Datenschutzerklärung

1. Allgemeine Hinweise

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten beim Besuch unserer Website sowie bei Nutzung unseres digitalen Förderantragssystems. Im Antragssystem erfolgt eine KI-gestützte Vorprüfung eingehender Anträge auf Vollständigkeit, Identifikation offensichtlicher Ausschlusskriterien und eine initiale Kategorisierung zur Unterstützung der Sachbearbeitung.

2. Verantwortlicher und Kontakt

WIHOGA Stiftung

Am Rombergpark 40

44225 Dortmund

Deutschland

3. Zwecke, Rechtsgrundlagen und verarbeitete Daten

Wir verarbeiten Ihre Daten im Einklang mit der DSGVO und dem TTDSG. Soweit im Folgenden Rechtsgrundlagen genannt werden, beziehen sie sich auf Art. 6 DSGVO; bei besonderen Kategorien auf Art. 9 DSGVO.

Website-Besuch (Server-Logfiles)

Beim Aufruf unserer Website werden automatisch Daten verarbeitet, die Ihr Browser übermittelt, um die Seiten anzuzeigen und die Sicherheit zu gewährleisten.

  • Zwecke: Betrieb der Website, Stabilität, IT-Sicherheit, Fehleranalyse.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f (berechtigtes Interesse an sicherem und funktionsfähigem Betrieb).
  • Datenarten: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer-URL, HTTP-Status, übertragene Datenmenge, User-Agent, ggf. Fehlercodes.
  • Quelle: Ihr Endgerät/Browser.

Verlinkung zu LinkedIn und YouTube

Auf unserer Website finden Sie Schaltflächen, die zu unseren Auftritten auf LinkedIn und YouTube weiterleiten. Dabei handelt es sich um eine reine Verlinkung: Eine Datenübertragung an LinkedIn oder YouTube erfolgt erst, wenn Sie die Schaltfläche anklicken und unsere LinkedIn- oder YouTube-Seite aufrufen.

Ab diesem Zeitpunkt werden Daten durch LinkedIn oder YouTube erhoben und verarbeitet. Wir haben keinen Einfluss auf Art und Umfang der durch LinkedIn oder YouTube vorgenommenen Datenverarbeitung.

Kontaktaufnahme (Formular/E-Mail)

Wenn Sie uns kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung Ihres Anliegens.

  • Zwecke: Kommunikation, Beantwortung von Anfragen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b (vorvertragliche Kommunikation) bzw. lit. f (allgemeine Kommunikation).
  • Datenarten: Name, Kontaktdaten, Kommunikationsinhalte, Metadaten (Zeit, technische Protokolle).
  • Quelle: Von Ihnen bereitgestellt.

Förderantragssystem

Zur Entgegennahme und Bearbeitung von Förderanträgen verarbeiten wir die von Ihnen eingegebenen Inhalte sowie verfahrensbezogene Daten.

  • Zwecke: Annahme, Vorprüfung, Bewertung, Entscheidung, Durchführung und Dokumentation von Förderverfahren.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Entscheidung über die Begründung eines Rechtsverhältnisses/Fördervergabe) und lit. f (effiziente, nachvollziehbare Antragsbearbeitung).
  • Datenarten: Identitäts- und Kontaktdaten, Organisationsdaten (Rechtsform, Vertretung, Registernummern), Antragsinhalte (Projektbeschreibung, Budget, Zeitplan, Anhänge/Referenzen), Verfahrensdaten (Aktenzeichen, Status, Notizen, Kommunikation).

KI-gestützte Vorprüfung (Microsoft Azure)

Wir setzen einen KI-Dienst ein, um Anträge automatisiert vorzuprüfen. Diese Vorprüfung unterstützt die Sachbearbeitung; die finale Bewertung und Entscheidung trifft stets eine qualifizierte Person.

  • Zwecke: Prüfung auf Vollständigkeit, Erkennung offensichtlicher Ausschlusskriterien, initiale thematische Kategorisierung.
  • Funktionsweise in Kurzform: Strukturierte Analyse der Antragsinhalte; Erzeugung von Hinweisen (z. B. fehlende Pflichtangaben), Markierung potenzieller Ausschlussgründe (z. B. außerhalb des Förderzwecks), Vorschlag einer Grobkategorie.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. f.
  • Keine ausschließlich automatisierten Entscheidungen: Es werden keine Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung ausschließlich automatisiert i. S. v. Art. 22 getroffen.
  • Ihre Möglichkeiten: Sie können eine Erläuterung der einbezogenen Logik, das Eingreifen einer Person, die Darlegung Ihres Standpunkts sowie die Überprüfung/Anfechtung eines Vorprüfungsergebnisses verlangen.
  • Datenminimierung: Übermittlung nur der hierfür erforderlichen Inhalte; nach Möglichkeit Pseudonymisierung/Maskierung sensibler Angaben.

Besondere Kategorien personenbezogener Daten

Bitte übermitteln Sie nur dann besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) oder Daten Dritter, wenn dies für die Förderentscheidung zwingend erforderlich ist.

  • Rechtsgrundlage: Art. 9 Abs. 2 lit. a (ausdrückliche Einwilligung) oder eine einschlägige gesetzliche Ausnahme. Einwilligungen werden gesondert eingeholt und dokumentiert.

4. Empfänger, Auftragsverarbeiter und Datenübermittlungen in Drittländer

Zur Bereitstellung unserer Dienste setzen wir sorgfältig ausgewählte Dienstleister ein, die vertraglich zur Vertraulichkeit und zur Einhaltung der DSGVO verpflichtet sind.

