Legal

Datenschutzerklärung

Stand: 5. Juli 2026

Diese Datenschutzerklärung informiert Sie nach Art. 13 und Art. 14 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Website internities.com und unserer Plattform app.internities.com verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht, an wen wir Daten weitergeben und welche Rechte Ihnen zustehen.

Internities ist eine zweiseitige Praktikums-Matching-Plattform: Studierende erstellen ein Profil und werden mit Praktikumsrollen von Unternehmen zusammengeführt; Unternehmen schreiben Rollen aus und sichten Kandidatinnen und Kandidaten. Wo für das Verständnis erforderlich, unterscheiden wir im Folgenden ausdrücklich zwischen der Studierenden- und der Unternehmensseite.

1. Verantwortliche und Datenschutzbeauftragter

1.1 Verantwortliche

Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist:

Internities UG (haftungsbeschränkt), Hansastraße 42, 20144 Hamburg, Deutschland. Handelsregister: HRB 189434, Amtsgericht Hamburg. Vertreten durch die Geschäftsführung: Gwendolin Lüders, Alexander Krink, Boris Albert. E-Mail: hello@internities.de

1.2 Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht derzeit nicht.

1.3 Mindestalter und Minderjährige

Unsere Plattform richtet sich ausschließlich an volljährige Personen, die das 18. Lebensjahr vollendet haben; ein Angebot an Minderjährige erfolgt nicht. Mit der Registrierung und Nutzung sichern Sie zu, dass Sie das 18. Lebensjahr vollendet haben (vgl. § 4 der Allgemeinen Geschäftsbedingungen). Da sich unser Angebot ausschließlich an Volljährige richtet, verarbeiten wir wissentlich keine personenbezogenen Daten von Personen, die das 18. Lebensjahr noch nicht vollendet haben; die besondere Einwilligungsschwelle für Kinder nach Art. 8 Abs. 1 DSGVO wird dadurch gegenstandslos. Sollten wir Kenntnis davon erlangen, dass uns eine minderjährige Person Daten übermittelt hat, löschen wir diese Daten unverzüglich.

2. Übersicht: Welche Kategorien personenbezogener Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten, wenn Sie unsere Website und Plattform nutzen. Je nach Rolle und Nutzung betrifft dies insbesondere folgende Kategorien:

Allgemein (alle Nutzergruppen)

  • Accountdaten: Name, E-Mail-Adresse, Passwort-Hash, Rolle (Studierende / Unternehmen / Ambassador)
  • Nutzungs- und Logdaten: IP-Adresse, Zeitstempel, Geräte- und Browserinformationen, Anwendungsereignisse (z. B. Login, Seitenaufrufe, Bewerbungen)
  • Kommunikationsdaten: Support-Anfragen, plattforminterne Nachrichten (Chat), Benachrichtigungen
  • Einwilligungs- und Vertragsannahme-Nachweise: Zeitpunkt, Version des zugestimmten Textes, IP-Adresse, technischer Nachweis (Hash) der zugestimmten Fassung

Studierende

  • Profildaten: Ausbildung / Universität, Studiengang, Skills, Erfahrungen, Präferenzen, Links (z. B. LinkedIn / GitHub), Geburtsdatum, Angabe zur Arbeitserlaubnis
  • hochgeladene Dokumente (z. B. Lebenslauf, Zeugnisse, Zertifikate, Anschreiben, Immatrikulationsbescheinigung) sowie der daraus extrahierte Text und die daraus abgeleiteten Strukturdaten
  • Verifikationsstatus der Immatrikulation und die dabei verwendeten Nachweisdokumente
  • Antworten und Ergebnisse der Fragebögen „Ideal Workspace“ und „Interests“
  • Antworten und Achsen-Ergebnisse des Internitest (siehe Abschnitt 6)
  • Bewerbungs- und Matchingdaten: Bewerbungsstatus, Match-Scores und -Empfehlungen, KI-gestützte Bewertungssignale (siehe Abschnitt 5), Feedbacksignale
  • Verbindungs- und Kommunikationsdaten: Connection-Anfragen und deren Status, nach Annahme freigegebene Kontakt-E-Mail, Chat-Nachrichten und -Anhänge, Interview-Termine und Kalenderdateien

Unternehmen

  • Unternehmensdaten: Firmenname, Branche, Website, Standort, Logo
  • Ansprechpartner und Teammitglieder (Namen, E-Mail-Adressen, Rollen)
  • Praktikumsanzeigen, Rollen-Fragebögen, Skill-Radar-Daten
  • Abrechnungsdaten (siehe Abschnitt 8): Abo-Status, Kundenkennungen des Zahlungsdienstleisters, die für die Abrechnung verwendete E-Mail-Adresse; die eigentlichen Zahlungs- und Rechnungsdaten werden ausschließlich beim Zahlungsdienstleister verarbeitet (siehe Abschnitt 8)
  • Daten eingeladener, noch nicht registrierter Teammitglieder: die zur Einladung verwendete E-Mail-Adresse

Ambassadors (Teilnehmende am Ambassador-Programm)

