieter.

11. Minderjährige

Impello Studio richtet sich an Gründerinnen und Gründer und nicht an Personen unter 18 Jahren.

12. Ihre Rechte und Aufsichtsbehörden

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie auf Widerruf erteilter Einwilligungen. Kontakt: contact@impello-capital.de.

Beschwerderecht (Deutschland): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de.

Nutzer in Serbien können sich an den Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Bulevar kralja Aleksandra 15, 11000 Beograd, wenden. Soweit gesetzlich erforderlich, benennt der Verantwortliche einen Vertreter in Serbien gemäß Art. 44 des serbischen Gesetzes über den Schutz personenbezogener Daten.

13. Änderungen

Wir passen diese Erklärung bei Bedarf an; die jeweils aktuelle Fassung ist unter dieser Adresse verfügbar.

Part B — English

1. Controller

Impello Capital UG (haftungsbeschränkt), Enkheimer Str. 11, 60385 Frankfurt am Main, Germany — contact@impello-capital.de. No data protection officer is mandatorily appointed given the size and nature of processing.

2. Scope

This policy covers the Impello Studio platform at impello-capital-studio.de and applies to all users worldwide. The marketing site impello-capital.de and the Chrome extension have their own notices.

3. Data we process

Account & login data (username, email, name, company, role, optional LinkedIn, hashed password, login timestamps); company/project profile (teaser and pitch text, markets, business model, cap table — shareholder names and ownership %, readiness answers, financial figures and models, raise target, use of funds); team members (name, title, role, CV filename); uploaded documents (decks/PDFs converted to text/JSON in the database; originals are not stored as files); AI-generated outputs; application Q&A (including via the browser extension); support tickets, invitations and notifications; office-hours bookings (name and email via the embedded Calendly widget); usage and security logs (audit log with user ID, action, time, IP address and browser identifier; platform event log; credit ledger; hashed extension tokens).

4. Purposes & legal bases

Providing the platform and performing the contract (GDPR Art. 6(1)(b)); security, abuse/error prevention, audit logging and credit accounting (Art. 6(1)(f)); optional features such as AI drafting and scheduling (Art. 6(1)(b)/(f), or (a) where consent is required); legal obligations such as commercial/tax retention (Art. 6(1)(c)).

5. AI processing (OpenAI)

To generate assessments, drafts and suggestions, selected content (e.g. profile/company data, teaser and deck text, application questions) is transmitted to and processed by OpenAI. For EEA users the contracting entity is OpenAI Ireland Limited (Dublin); sub-processing may occur in the USA. The US transfer is safeguarded by the EU Standard Contractual Clauses (GDPR Art. 46) and, where the provider is certified, the EU-US Data Privacy Framework, together with a Data Processing Addendum. Content sent via the API is, by default, not used to train the provider's models and is deleted after at most 30 days unless retention is legally required. AI outputs are drafts and must be reviewed by the user. In the browser extension, questions asking for personal contact data (e.g. email, phone, address, IBAN, tax ID) are detected and are not sent to the AI.

6. Recipients / processors

Hosting on a server in Germany (Strato GmbH); the platform database is a single database on that server. AI: OpenAI Ireland Ltd. / OpenAI, L.L.C. (USA). Scheduling: Calendly LLC (USA), embedded widget that receives name and email on booking and may set its own cookies. Transactional email: Strato GmbH (Germany) SMTP. Payments: Stripe (USA/EU) only if and when paid features are activated — currently inactive. No analytics, tracking or telemetry services are used.

7. International transfers

Transfers to the USA (OpenAI; Calendly; Stripe if activated) rely on the EU Standard Contractual Clauses (GDPR Art. 46) and, where certified, the EU-US Data Privacy Framework, supplemented by appropriate technical and organisational measures. A copy of the safeguards can be requested at the contact address above.

8. Cookies

Only a strictly necessary authentication session cookie is used (no tracking, advertising or analytics). Loading the Calendly widget on the office-hours page may set third-party Calendly cookies.

9. Retention

Account, profile and content data: until account deletion or end of the business relationship, plus statutory retention periods. Audit logs (incl. IP/browser identifier): generally up to 365 days. Content sent to the AI: max 30 days at the provider. Backups are overwritten on rotation.

10. Security

Encrypted transmission (HTTPS/TLS); passwords stored only as a cryptographic hash; role- and workspace-based access control; minimisation of embedded third parties.

11. Minors

Impello Studio is intended for founders and not for persons under 18.

12. Your rights & supervisory authorities

You have the rights of access, rectification, erasure, restriction, portability, objection and withdrawal of consent. Contact: contact@impello-capital.de. Germany: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden. Serbia: Commissioner for Information of Public Importance and Personal Data Protection, Bulevar kralja Aleksandra 15, 11000 Belgrade; where legally required the controller appoints a representative in Serbia under Art. 44 of the Serbian Law on Personal Data Protection.

13. Changes

We update this policy as needed; the current version is always available at this address.