  • Hosting/Technik: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Rechenzentrum: Berlin, Auftragsverarbeitung nach Art. 28 DSGVO. Speicherung und Verarbeitung sämtlicher Web- und Anwendungsdaten auf Servern in der EU.
  • E-Mail-Versand (SMTP-Server): Sinch Mailgun, Ihre Daten werden innerhalb der EU verarbeitet, Auftragsverarbeitung nach Art. 28 DSGVO. Verarbeitung von Absender-, Empfänger- und Inhaltsdaten ausschließlich zum Versand und Empfang von E-Mails.
  • Sicherheitssoftware: Bitdefender Business Security, eingesetzt zum Schutz der Server- und Endpunktinfrastruktur vor Schadsoftware, Angriffen und unbefugtem Zugriff.
  • SSL/TLS-Verschlüsselung: Einsatz eines Multidomain-SSL-Zertifikats zur verschlüsselten Übertragung sämtlicher Daten zwischen Ihrem Endgerät und unseren Servern.
  • Netzwerksicherheit: Netbird Zero Trust Netzwerk, eingesetzt für den abgesicherten SSH-Zugriff auf den Server. Zugriff nur für autorisierte Administratoren, verschlüsselte Verbindung, rollenbasierte Zugriffskontrolle.

KI-Dienstleister (Microsoft Azure)

Microsoft Ireland Operations Limited, Rechtsform: Private Company Limited by Shares, eingetragen in Irland, Nr. 256796, Office: 70 Sir John Rogerson's Quay, Dublin 2, Irland – Verarbeitung der zur Vorprüfung erforderlichen Antragsinhalte als Auftragsverarbeiter. Gemäß EU-Standardvertragsklauseln, Verarbeitung innerhalb der EU.

  • Rechtsmechanismen für Drittlandtransfers: Einsatz von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) sowie ergänzender Maßnahmen.
  • Keine Trainingsnutzung: Kein Einsatz der übermittelten Inhalte zu Trainingszwecken.
  • Fachjurys/Gremien: Weitergabe relevanter Antragsauszüge an interne/externe Gutachtende unter Vertraulichkeitsverpflichtung.
  • Beratung/Prüfung/Behörden: Weitergabe soweit gesetzlich erforderlich oder zur Erfüllung satzungs-/ steuer-/ nachweisrechtlicher Pflichten.

5. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen; anschließend werden sie gelöscht oder anonymisiert.

6. Cookies und Einwilligungsmanagement

Wir verwenden ausschließlich technisch erforderliche Cookies zur Bereitstellung grundlegender Funktionen (Login, Session, CSRF-Schutz).

Rechtsgrundlage: § 25 Abs. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO.

7. Ihre Rechte

Sie haben gegenüber uns die Rechte aus Art. 15–21 DSGVO. Bitte richten Sie Ihre Anliegen an datenschutz@wihoga-stiftung.de.

  • Auskunft: Über verarbeitete personenbezogene Daten, Zwecke, Empfänger, Speicherdauern.
  • Berichtigung: Unrichtiger oder unvollständiger Daten.
  • Löschung: Nach Maßgabe des Art. 17 (z. B. bei Zweckerreichung oder Widerruf).
  • Einschränkung der Verarbeitung: In den in Art. 18 genannten Fällen.
  • Datenübertragbarkeit: Erhalt Ihrer bereitgestellten Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
  • Widerspruch: Gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f; bei Widerspruch prüfen wir überwiegende schutzwürdige Gründe.
  • Widerruf von Einwilligungen: Jederzeit mit Wirkung für die Zukunft.

8. Pflicht zur Bereitstellung und automatisierte Entscheidungen

  • Pflichtangaben: Im Antragssystem sind bestimmte Felder erforderlich; ohne diese ist eine Bearbeitung nicht möglich. Pflichtfelder sind gekennzeichnet.
  • Keine ausschließlich automatisierten Entscheidungen: Es findet keine ausschließlich automatisierte Entscheidung mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung statt. Die KI-Vorprüfung dient ausschließlich der Unterstützung.

9. Datensicherheit

Wir treffen angemessene technisch-organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  • Transport- und Speicherverschlüsselung mittels Multidomain-SSL-Zertifikat und serverseitiger Verschlüsselung.
  • Zero-Trust-Netzwerkarchitektur (Netbird) für administrative Zugriffe, um Angriffsflächen zu minimieren.
  • Mehrstufige Sicherheitssoftware (Bitdefender Business Security) zur Erkennung, Abwehr und Protokollierung von Bedrohungen.
  • Automatische E-Mail-Kommunikation dieses Services über den Dienst Sinch Mailgun.
  • Regelmäßige Sicherheitsupdates und Überprüfung der eingesetzten Systeme.
  • KI-Vorverarbeitung: Pseudonymisierung/Maskierung für KI-Vorprüfung – es werden ausschließlich mit einem Badge „KI-ANALYSE″ markierte Felder übermittelt.

10. Aufsichtsbehörde, Geltung und Änderungen

  • Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde

LDI Nordrhein-Westfalen

Kavalleriestraße 2–4

40213 Düsseldorf

ldi.nrw.de

  • Aktualität dieser Erklärung: Wir passen diese Datenschutzerklärung an, wenn Dienste, Prozesse oder Rechtslagen sich ändern.

Stand: Oktober 2025