  • Bewerbungsdaten: Name, E-Mail, Telefon, Universität, Studiengang, Semester, Angaben zu Hochschulgruppen und Reichweite, Motivations-Freitext, verfügbare Stunden, Sprachen, optionale Social-Media-Handles
  • Programmteilnahme-Nachweise (Version und Zeitpunkt der Terms-Annahme, IP, User-Agent, Identitäts-Snapshot)
  • Referral-Attributionsdaten (siehe Abschnitt 9)
  • Auszahlungsbezogene Daten: Ausweis-, Steuer- und Bankdaten werden ausschließlich beim Zahlungsdienstleister im Rahmen des Onboardings verarbeitet (siehe Abschnitt 8); in unserer Anwendung speichern wir nur die Konto-Kennung und den Auszahlungs-Freigabestatus

3. Zwecke der Verarbeitung und Rechtsgrundlagen im Überblick

Wir verarbeiten personenbezogene Daten zu den folgenden Zwecken auf den jeweils genannten Rechtsgrundlagen. Die Rechtsgrundlagen sind einzeln nach Buchstaben des Art. 6 Abs. 1 DSGVO benannt; wo eine Verarbeitung mehreren Zwecken dient, sind die tragenden Rechtsgrundlagen kumulativ angegeben.

Nr.ZweckRechtsgrundlage
3.1Bereitstellung und Durchführung der Plattform (Registrierung, Anmeldung, Profile, Fragebögen, Bewerbungen, Matching, Skill-Radar, Chat, Interview-Terminplanung, Benachrichtigungen)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
3.2Immatrikulationsprüfung von Studierenden mittels KI-gestützter Dokumentenanalyse als automatisierte Zugangsentscheidung (siehe Abschnitt 5.3)Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO. Die ausschließlich automatisierte Einzelfallentscheidung ist nach Art. 22 Abs. 2 lit. a i. V. m. Abs. 3 DSGVO zulässig (Zulässigkeitsebene, nicht Rechtsgrundlage; siehe Abschnitt 5.3).
3.3Bewertung und Zusammenführung von Profilen und Rollen (Matching, KI-gestützte Anforderungs- und Dokumentbewertung, psychometrisches Scoring; siehe Abschnitte 5 und 6)Art. 6 Abs. 1 lit. b DSGVO
3.4Sicherheit, Missbrauchs- und Betrugsprävention, Malware-Prüfung hochgeladener Dateien, Ratenbegrenzung, Bot-SchutzArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform), für die Malware-Prüfung zusätzlich i. V. m. Art. 32 DSGVO
3.5Kontaktfreigabe zwischen Studierenden und Unternehmen nach beiderseitiger VerbindungVerwaltung/Nachweis der Verbindung: Art. 6 Abs. 1 lit. f i. V. m. Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO (Rechenschaft über die erteilte Einwilligung); Offenlegung der E-Mail-Adresse: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der nach der Freigabe eröffnete Chat- und Interviewkanal beruht auf Art. 6 Abs. 1 lit. b DSGVO; zum Verhältnis der Einwilligung (lit. a) zur anschließenden Vertragsdurchführung (lit. b) siehe Abschnitt 7.3
3.6Kommunikation und SupportArt. 6 Abs. 1 lit. b und/oder lit. f DSGVO
3.7Zahlungsabwicklung und Abo-Verwaltung der Unternehmensseite (siehe Abschnitt 8)Art. 6 Abs. 1 lit. b DSGVO; für gesetzliche Aufbewahrungspflichten Art. 6 Abs. 1 lit. c DSGVO
3.8Ambassador-Programm: Bewerbung, Teilnahmeverwaltung, Referral-Attribution, Prämienabwicklung (siehe Abschnitt 9)Bewerbung/Vertrag: Art. 6 Abs. 1 lit. b DSGVO; Attribution und Statusanzeige: Art. 6 Abs. 1 lit. f DSGVO; Referral-Cookie: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG
3.9Betrieb, Fehlerdiagnose und Stabilität (Hosting, Protokollierung, Fehler-Monitoring)Art. 6 Abs. 1 lit. f DSGVO
3.10Erfüllung gesetzlicher Pflichten (Betroffenenrechte, Aufbewahrung, Nachweis)Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 12–22 DSGVO
3.11Warteliste und vorvertragliche Interessentenkommunikation (Studierende), soweit einschlägigArt. 6 Abs. 1 lit. a DSGVO (Einwilligung, Double-Opt-In); flankierend § 7 Abs. 2 UWG

4. Datenkategorien mit möglichem Bezug zu besonderen Kategorien (Art. 9 DSGVO)

Wir fordern von Ihnen keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO an (etwa Gesundheitsdaten, Daten zu religiösen oder weltanschaulichen Überzeugungen, zur ethnischen Herkunft oder zur Gewerkschaftszugehörigkeit) und verarbeiten sie nicht gezielt.

Bei von Ihnen hochgeladenen Dokumenten (z. B. Zeugnissen) können solche Angaben jedoch unbeabsichtigt enthalten sein (etwa ein Schwerbehindertenvermerk oder die Zugehörigkeit zu einem konfessionellen Arbeitgeber). Wir bitten Sie daher, vor dem Hochladen nicht erforderliche sensible Angaben zu schwärzen. Wir haben technische und organisatorische Vorkehrungen getroffen, um die Verarbeitung solcher Angaben zu begrenzen.

