Datenschutzerklärung
Stand: 07.07.2026
1. Datenschutz auf einen Blick
Diese Erklärung informiert darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website nutzen oder die Bewillo-Plattform als Bildungsträger einsetzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Wir gehen mit besonders sensiblen Beschäftigtendaten (z. B. Sozialversicherungsnummer) um. Diese werden verschlüsselt gespeichert, ausschließlich zur Antragsbearbeitung verwendet und nicht an den KI-Dienst übermittelt. Welche Daten in die KI-gestützte Begründungstext-Erstellung einfließen, legen wir in Abschnitt 8 offen. Wo Dienste von US-Unternehmen zum Einsatz kommen, legen wir dies in Abschnitt 7 und 8 offen.
2. Verantwortliche Stelle und Doppelrolle
Thomas Fabig
Fabig Webdevelopment
Helenenstraße 11
51377 Leverkusen
E-Mail: thomas@bewillo.de
Doppelrolle: Für die Daten dieser Website und Ihres Nutzerkontos (z. B. E-Mail-Adresse, Name, Zugriffsdaten) ist Bewillo Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Für die im Auftrag der Bildungsträger verarbeiteten Antrags- und Teilnehmerdaten ist Bewillo Auftragsverarbeiter im Sinne des Art. 28 DSGVO; Verantwortlicher bleibt der jeweilige Bildungsträger. Für die Auftragsverarbeitung schließen wir mit unseren Auftraggebern einen Auftragsverarbeitungsvertrag (AVV).
Einen Datenschutzbeauftragten haben wir nicht bestellt, da hierzu keine gesetzliche Verpflichtung besteht. Bei Fragen zum Datenschutz erreichen Sie uns unter datenschutz@bewillo.de.
3. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO insbesondere folgende Rechte:
- Auskunft über Ihre gespeicherten Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in einem gängigen Format (Art. 20)
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere am Ort Ihres Aufenthalts, Arbeitsplatzes oder des mutmaßlichen Verstoßes. Betreffen Ihre Rechte Antragsdaten, die wir im Auftrag eines Bildungsträgers verarbeiten, leiten wir Ihr Anliegen an den verantwortlichen Träger weiter bzw. unterstützen diesen bei der Erfüllung.
4. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 DSGVO: zur Vertragserfüllung (lit. b), aufgrund Ihrer Einwilligung (lit. a, z. B. Analyse-Cookies), zur Erfüllung rechtlicher Pflichten (lit. c, z. B. steuerliche Aufbewahrung) sowie aufgrund berechtigter Interessen (lit. f, z. B. zuverlässige und sichere Bereitstellung).
Soweit wir im Rahmen der Auftragsverarbeitung besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) — insbesondere Angaben zu einer Schwerbehinderung — verarbeiten, stützt sich dies auf Art. 9 Abs. 2 lit. b DSGVO (Erfüllung arbeits- und sozialrechtlicher Pflichten). Verantwortlich für diese Daten ist der jeweilige Bildungsträger; Bewillo handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des abgeschlossenen Auftragsverarbeitungsvertrags (AVV).
5. Datenkategorien und Zwecke
- Zugriffsdaten (IP-Adresse, Browser-/Geräteinformationen, Zeitstempel) — sichere Bereitstellung der Website.
- Konto-/Stammdaten (Name, E-Mail-Adresse) — Registrierung und Authentifizierung.
- Antrags- und Teilnehmerdaten (u. a. Maßnahmendetails, Beschäftigtendaten inkl. Sozialversicherungsnummer, Begründungstexte) — Automatisierung von Förderantragsprozessen für AZAV-Träger im Auftrag des Trägers.
- Signaturdaten (Name, E-Mail-Adresse, IP-Adresse, Unterschrift) — digitale Unterzeichnung der Anträge.
- Nutzungsdaten (Ereignisse, pseudonyme Kennung) — nur mit Einwilligung, zur Produktverbesserung.
6. Hosting und Infrastruktur
Die Anwendung wird bei Vercel betrieben; die Server-Funktionen sind auf die Region Frankfurt (fra1) festgelegt. Die Antrags- und Teilnehmerdaten werden in einer PostgreSQL-Datenbank in der Region Frankfurt (eu-central-1) gespeichert; generierte Antragsdokumente liegen im Objektspeicher in der Region Frankfurt (fra1). Eine vollständige Liste der eingesetzten Anbieter mit Land und Region finden Sie in Abschnitt 7.
