Datenschutz

Stand: Februar 2026 (aktualisiert: LinkedIn-Sync v1, Mai 2026) — Fragen? datenschutz@kinn.at

1. Wer steckt dahinter

KINN — KI Netzwerk Tirol
Betrieben von der Libra Innovation FlexCo
Adamgasse 23, 6020 Innsbruck
FN 503145w · Landesgericht Innsbruck · UID ATU74236828
Kontakt: datenschutz@kinn.at

2. Was wir speichern

2.1 Wenn du dich einträgst

Für den KINN-Verteiler speichern wir:

• deine E-Mail-Adresse
• wann du dich eingetragen hast
• optional: Profildaten für Community-Matching (Name, Skills, Verfügbarkeit, Interessen)
• optional: Google Calendar OAuth-Token (verschlüsselt)
• optional: LinkedIn OAuth-Token (verschlüsselt) und ausgewählte Profil-Felder, wenn du die LinkedIn-Verbindung aktivierst — siehe 3.10

2.2 Wofür

• Bestätigungs-E-Mails und Event-Updates
• Community-Matching, wenn du ein Profil angelegt hast
• automatischer Kalender-Import, wenn du das aktiviert hast

2.3 KINN:FUND — Unterstützungsbeiträge

Wenn du über KINN:FUND einen Unterstützungsbeitrag leistest, verarbeiten wir:

• E-Mail-Adresse und Name (aus dem Stripe-Checkout)
• Zahlungsbetrag und Währung
• interne Transaktionsnummer (KINN-XXXX)
• optional: dein OpenCollective-Profil-Slug, wenn du deinen Beitrag öffentlich verknüpfst

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Zahlungsabwicklung; gesetzliche Aufbewahrungspflicht (Art. 6 Abs. 1 lit. c DSGVO) für die Buchführung.

2.4 Rechtsgrundlage (Newsletter & Profil)

Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — die du jederzeit widerrufen kannst. Abmelden geht jederzeit über den Link in jeder E-Mail oder per Mail an treff@kinn.at.

3. Wer sonst noch involviert ist

Einige der unten genannten Dienste haben ihren Sitz in den USA. Wo wir Standardvertragsklauseln (Art. 46 DSGVO) einsetzen, ist das im jeweiligen Abschnitt angegeben.

3.1 E-Mail — Resend

E-Mails verschicken wir über Resend (resend.com, Sitz USA, EU-Hosting). Deine E-Mail-Adresse wird dafür übermittelt. Das betrifft Bestätigungs-, Transaktions- und Community-Mails.

3.1.1 Newsletter-Versand und Reichweitenmessung

Wenn du den KINN-Newsletter bekommst (z.B. als angemeldete*r kinn.at-Subscriber oder Luma-Calendar-Subscriber), verarbeiten wir zusätzlich Informationen darüber, ob die Mail zugestellt, geöffnet oder geklickt wurde. Konkret:

• Open-Tracking: Eine winzige Grafik (1×1 Pixel) im Mail-Footer wird beim Öffnen geladen. Daraus erfassen wir, dass und wann die Mail geöffnet wurde, sowie deine Mail-Adresse zur Zuordnung.
• Click-Tracking: Links in der Mail führen über einen Resend-Server, der den Klick registriert und dich dann zum eigentlichen Ziel weiterleitet.
• Bounces & Spam-Beschwerden: Falls deine Mail nicht zugestellt werden kann oder du sie als Spam markierst, erhalten wir diese Information automatisch und nehmen dich aus der Empfängerliste.

Diese Daten landen in unserem eigenen Redis-Datenspeicher bei Upstash (EU, Frankfurt) und werden nicht an Dritte weitergegeben. Wir nutzen sie ausschließlich, um zu verstehen, ob unsere Inhalte relevant sind und die Empfängerliste sauber zu halten.

Du kannst dich jederzeit über den Abmelden-Link am Mail-Ende austragen (One-Click in Gmail/Outlook unterstützt). Nach Abmeldung speichern wir nur deine E-Mail-Adresse in unserer Sperrliste, um dich nicht erneut anzuschreiben.

Hinweis für Apple-Mail-Nutzer*innen: Apple lädt Tracking-Pixel teilweise automatisch vorab (Mail Privacy Protection). Dadurch werden Öffnungsraten systembedingt überzeichnet. Wir wissen darum und gehen damit transparent um.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten- und Qualitätsmessung unserer Community-Kommunikation).

3.2 Datenspeicherung — Upstash

Alle Daten liegen bei Upstash (upstash.com) in einer Redis-Datenbank in der EU (Frankfurt).

3.3 Zahlungen — Stripe

Unterstützungsbeiträge werden über Stripe (stripe.com, Sitz USA, Datentransfer auf Basis von Standardvertragsklauseln Art. 46 DSGVO) abgewickelt. Stripe verarbeitet deine Zahlungsdaten (Kartennummer, IBAN o.ä.) direkt — diese Daten erreichen uns nicht. Wir erhalten von Stripe nur Betrag, E-Mail und Name, um dir eine Bestätigung senden und den Beitrag verbuchen zu können.