5. Einsatz künstlicher Intelligenz, Profiling und automatisierte Entscheidungen

Wir setzen KI-Systeme (derzeit: Modelle von Anthropic sowie Google Document AI zur Texterkennung) an mehreren Stellen der Plattform ein. Die folgenden Verarbeitungen finden produktiv statt — sie sind keine geplanten oder zukünftigen Funktionen. Wir beschreiben nachfolgend jeden Anwendungsfall, die betroffenen Daten und die Bedeutung für Sie.

5.1 Texterkennung hochgeladener Dokumente (OCR)

Wenn Sie Dokumente hochladen, wird deren Inhalt zunächst mittels optischer Zeichenerkennung (OCR) in maschinenlesbaren Text überführt. Dieser Schritt wird über Google Document AI durchgeführt. Dabei werden die Dokumentinhalte (Rohdaten) an einen Google-Document-AI-Prozessor übermittelt; die Verarbeitung ist auf eine EU-Region konfiguriert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.2 KI-gestützte Dokumentanalyse und Profilvorbefüllung

Der aus Ihren Dokumenten gewonnene Text wird an ein KI-Modell (Anthropic) übermittelt, um ihn zu klassifizieren und strukturierte Angaben zu extrahieren (z. B. Skills, Ausbildung, Berufserfahrung). Aus diesen Angaben schlagen wir Ihnen Vorbefüllungen für Ihr Profil vor; die endgültige Übernahme bestätigen Sie selbst. Es werden dabei keine Rohdateien an das KI-Modell übermittelt, sondern nur der extrahierte Text und daraus abgeleitete strukturierte Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.3 Immatrikulationsprüfung — automatisierte Einzelfallentscheidung (Art. 22 DSGVO)

Um zu überprüfen, ob Sie immatrikulierte Studentin oder immatrikulierter Student sind, werden Ihre hochgeladenen Immatrikulationsnachweise von einem KI-Modell analysiert, das einen Konfidenzwert vergibt. Erreicht dieser Wert einen festgelegten Schwellenwert, wird Ihr Plattformzugang automatisch gewährt; andernfalls wird er nicht automatisch gewährt.

Dies ist eine ausschließlich automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet bzw. Sie in ähnlicher Weise erheblich beeinträchtigt, weil sie darüber entscheidet, ob Sie die Plattform nutzen können.

Wir stützen diese automatisierte Entscheidung auf Art. 22 Abs. 2 lit. a DSGVO (die Prüfung ist für den Abschluss des Nutzungsvertrags erforderlich). Zum Schutz Ihrer Rechte und Freiheiten stellen wir nach Art. 22 Abs. 3 DSGVO sicher, dass Sie das Recht haben,

  • (a) das Eingreifen einer natürlichen Person zu erwirken — kontaktieren Sie uns hierzu unter hello@internities.de; ein Mitglied unseres Teams prüft Ihren Fall manuell
  • (b) Ihren eigenen Standpunkt darzulegen; und
  • (c) die Entscheidung anzufechten

Anfragen auf menschliche Überprüfung beantworten wir innerhalb von fünf Werktagen. Die involvierte Logik besteht in einer modellgestützten Einschätzung, ob der eingereichte Nachweis eine gültige, aktuelle Immatrikulation belegt; die Tragweite der Entscheidung besteht in der Gewährung oder Nichtgewährung des Plattformzugangs.

5.4 Matching, KI-gestützte Anforderungsbewertung und Dokument-Scoring

Wir gleichen Profile von Studierenden mit Praktikumsrollen von Unternehmen ab und berechnen dazu Übereinstimmungswerte (Match-Scores). In diese Berechnung fließen ein:

  • eine deterministische Match-Grundberechnung aus Profil-, Fragebogen- und Testdaten
  • eine KI-gestützte Bewertung, inwieweit Ihr Profil die Anforderungen einer Rolle erfüllt (Anforderungs-Level 0–5, „Candidate Read-out“)
  • ein KI-gestütztes, dokumentbasiertes Scoring (ACA-Score 0–100), das aus den extrahierten Angaben Ihrer Unterlagen abgeleitet wird

Die beiden zuletzt genannten, KI-gestützten Bewertungskomponenten fließen in den Gesamt-Übereinstimmungswert (Match-Blend) ein.

Diese Verarbeitung stellt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar und findet laufend und produktiv statt. Die berechneten Werte dienen als Empfehlung und Sortierhilfe; die Entscheidung über eine Kontaktaufnahme, Einladung oder ein Angebot trifft stets das jeweilige Unternehmen im Rahmen einer eigenen, vollständigen Bewertung — nicht ein automatisiertes System. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 Abs. 1 DSGVO trifft die Plattform im Matchingprozess nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sie können der auf berechtigte Interessen gestützten Verarbeitung jederzeit widersprechen (siehe Abschnitt 14); soweit eine Verarbeitung zur Vertragserfüllung erforderlich ist, weisen wir darauf hin, dass ohne diese Verarbeitung ein Matching nicht möglich ist.

5.5 Rollenseitige KI-Funktionen für Unternehmen

Wenn ein Unternehmen einen Rollen-Fragebogen ausfüllt, senden wir die Fragebogenantworten (keine Studierendendaten) an ein KI-Modell (Anthropic), das eine mehrachsige Skill-Radar-Visualisierung erstellt; ein zweites KI-Modell (Anthropic) prüft das Ergebnis auf Qualität. Weitere rollenseitige KI-Funktionen (z. B. Vorbefüllung und Übersetzung von Rollentexten) verarbeiten ausschließlich von Unternehmen eingegebene Freitexte. Diese Funktionen bewerten Studierende nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.6 Kein Training auf Ihren Daten

Wir setzen die genannten KI-Modelle ausschließlich zur Verarbeitung im laufenden Betrieb ein. Nach unseren vertraglichen Vorgaben werden Ihre personenbezogenen Daten nicht zum Training oder zur Feinabstimmung der Modelle verwendet; Prompts und Antworten werden nicht dauerhaft bei den KI-Anbietern gespeichert.

