Datenschutzerklärung

Informationen nach Art. 13 / 14 DSGVO zur Verarbeitung deiner Daten im BAFA-Berichtsprüfer.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
Uwe Hiltmann
Anschrift: siehe Impressum
E-Mail: uwe.hiltmann@uhdigital.net

2. Welche Daten verarbeitet werden

  • Hochgeladene Bericht-Datei (.docx, .odt, .pdf) inklusive aller darin enthaltenen Inhalte.
  • Freiwillig eingegebene Felder: Unternehmensname, Förderkennzeichen.
  • E-Mail-Adresse, sofern du den PDF-Report per E-Mail anforderst.
  • Browser-Metadaten (User-Agent, Anfragezeit). Deine IP-Adresse wird in der App selbst nicht protokolliert, sondern lediglich vom vorgeschalteten Reverse-Proxy (Traefik) für maximal 7 Tage in technischen Access-Logs verarbeitet (Schutz vor Missbrauch).

3. Zweck und Art der Verarbeitung

Der Text deines Beratungsberichts wird – sofern die Option „Vor Prüfung anonymisieren" aktiv ist – zunächst lokal auf unserem Server pseudonymisiert (Personen-, Firmen-, Adressdaten, Kontaktdaten, IBAN, Steuer-Nr., Förderkennzeichen werden durch Platzhalter ersetzt). Anschließend wird der (anonymisierte oder unveränderte) Text an die Claude-API der Anthropic, PBC (San Francisco, USA) übermittelt und dort inhaltlich gegen die BAFA-Förderkriterien geprüft. Die zurückgelieferte Auswertung wird in einen PDF-Report eingebettet und dir im Browser sowie optional per E-Mail bereitgestellt.

Mit Anthropic besteht ein Data Processing Addendum (DPA); die Übermittlung in die USA stützt sich auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in der aktuellen Fassung der EU-Kommission. Anthropic hat zugesichert, übermittelte Eingaben nicht zum Training ihrer Modelle zu verwenden.

4. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher / vertraglicher Maßnahmen — du nutzt den Service auf eigene Initiative).
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Service-Stabilität und kontinuierlicher Verbesserung der Prüfqualität).
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die Speicherung und KI-Verarbeitung; du erteilst sie aktiv per Pflicht-Checkbox vor dem Upload).

5. Speicherdauer

Originaldatei, eingegebene Felder, anonymisierte Anfrage, KI-Antwort und generierter PDF-Report werden dauerhaft auf dem Server gespeichert. Zweck: Reproduzierbarkeit (du kannst den Report später erneut abrufen) sowie Auswertung und Verbesserung der Prüfqualität.

Löschung auf Anfrage: Eine formlose E-Mail an uwe.hiltmann@uhdigital.net mit Bezug auf deine Job-ID (oder Hochlade-Datum + Unternehmen) genügt — der entsprechende Datensatz wird zeitnah und vollständig entfernt.

6. Empfänger / Auftragsverarbeiter

  • Anthropic, PBC — Inhaltsanalyse (Claude API), USA. DPA + SCC vorhanden.
  • Hostinger International Ltd. — Hosting des Servers (Standort EU). DPA vorhanden.
  • Zoho Corporation B.V. — Versand der PDF-Reports per E-Mail (Standort EU). DPA vorhanden.

7. AVV-Hinweis für Berater

Wichtig: Du nutzt diesen Service in eigener Verantwortung. Da Beratungsberichte typischerweise personenbezogene Daten deiner Beratungskunden enthalten (Inhaber, Mitarbeiter, Kontaktdaten, ggf. Mitarbeiterzahl), bist du datenschutzrechtlich Verantwortlicher für diese Daten.
  • Schließe eine eigene Auftragsverarbeitungs-Vereinbarung (AVV) mit deinem Beratungskunden ab, die die Nutzung dieses Prüfdienstes abdeckt — oder
  • nutze konsequent die Schwärzungs-Option (Default an), die personenbezogene Daten deines Kunden vor der KI-Übermittlung lokal pseudonymisiert.

8. Deine Rechte

  • Auskunft über alle zu dir gespeicherten Daten (Art. 15 DSGVO).
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung deiner Daten (Art. 17 DSGVO).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten als JSON.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
  • Beschwerde bei einer Aufsichtsbehörde, z. B. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

9. Cookies / Tracking

Es werden ausschließlich technisch notwendige Cookies gesetzt (Session-Cookie für CSRF-Schutz, Admin-Auth-Cookie). Es findet kein Analyse- oder Tracking-Cookie-Einsatz statt; es werden keine externen Skripte, Schriften oder Bilder von Dritt-CDNs geladen.

10. Technische Sicherheit

  • HTTPS-Verschlüsselung (Let's Encrypt) für alle Verbindungen.
  • Admin-Bereich nur via HTTP-Basic-Auth mit gehashtem Passwort erreichbar.
  • Datenbank und Datei-Speicher liegen ausschließlich auf dem EU-Server (Hostinger).

11. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen des Dienstes aktualisiert. Stand: 2026.