7. Auftragsverarbeiter und Unterauftragsverarbeiter
Wir setzen die folgenden Dienste ein. Mehrere davon werden von Unternehmen mit Sitz in den USA betrieben — auch dort, wo die Verarbeitung auf Servern in der EU stattfindet. Die vollständigen Details (Zweck, Datenkategorien, Übermittlungsmechanismus, Anbieterhinweise) finden Sie auf der Seite Unterauftragsverarbeiter.
- Vercel — Vercel Inc. (USA) · fra1 / eu-central-1 (Frankfurt) — Server-Funktionen
- Vercel Blob — Vercel Inc. (USA) · fra1 (Frankfurt)
- Vercel Analytics & Speed Insights — Vercel Inc. (USA) · fra1 (Frankfurt)
- Cloudflare — Cloudflare, Inc. (USA) · Globales Edge-Netzwerk; TLS-Terminierung ohne Data Localization Suite an der nächstgelegenen Edge-Location (in der Praxis Frankfurt, jedoch ohne vertraglich zugesicherte EU-Bindung)
- Neon — Neon, LLC (Databricks-Konzern) (USA) · AWS eu-central-1 (Frankfurt)
- Clerk — Clerk, Inc. (USA) · USA (keine EU-Datenresidenz)
- AWS Bedrock — Amazon Web Services, Inc. (USA) · eu-central-1 (Frankfurt)
- Fly.io — Fly.io, Inc. (USA) · fra (Frankfurt)
- Anthropic (über AWS Bedrock) — Zugriff ausschließlich über Amazon Bedrock — kein Direktvertrag (USA) · eu-central-1 (Frankfurt)
- Resend — Plus Five Five, Inc. (Resend) (USA) · Versand-Region EU (Irland); Speicherung in den USA
- Upstash — Upstash, Inc. (USA) · AWS eu-central-1 (Frankfurt)
- PostHog — PostHog Inc. (USA) · PostHog Cloud EU — AWS eu-central-1 (Frankfurt)
- Sentry — Functional Software, Inc. (USA) · EU (Frankfurt) — de.sentry.io
- HubSpot — HubSpot, Inc. (USA) · EU-Rechenzentrum Frankfurt (abhängig von der Portal-Konfiguration) · nur auf Kundenwunsch
- Stripe — Stripe Payments Europe, Ltd. (Irland) / Stripe, LLC (USA, DPF-zertifizierte Einheit) (Irland / USA) · Keine wählbare EU-Residenz; Übermittlung in die USA
DocuSeal (Signaturseite) und Inngest (Hintergrundverarbeitung) betreiben wir selbst in Frankfurt am Main; sie sind keine Drittanbieter.
8. Datenübermittlung und US-Recht
Mehrere der genannten Dienste werden von Unternehmen mit Sitz in den USA betrieben; die Verarbeitung Ihrer Daten erfolgt jedoch auf Servern innerhalb der EU (überwiegend Frankfurt am Main). Wir weisen transparent darauf hin: Nach US-amerikanischem Recht (insbesondere CLOUD Act und FISA 702) kann ein behördlicher Zugriff auf Daten, die der Kontrolle eines US-Unternehmens unterliegen, grundsätzlich nicht vollständig ausgeschlossen werden — unabhängig vom physischen Speicherort der Daten. Eine absolute Immunität gegenüber solchen Zugriffen versprechen wir daher ausdrücklich nicht.
Zum Schutz Ihrer Daten setzen wir folgende Maßnahmen ein: weitestgehende Verarbeitung in EU-Regionen (Frankfurt), EU-Standardvertragsklauseln (SCCs) bzw. Zertifizierung nach dem EU-US Data Privacy Framework (soweit vorhanden), Verschlüsselung bei Übertragung und Speicherung, mandantenfähige Datenisolierung sowie die Datenminimierung der an den KI-Dienst übermittelten Angaben (siehe Abschnitt 9). Diese Maßnahmen machen die Verarbeitung verteidigungsfähig; sie ersetzen keine rechtsverbindliche Garantie.
9. KI-gestützte Begründungstexte
Zur Erstellung von Bedarfsbegründungen betreiben wir ein eigenes KI-Gateway auf der Plattform Fly.io in der Region Frankfurt. Das Gateway leitet Anfragen an Amazon Bedrock in der Region eu-central-1 (Frankfurt) weiter; das dort aufgerufene Modell stammt aus der Claude-Familie von Anthropic und wird ausschließlich innerhalb von Amazon Bedrock betrieben.
Für die Erstellung des Begründungstextes werden an den KI-Dienst der Vorname (für die Anrede), die aktuelle Rolle, der letzte Bildungsabschluss und die Tätigkeiten der teilnehmenden Person übermittelt. Nachname und Unternehmensname werden vor der Übermittlung pseudonymisiert: Sie werden durch reversible Platzhalter (z. B. [TN-1], [FIRMA]) ersetzt und erst in der fertigen Begründung serverseitig wieder eingesetzt. Die Zuordnung existiert ausschließlich im Anforderungskontext und wird weder protokolliert noch gespeichert. Nicht übermittelt werden Sozialversicherungsnummer, Anschrift, Geburtsdatum, E-Mail-Adresse und Bankdaten.