6. Internitest (psychometrische Selbsteinschätzung)

Studierende durchlaufen einen strukturierten Test („Internitest“) mit elf berufsbezogenen Achsen (sechs Dispositions- und fünf situationsbezogene Beurteilungsachsen). Wir speichern Ihre Antworten sowie die daraus rein rechnerisch (deterministisch, ohne KI im Ergebnispfad) abgeleiteten Achsen-Ergebnisse (0–100). Das Ergebnis ist Voraussetzung dafür, sich auf Rollen zu bewerben, und fließt als Matching-Input in die Berechnung nach Abschnitt 5.4 ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Weitergabe an Unternehmen: Unternehmen erhalten zu Studierenden, die sich auf ihre Rolle beworben haben, nicht Ihre Rohantworten und nicht Ihr vollständiges Ergebnisprofil, sondern nur ein zusammengefasstes Band, den Gesamtscore und die für die jeweilige Rolle relevanten Achsen. Rechtsgrundlage der Weitergabe: Art. 6 Abs. 1 lit. b DSGVO.

7. Verbindungen, Kontaktfreigabe und Kommunikation zwischen Studierenden und Unternehmen

7.1 Connection-Anfragen (Einwilligungs-Gate)

Bevor Kontaktdaten offengelegt werden, verwalten wir eine Verbindungsanfrage mit den Status „angefragt“, „angenommen“, „abgelehnt“ und „zurückgezogen“. Wir speichern diese Zustände auch zum Nachweis Ihrer Einwilligung in die spätere Kontaktfreigabe. Rechtsgrundlage: Art. 6 Abs. 1 lit. f i. V. m. Art. 5 Abs. 2 und Art. 7 Abs. 1 DSGVO (berechtigtes Interesse an der Rechenschaft über die erteilte Einwilligung).

7.2 Kontaktfreigabe nach Annahme (E-Mail-Offenlegung)

Nehmen Sie als studierende Person eine Verbindungsanfrage an, geben wir Ihre Konto-E-Mail-Adresse an die Mitglieder des anfragenden Unternehmens frei. Diese Offenlegung beruht auf Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie mit der Annahme erteilen. Telefonnummern werden nicht geteilt.

Widerruf: Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 S. 1 DSGVO). Den Widerruf können Sie ebenso einfach erklären wie die Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO). Sie können den Widerruf über die in Ihrem Konto verfügbaren Einstellungen oder per E-Mail an hello@internities.de erklären.

7.3 Chat und Interview-Terminplanung

Nach einer angenommenen Verbindung können Studierende und Unternehmen über einen plattforminternen Chat kommunizieren (einschließlich Dateianhängen) und Interviewtermine vereinbaren. Bei der Terminplanung versenden wir Kalenderdateien (.ics), in denen Ihre E-Mail-Adresse als Teilnehmerin oder Teilnehmer aufgeführt ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Zur Missbrauchsbekämpfung können Nachrichten gemeldet werden; entsprechende Meldungen speichern wir zu Prüfzwecken.

Verhältnis von Einwilligung (Abschnitt 7.2) und Vertragsdurchführung (dieser Abschnitt): Die Freigabe Ihrer Kontakt-E-Mail-Adresse nach Abschnitt 7.2 beruht auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und ist jederzeit mit Wirkung für die Zukunft widerruflich (Art. 7 Abs. 3 DSGVO). Sie eröffnet — als von Ihnen ausgelöster Schritt der Vertragsdurchführung — den anschließenden Kommunikationskanal, den wir sodann auf Art. 6 Abs. 1 lit. b DSGVO stützen. Widerrufen Sie Ihre Einwilligung nach Abschnitt 7.2, endet damit die weitere Kontaktfreigabe; bereits im Kanal ausgetauschte Kommunikation bleibt hiervon unberührt, soweit ihre weitere Verarbeitung zur Vertragsdurchführung oder aus gesetzlichen Gründen (z. B. Missbrauchsprüfung) erforderlich ist.

7.4 Benachrichtigungen

Wir senden Ihnen vertragsdienliche Systemnachrichten (z. B. zu Bewerbungsstatus, Verbindungen, Chat, Interviews, Abrechnung, Support) innerhalb der App und per E-Mail; für E-Mail-Benachrichtigungen können Sie einzelne Kategorien abbestellen, während bestimmte in-App-Hinweise systembedingt bestehen bleiben. Diese Nachrichten enthalten keine Werbung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Zahlungsabwicklung (Stripe)

8.1 Abo-Abrechnung der Unternehmensseite

Unternehmen schließen kostenpflichtige Abonnements ab. Die Zahlungsabwicklung erfolgt über Stripe. Bei der Einrichtung und Durchführung eines Abonnements werden an Stripe insbesondere übermittelt: die für die Abrechnung verwendete E-Mail-Adresse der handelnden Person, der Firmenname sowie eine interne Kennung des Firmenkontos. Bei der von Stripe gehosteten Bezahlseite geben Sie dort Rechnungsadresse, gegebenenfalls Umsatzsteuer-Identifikationsnummer und Zahlungsmittel unmittelbar bei Stripe ein; diese Zahlungs- und Rechnungsdaten sehen wir nicht. In unserer Anwendung speichern wir nur die Kundenkennung, die Abo-Kennung und den Abo-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für steuer- und handelsrechtliche Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO.