Stripe Datenschutz

3.4 Transparenz — OpenCollective

Damit KINN:FUND öffentlich nachvollziehbar bleibt, werden Unterstützungsbeiträge auf OpenCollective (opencollective.com, betrieben von OFi Technologies LLC, Sitz USA, Datentransfer auf Basis von Standardvertragsklauseln Art. 46 DSGVO) gelistet. Dabei werden Betrag und eine interne Referenznummer übermittelt — kein Name, keine E-Mail.

Optional: Wenn du deinen Beitrag mit deinem OpenCollective-Profil verknüpfst (Claim-Flow), erscheint er öffentlich unter deinem Profilnamen auf opencollective.com. Das ist freiwillig und setzt deine ausdrückliche Aktion voraus.

OpenCollective Datenschutz

3.5 Google Calendar

Wenn du die Kalender-Verbindung aktivierst, nutzen wir die Google Calendar API (Google LLC, Sitz USA). Wir speichern deinen OAuth-Token verschlüsselt und haben nur Zugriff auf deine Kalender-Events, um KINN-Events automatisch einzutragen.

3.6 KI-Features — Groq

Zwei Features nutzen Groq (groq.com, Sitz USA) als KI-Backend:

KINN:RAUS — Use Case Einreichung:
Dein eingegebener Text wird zur Strukturierung an Groq übermittelt. Groq speichert nichts davon (Zero Data Retention Policy).

KINN:GFRAGT — KI-Nachfragen im Community Survey:
Im Survey fragt eine KI an bestimmten Stellen gezielt nach. Dafür bekommt Groq deinen bisherigen Survey-Kontext — also vorherige Antworten und deinen Vornamen. Groq speichert diese Daten nicht. Rechtsgrundlage: deine Einwilligung im Survey (Art. 6 Abs. 1 lit. a DSGVO).

Groq Datenschutz

3.7 Spracheingabe — AssemblyAI

Bei der optionalen Spracheingabe in KINN:RAUS wird deine Audioaufnahme an AssemblyAI (assemblyai.com, Sitz USA) zur Transkription übermittelt. Audio wird nach der Verarbeitung gelöscht. Da Sprachaufnahmen als biometrische Daten gelten können, gibt es dafür eine separate Einwilligung direkt im Feature. Alternativ funktioniert immer auch die Text-Eingabe.

AssemblyAI Datenschutz

3.8 Events — Luma

Events werden über Luma (lu.ma, Sitz USA) organisiert. Wenn du dich für ein Event anmeldest, verarbeitet Luma deine E-Mail, deinen Namen und RSVP-Status. Auskunft oder Löschung direkt bei Luma: privacy@luma.com — Luma Datenschutz

3.9 KINN-Tisch-Rückblick — optionale Audio-Aufnahme

An manchen KINN-Tischen wird das Gespräch aufgenommen — aber nur wenn alle am Tisch zustimmen. Ein einziges „Nein" reicht, dann passiert nichts. Die Zustimmung läuft anonym (niemand am Tisch sieht, wer Ja oder Nein geklickt hat) und wird vor jedem Tisch neu eingeholt. Beim nächsten Mal kannst du anders entscheiden.

Sprachaufnahmen können biometrische und besondere Datenkategorien (Gesundheits-, Religions-, politische Bezüge) enthalten — deshalb der ausdrückliche Opt-In pro Session und die strikte technische Filterung unten. KINN nutzt deine Stimme nicht zur Identifikation, nur zur Inhalts-Transkription.

Wer was bekommt — und wie lange:

• Roh-Audio wird kurzzeitig auf Vercel Blob zwischengelagert und an AssemblyAI (Sitz USA) zur Transkription übermittelt. AssemblyAI gibt das Transkript zurück mit Markierungen für Personennamen, Firmennamen, Emails, Krankheits- und ähnliche Entitäten. Audio + Roh-Transkript löschen wir nach dem Versand des Rückblicks (meistens < 5 Minuten nach Tisch-Ende, auch im Fehlerfall).
• Vor dem nächsten Schritt maskieren wir alle markierten Entitäten. Das bereinigte Transkript geht dann an Groq (Sitz USA, Modell Qwen 3) — daraus entsteht der Rückblick: ein Zitat oder eine Themen-Liste plus drei Vertiefungsfragen. Der Output wird zusätzlich gegen die Entitäten-Liste gegengeprüft, damit nichts durchrutscht. Groq verarbeitet ephemer und speichert nichts dauerhaft.
• Der fertige anonyme Rückblick bleibt gespeichert — er enthält keine personenbezogenen Daten und ist Grundlage für deine /recap-Anzeige sowie für KINNs anonyme Themen-Auswertung.
• Email-Adressen der Empfänger speichern wir nicht im Klartext — nur eine technische Kennung, die nicht in eine Email zurückgerechnet werden kann. Damit funktioniert das Gating für /recap, ohne dass irgendwo eine Empfänger-Liste liegt.