Amazon Bedrock speichert übermittelte Ein- und Ausgaben nicht dauerhaft, nutzt sie nicht zum Training von Modellen und gibt sie nicht an Modellanbieter weiter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
10. Cookies und Analyse
Technisch notwendige Cookies setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Für die browserseitige Produktanalyse nutzen wir PostHog (PostHog Cloud EU, Frankfurt) sowie Vercel Analytics und Vercel Speed Insights (Vercel Inc., USA, Region fra1) — ausschließlich nach Ihrer Einwilligung über unseren Cookie-Hinweis (Art. 6 Abs. 1 lit. a DSGVO). Eine Erfassung Ihrer IP-Adresse ist dabei deaktiviert. Ihre Einwilligung können Sie jederzeit über die widerrufen.
Im eingeloggten Bereich erfassen wir mit Ihrer Einwilligung anonymisierte Sitzungsaufzeichnungen über PostHog, um die Bedienbarkeit unserer Anwendung zu verbessern. Sämtliche Eingabefelder und Textinhalte werden bereits in Ihrem Browser vollständig maskiert, bevor Daten übertragen werden; Netzwerkinhalte werden nicht erfasst. Öffentliche Seiten — insbesondere die Teilnehmer-Signatur-, Upload- und Download-Seiten (/sign, /upload, /download) sowie alle Marketingseiten — werden grundsätzlich nicht aufgezeichnet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO; Ihre Einwilligung können Sie jederzeit über die widerrufen.
Unabhängig von der vorstehenden Einwilligung verarbeiten wir serverseitig pseudonyme Betriebs- und Nutzungskennzahlen (z. B. Kosten-, Umsatz-, Versand- und KI-Generierungs-Metriken) über PostHog (PostHog Cloud EU, Frankfurt). Diese serverseitige Telemetrie wird durch technische Vorgänge ausgelöst (etwa Zahlungs- und Signatur-Webhooks), lässt sich nicht über den Cookie-Hinweis steuern und enthält keine personenbezogenen Teilnehmerdaten — insbesondere keinen Namen, keine E-Mail-Adresse, keine Sozialversicherungsnummer und keine IP-Adresse. Rechtsgrundlage ist unser berechtigtes Interesse an einem zuverlässigen und wirtschaftlichen Betrieb der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Sie können dieser Verarbeitung nach Art. 21 DSGVO widersprechen.
11. Digitale Signaturen
Für digitale Signaturen nutzen wir eine selbst gehostete DocuSeal-Instanz in Frankfurt am Main. Teilnehmer erhalten per E-Mail einen persönlichen Magic-Link. Verarbeitet werden Name, E-Mail-Adresse, IP-Adresse und Unterschrift. Es handelt sich um eine einfache elektronische Signatur; eine qualifizierte elektronische Signatur (QES/eIDAS) wird nicht angeboten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
12. Zahlungsabwicklung
Für die Zahlungsabwicklung nutzen wir Stripe. Vertragspartner ist die Stripe Payments Europe, Ltd. (Irland); die Verarbeitung erfolgt teils in den USA. Stripe handelt für Zahlungsdaten überwiegend als eigenständiger Verantwortlicher. Datenschutzhinweise: stripe.com/privacy. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
13. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Nach Vertragsbeendigung werden Antragsdaten auf der Bewillo-Plattform innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Vorbehalt: Steuer- und handelsrechtliche Aufbewahrungspflichten können eine Aufbewahrung von bis zu 10 Jahren erfordern; in diesen Fällen werden die Daten für andere Zwecke gesperrt und nach Ablauf der gesetzlichen Frist endgültig gelöscht. Während der Vertragslaufzeit archiviert Bewillo abgeschlossene Anträge nach 24 Monaten (read-only) und anonymisiert teilnehmerbezogene Daten automatisiert nach weiteren 36 Monaten, jeweils vorbehaltlich gesetzlicher Pflichten.
14. SSL-/TLS-Verschlüsselung
Diese Website nutzt zum Schutz der Übertragung eine SSL-/TLS-Verschlüsselung, erkennbar an „https://“ in der Adresszeile und dem Schloss-Symbol des Browsers.
15. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung oder die eingesetzten Dienste ändern. Maßgeblich ist die jeweils hier veröffentlichte Fassung mit dem oben genannten Stand.