8.2 Auszahlungen im Ambassador-Programm (Stripe-Connect-Onboarding)

Für Auszahlungen an Ambassadors nutzen wir das Onboarding von Stripe. Ihre Ausweis-, Steuer- und Bankdaten geben Sie dabei ausschließlich bei Stripe ein; wir speichern in unserer Anwendung nur die Konto-Kennung und den Auszahlungs-Freigabestatus.

8.3 Rolle von Stripe und Drittlandbezug

Stripe wird für die Zahlungsabwicklung als unser Auftragsverarbeiter tätig. Für die Erfüllung eigener gesetzlicher Pflichten zur Feststellung der Identität und zur Geldwäscheprävention (Know-Your-Customer, §§ 10 ff. GwG) ist Stripe zugleich eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; Stripe ist als Zahlungsinstitut selbst Verpflichteter nach § 2 Abs. 1 Nr. 3 GwG. Bei der Zahlungsabwicklung kann es zu einer Übermittlung in die USA innerhalb des Stripe-Konzerns kommen; die hierfür maßgeblichen Garantien sind in Abschnitt 11 dargestellt.

9. Ambassador-Programm und Referral-Attribution

9.1 Bewerbung und Teilnahme

Wer sich als Ambassador bewirbt, übermittelt uns die in Abschnitt 2 genannten Bewerbungsdaten. Wir verarbeiten sie zur Auswahl und Durchführung des Programms. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahme). Eine Kopie der Bewerbung erreicht unser Betriebspostfach über unseren E-Mail-Dienstleister (siehe Abschnitt 10).

9.2 Referral-Attribution und Namensanzeige

Erreichen Sie unsere Unternehmensregistrierung über den Empfehlungslink eines Ambassadors (Parameter „?ref=“) oder geben Sie einen Empfehlungscode ein, ordnen wir Ihr neues Unternehmenskonto einmalig bei der Kontoerstellung diesem Ambassador zu (First-Touch-Prinzip). Der Empfehlungscode wird primär in den Metadaten Ihres Registrierungskontos mitgeführt und benötigt hierfür kein Cookie; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zuordnung von Empfehlungen).

Zusätzlich — und nur, wenn Sie für die Kategorie „Referral-Zuordnung“ eingewilligt haben — speichern wir ein First-Party-Cookie namens internities_ref mit dem Empfehlungscode für 45 Tage, damit die Zuordnung erhalten bleibt, falls Sie die Registrierung später abschließen. Ohne diese Einwilligung wird kein solches Cookie gesetzt; die Zuordnung funktioniert dann weiterhin über die Konto-Metadaten. Rechtsgrundlage für das Cookie: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

Während Sie einen vollständigen Empfehlungscode eingeben, zeigen wir über eine ratenbegrenzte Abfrage den Vornamen und den ersten Buchstaben des Nachnamens des empfehlenden Ambassadors an (z. B. „Anna M.“); den vollständigen Nachnamen oder die E-Mail-Adresse geben wir niemals preis. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9.3 Prämien

Ambassadors erhalten für erfolgreich geworbene, zahlende Unternehmen Prämien. Zur Abwicklung und zum Nachweis speichern wir die zugehörigen Referral- und Abrechnungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für die Aufbewahrung Art. 17 Abs. 3 lit. b DSGVO i. V. m. § 147 AO.

10. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten an die folgenden Empfänger weiter bzw. setzen die folgenden Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit Auftragsverarbeitern schließen wir Auftragsverarbeitungsverträge nach Art. 28 Abs. 3 DSGVO.

Für Übermittlungen in Drittländer gelten zusätzlich die Garantien nach Abschnitt 11.

EmpfängerFunktion / verarbeitete DatenRolleSitz / Region
Supabase (mit Sub-Auftragsverarbeiter AWS)Datenbank, Authentifizierung, Dateispeicherung; Versand von System-E-Mails (z. B. Passwort-Reset, Magic-Link)AuftragsverarbeiterEU-Projekt
Vercel Inc.Hosting und Serverless-Compute; alle Anfragen werden über die Infrastruktur geleitet; Betriebs-LogsAuftragsverarbeiterUSA
Resend Inc.Transaktionaler E-Mail-Versand (Adressen und Inhalte, z. B. Willkommens-, Zugangs-, Einladungs-, Interview-E-Mails)AuftragsverarbeiterUSA
Anthropic PBCKI-Verarbeitung: extrahierter Dokumenttext, Strukturprofile, Fragebogen-/Testabgeleitete Daten (kein Rohdokument, keine Konto-IDs)AuftragsverarbeiterUSA
Google (Document AI)Texterkennung (OCR) — Übermittlung der Dokument-RohdatenAuftragsverarbeiterProzessor in der EU-Region konfiguriert; Anbieter mit US-Bezug
Ionx Solutions Ltd. (Verisys)Malware-Prüfung hochgeladener Dateien und Chat-Anhänge (vollständige Datei-Bytes)AuftragsverarbeiterEU/DE
StripeZahlungsabwicklung, Abo-Verwaltung, Auszahlungs-Onboarding (siehe Abschnitt 8)Auftragsverarbeiter (Zahlungsabwicklung) und eigenständig Verantwortlicher (KYC/GwG)IE / USA (Konzern)
Cloudflare Inc.Bot-Abwehr (Turnstile): IP-Adresse und Browser-Signale/Challenge-TokenAuftragsverarbeiterUSA
Upstash Inc.Ratenbegrenzung (Redis): vorübergehend Nutzer-IDs oder IP-Adressen mit Anfragezählern; keine InhaltsdatenAuftragsverarbeiterUSA
Functional Software, Inc. (Sentry)Fehler-Monitoring: pseudonymisierte, PII-bereinigte Ereignisdaten und ein Nutzer-HashAuftragsverarbeiterEU-Region (Frankfurt); Anbieter mit US-Bezug
Microsoft Ireland Operations Limited (Microsoft 365 / Exchange Online; Konzernbezug: Microsoft Corporation, USA)E-Mail-Hosting des zentralen Postfachs hello@internities.de für allgemeine Kommunikation, Support und die Bearbeitung von Betroffenenrechten (Art. 15–22 DSGVO); verarbeitet werden sämtliche ein- und ausgehende Korrespondenz und deren Inhalte (Absender- und Empfängerangaben, Betreff, Nachrichtentext, Anhänge). Je nach Anliegen sind besondere Kategorien nach Art. 9 DSGVO nicht ausgeschlossen (z. B. Gesundheitsangaben in einer Support- oder Betroffenenanfrage)AuftragsverarbeiterIrland (EU-Rechtsträger); Konzernbezug USA — siehe Abschnitt 11.

Darüber hinaus sind die Unternehmen der Plattform-Gegenseite Empfänger derjenigen Studierendendaten, die sie im Rahmen einer Bewerbung, eines Matches oder nach einer angenommenen Verbindung erhalten (insbesondere Bewerbungsangaben, das zusammengefasste Test-Band und rollenrelevante Achsen, sowie nach Einwilligung die Kontakt-E-Mail). Die datenschutzrechtliche Rollenverteilung zwischen Internities und den Unternehmen wird nach abschließender Klärung hier präzisiert.

11. Übermittlung in Drittländer (Art. 44 ff. DSGVO)

Einige der in Abschnitt 10 genannten Empfänger haben ihren Sitz oder Konzernbezug in den USA. Für Übermittlungen personenbezogener Daten in ein Drittland stützen wir uns je Empfänger auf eine der folgenden Garantien; die jeweils einschlägige Garantie und die Möglichkeit, eine Kopie der Garantien zu erhalten, sind nachstehend angegeben.

EmpfängerTransferinstrumentBezugsquelle der Garantien
Vercel Inc.EU-Standardvertragsklauseln (Modul 2, Verantwortliche → Auftragsverarbeiter) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO, ergänzt um UK IDTA für UK-Übermittlungen. Vercel stützt sich nicht auf das EU-US Data Privacy Framework; die Übermittlung wird ausschließlich durch die Standardvertragsklauseln nebst ergänzenden Maßnahmen getragen.Vercel Data Processing Addendum, per Verweis in die Vercel Terms of Service einbezogen; Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Resend Inc.Primär Angemessenheitsbeschluss nach Art. 45 DSGVO auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795; Zertifizierung der Vertragsentität Plus Five Five, Inc.). Fallback: EU-Standardvertragsklauseln (Modul 2) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO, ergänzt um UK-/Swiss-Addendum.Resend Data Processing Addendum (§§ 6, 11), per Verweis in die Resend Terms of Service einbezogen; Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Anthropic PBCEU-Standardvertragsklauseln (Modul 2) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO, ergänzt um UK-/Swiss-Addendum; als ergänzende Maßnahme vertraglich zugesicherte Zero Data Retention und No-Training. Ein EU-US Data Privacy Framework greift nicht (Anthropic ist nicht zertifiziert).Anthropic Data Processing Addendum (Stand 24.02.2025), per Verweis über die Anthropic Commercial Terms einbezogen; Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Google (Document AI)Verarbeitung und Speicherung in der EU-Location („eu“); Vertragsentität Google Cloud EMEA Limited (Irland). Für einen verbleibenden Konzern-/Support-Zugriff durch Google LLC (USA): EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 (Google Cloud Data Processing Addendum, Appendix 3, Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzend Angemessenheitsbeschluss nach dem EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795; Zertifizierung Google LLC).Google Cloud Data Processing Addendum (cloud.google.com/terms/data-processing-addendum); Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Cloudflare Inc.Primär Angemessenheitsbeschluss nach Art. 45 DSGVO auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795; Cloudflare zertifiziert für EU-US, Swiss-US und UK-Extension). Fallback: EU-Standardvertragsklauseln (Modul 2/3) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO.Cloudflare Data Processing Addendum v6.3 (cloudflare.com/cloudflare-customer-dpa/); Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Upstash Inc.Verarbeitung und Speicherung in der EU (AWS Frankfurt, eu-central-1). Derzeit tragend: EU-Standardvertragsklauseln (Modul 2) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO; nach verifiziertem Listing zusätzlich Angemessenheitsbeschluss nach dem EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795).Upstash Data Processing Addendum, Stand 04/2025 (upstash.com/static/trust/dpa.pdf); Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Functional Software, Inc. (Sentry)Verarbeitung in der EU-Region (Frankfurt). Primär Angemessenheitsbeschluss nach Art. 45 DSGVO auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795). Fallback: EU-Standardvertragsklauseln (Modul 2) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO, ergänzt um UK-/Swiss-Addendum.Sentry Data Processing Addendum v5.1.0 (Stand 29.05.2024), Schedule 3; Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
StripeVertragsentität in der EU: Stripe Payments Europe, Limited (Irland); der Drittlandbezug entsteht durch konzerninterne Weiterübermittlung in die USA (Stripe, Inc. / Stripe, LLC). Bei aktivem DPF-Listing des konkreten US-Rechtsträgers: Angemessenheitsbeschluss nach Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795); andernfalls EU-Standardvertragsklauseln (Modul 1/2) nach Durchführungsbeschluss (EU) 2021/914 i. V. m. Art. 46 Abs. 2 lit. c DSGVO.Stripe Data Transfers Addendum (stripe.com/legal/dta), Bestandteil der Stripe Services Agreement; Kopie der Standardvertragsklauseln auf Anfrage (hello@internities.de).
Microsoft Ireland Operations Limited (Microsoft 365 / Exchange Online; Konzernbezug Microsoft Corporation, USA)Vertragsentität ist ein EU-Rechtsträger (Irland); im Rahmen der EU Data Boundary werden personenbezogene Daten in der EU „at rest“ gespeichert und verarbeitet. Für verbleibende Übermittlungen an die Microsoft Corporation (USA) EU-Standardvertragsklauseln nach Beschluss (EU) 2021/914 (Prozessor-zu-Prozessor zwischen Microsoft Ireland Operations Limited und Microsoft Corporation) i. V. m. Art. 46 Abs. 2 lit. c DSGVO, zusätzlich UK IDTA; ergänzend stützt sich Microsoft auf die DPF-Zertifizierung der Microsoft Corporation (Durchführungsbeschluss (EU) 2023/1795, Art. 45 DSGVO). Restrisiko: US-Support- oder Fernzugriff.Microsoft Products and Services Data Protection Addendum (Stand 01.09.2025), per Verweis in die Microsoft Product Terms einbezogen; Kopie der Standardvertragsklauseln auf Anfrage über den Datenschutzbeauftragten (Abschnitt 1.2).

Soweit Verarbeitung ausschließlich in der EU/im EWR erfolgt (z. B. Supabase als EU-Projekt; Google Document AI in EU-Region; Sentry in Frankfurt), findet insoweit keine Drittlandübermittlung statt; ein etwaiger Support- oder Fernzugriff aus einem Drittland ist gleichwohl je Anbieter zu prüfen.

12. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen. Im Einzelnen gelten insbesondere die folgenden Fristen und Kriterien (Art. 13 Abs. 2 lit. a DSGVO):

DatenbestandFrist / Kriterium
Account- und Profildatenfür die Dauer des aktiven Kontos; danach Löschung bzw. Anonymisierung im Rahmen der Konto-Löschung
Studierenden-Warteliste (Interessenten)unbestätigte Einträge: 7 Tage; bestätigte Einträge: Anonymisierung nach 365 Tagen
Immatrikulationsnachweise und deren OCR-RohtextHard-Delete 30 Tage nach Abschluss der Prüfung
Chat, Interview-Daten und Meldungen beendeter VerbindungenLöschung 180 Tage nach Beendigung der Verbindung (abgelehnt/zurückgezogen); bei aktiven Verbindungen für deren Dauer
Support-Tickets24 Monate nach Schließung des Tickets
Staff-Audit-Protokoll (Zugriffe unserer Mitarbeitenden)12 Monate
Abgelehnte Ambassador-BewerbungenAnonymisierung 6 Monate nach der Entscheidung
Hochgeladene Dokumente und daraus extrahierte DatenFür die Dauer des aktiven Kontos; Löschung im Rahmen der Konto-Löschung.
Einwilligungs- und Vertragsannahme-Nachweisefür die Dauer des Kontos zu Rechenschaftszwecken (Art. 5 Abs. 2 DSGVO); anonymisierter Nachweis darüber hinaus
Abrechnungs- und Prämienunterlagennach Maßgabe der gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB, § 14b UStG)
Fehler-/Diagnosedaten (error_events)grundsätzlich 90 Tage
Ratenbegrenzungsdatenkurzzeitig (Minuten-/Stundenbereich)

Nach einer Konto-Löschung werden Ihre personenbezogenen Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten (z. B. handels- oder steuerrechtlich) einer Löschung entgegenstehen. Einzelne Nachweiszeilen können in anonymisierter oder auf den Aufbewahrungszweck beschränkter Form fortbestehen.

13. Website, Cookies, lokale Speicherung und Einwilligung (TDDDG / DSGVO)

13.1 Technisch notwendige Speicherung

Wir verwenden technisch notwendige Cookies und Browser-Speicher für Authentifizierungssitzungen (verwaltet über Supabase Auth) und für Sicherheitszwecke. Der Zugriff auf Informationen in Ihrer Endeinrichtung ist insoweit nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, weil er unbedingt erforderlich ist. Die anschließende Verarbeitung stützen wir auf Art. 6 Abs. 1 lit. f DSGVO. Hierzu zählen unter anderem der Authentifizierungs-Token (sb-<…>-auth-token), die Speicherung Ihrer Consent-Entscheidung (internities_consent_v1) sowie die Speicherung Ihrer Sprachwahl (NEXT_LOCALE, Laufzeit 1 Jahr).

13.2 Consent-Banner und optionale Technologien

Beim ersten Besuch zeigen wir ein Consent-Banner, in dem Sie optionale Technologien nach Kategorien erlauben oder ablehnen können (derzeit: Referral-Zuordnung; Analyse — letztere nur, falls künftig eingeführt). „Alle ablehnen“ ist auf der ersten Ebene gleichrangig möglich. Unbedingt erforderliche Technologien (Abschnitt 13.1) bleiben in jedem Fall aktiv. Ihre Entscheidung können Sie jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß ändern. Rechtsgrundlage für einwilligungsbasierte Technologien: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

13.3 Webanalyse

Wir setzen derzeit keinen Webanalyse-Dienst und keine Tracking-Drittskripte ein. Sollte künftig eine Webanalyse eingeführt werden, geschieht dies erst nach Ihrer ausdrücklichen Einwilligung über das Banner; die Datenschutzerklärung wird zuvor entsprechend angepasst.

13.4 Bot-Abwehr (Cloudflare Turnstile)

Auf bestimmten öffentlichen Formularen (z. B. Wartelistenregistrierung) setzen wir Cloudflare Turnstile ein, um Bots abzuwehren. Turnstile kann zu diesem Zweck auf Informationen in Ihrer Endeinrichtung zugreifen (§ 25 TDDDG) und verarbeitet Ihre IP-Adresse und Browser-Signale. Wir stützen den Endeinrichtungszugriff auf § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich zur Sicherheit) und die anschließende Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO.

13.5 Schriftarten

Wir verwenden die Schriftart „Inter“. Sie wird zur Build-Zeit gebündelt und von unserer eigenen Infrastruktur ausgeliefert; beim Besuch unserer Website werden hierfür keine Anfragen an Google-Server gesendet.

13.6 E-Mail-Versand

Für den Versand transaktionaler, plattformgetriggerter E-Mails (z. B. Passwort-Reset, Bestätigungen, Einmalkennwörter) nutzen wir Resend (Abschnitt 10). Hiervon zu unterscheiden ist das von Microsoft betriebene Postfach hello@internities.de für die persönliche Kommunikation, den Support und die Bearbeitung von Betroffenenanfragen (Abschnitte 10, 11 und 14); dieses dient nicht dem automatisierten Versand.

14. Ihre Rechte

Nach der DSGVO stehen Ihnen die folgenden Rechte zu. Sie können sie jederzeit ausüben, indem Sie uns unter hello@internities.de kontaktieren. Anfragen, die Sie an hello@internities.de richten, gehen in einem bei Microsoft (Microsoft 365 / Exchange Online) gehosteten Postfach ein; Microsoft ist insoweit unser Auftragsverarbeiter (Abschnitt 10), und eine etwaige Übermittlung in Drittländer richtet sich nach den Garantien in Abschnitt 11:

  • Auskunft (Art. 15 DSGVO) — einschließlich einer Kopie Ihrer Daten und, bei automatisierten Entscheidungen nach Abschnitt 5.3, aussagekräftiger Informationen über die involvierte Logik (Art. 15 Abs. 1 lit. h DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO) — Sie können jederzeit gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) Widerspruch einlegen, einschließlich eines darauf gestützten Profilings
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu berühren; dies betrifft insbesondere die Kontaktfreigabe nach Abschnitt 7.2 und das Referral-Cookie nach Abschnitt 9.2
  • Rechte bei automatisierten Einzelentscheidungen (Art. 22 Abs. 3 DSGVO) — bei der Immatrikulationsprüfung (Abschnitt 5.3) haben Sie das Recht auf Eingreifen einer natürlichen Person, auf Darlegung Ihres Standpunkts und auf Anfechtung der Entscheidung

Beschwerderecht: Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Die für unseren Sitz zuständige Behörde ist: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Ludwig-Erhard-Str. 22, 20459 Hamburg, Telefon: 040 / 428 54 - 4040, E-Mail: mailbox@datenschutz.hamburg.de, Web: https://datenschutz-hamburg.de

15. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen (Art. 32 DSGVO). Dazu zählen unter anderem eine Transportverschlüsselung (TLS), Zugriffskontrollen und rollenbasierte Berechtigungen, Sicherheitsrichtlinien auf Datenbankebene, private Speicher-Buckets mit Malware-Prüfung, eine Maskierung personenbezogener Daten in internen Verwaltungswerkzeugen sowie eine protokollierte, begründungspflichtige Offenlegung durch Mitarbeitende.

16. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich die Plattform, unsere Datenverarbeitung oder die rechtlichen Anforderungen ändern. Die jeweils aktuelle Fassung ist stets auf unserer Website verfügbar; den Stand erkennen Sie an der Datums- und Versionsangabe am Anfang. Über wesentliche Änderungen informieren wir Sie in geeigneter Weise und holen, soweit erforderlich, Ihre erneute Zustimmung ein.