Wofür: persönlicher Rückblick für die Tisch-Teilnehmer + anonyme Themen-Pulse für KINN. Niemals Roh-Audio oder Roh-Transkript. Sollte KINN anonymisierte Themen-Aggregate künftig mit Dritten teilen wollen, dokumentieren wir das vorher hier und holen für deutlich identifizierbare Themen separate Einwilligung ein.

Rechtsgrundlage: ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO (für besondere Datenkategorien, die in einer Sprachaufnahme enthalten sein können). Widerruf: jederzeit für künftige Tische möglich. Eine bereits erstellte anonyme Zusammenfassung lässt sich nicht mehr re-personalisieren — der Personenbezug wird schon im Erzeugungsprozess entfernt; das ist die ganze Pointe.

Drittland-Transfer: AssemblyAI, Groq, Vercel und Resend sitzen in den USA. Die Übermittlung erfolgt auf Basis der EU-US Data Privacy Framework-Zertifizierung und/oder EU-Standardvertragsklauseln.

Audit-Log (Test-Phase): Während der Test-Phase ist die Audio-Funktion nur für Crew-Mitglieder (Level 2+) verfügbar. Wir loggen, wer am Tisch zustimmt, wer aufnimmt und ob die Pipeline durchläuft. Diese Logs enthalten Email + Aktion + Zeitpunkt und werden nach 90 Tagen automatisch gelöscht. Nutzungs-Tracking dient ausschließlich Adoption-Verständnis + Debug, kein Profiling, keine externe Weitergabe.

3.10 LinkedIn — Member Data Portability (DMA)

Wenn du die optionale LinkedIn-Verbindung aktivierst, liest KINN strukturierte Daten aus deinem LinkedIn-Account über die offizielle Member Data Portability API (basierend auf dem EU Digital Markets Act, DMA). Anbieter: LinkedIn Ireland Unlimited Company bzw. LinkedIn Corp. (linkedin.com, Sitz USA, Tochter von Microsoft Corporation). Datentransfer auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO) und EU-US Data Privacy Framework.

Was wir lesen:

• Profil-Basisdaten: Name, Headline, Geo-Location, Industry, Sprachen
• Skills, Berufserfahrung und Ausbildungsstationen — nur die Felder, die deinem KINN-Profil-Schema entsprechen (Supply/Demand-Matching)
• Veröffentlichte Artikel und Posts — nur, wenn du diese für KINN:SPOTLIGHT freigibst
• Connections-Liste — ausschließlich zum Match-Kontext im KINN-Netzwerk; keine Weitergabe an Dritte
• Direktnachrichten-Verlauf zwischen dir und KINN-Verantwortlichen — nur für die Outreach-Lifecycle-Erfassung im internen KINN-System (sichtbar nur für KINN-Page-Admins)
• Reaktionen und Kommentare auf deine eigenen Posts — für die optionale Comment-First-Sequence im Outreach

Wofür wir die Daten nutzen:

• Auto-Befüllung deines KINN-Profils beim Onboarding (Headline, Skills, LinkedIn-URL)
• Verbesserung der Match-Qualität im Supply/Demand-Matching
• Lifecycle-Tracking für Connection-Anfragen und Reaktionen, soweit du der KINN-Outreach-Kommunikation zugestimmt hast
• Erkennung von KINN-Erwähnungen, um auf öffentliche Beiträge zeitnah reagieren zu können

Was wir nicht tun: keine Werbung, kein Profiling für externe Zwecke, keine Weiter­gabe von LinkedIn-Daten an Dritte, keine dauerhafte Spiegelung deiner Connections-Liste — Snapshots werden nur so weit persistiert, wie für das jeweilige KINN-Feature notwendig (z.B. Diff-Erkennung neuer Annahmen). Wo immer technisch möglich, lesen wir Daten on-demand und cachen sie nicht.

Rechtsgrundlage: deine ausdrückliche Einwilligung im LinkedIn-OAuth-Flow (Art. 6 Abs. 1 lit. a DSGVO). LinkedIn fordert für die DMA-Member-Data-Portability-API einen separaten Consent-Schritt, der granular die einzelnen Datenbereiche aufführt.

Geografische Beschränkung: Die DMA-Portability-API ist gemäß EU-Digital-Markets-Act ausschließlich für Mitglieder im Europäischen Wirtschaftsraum (EWR) und in der Schweiz verfügbar. Nutzer außerhalb dieses Geltungsbereichs können diese Funktion nicht aktivieren.

Widerruf:

• direkt auf LinkedIn unter Settings & Privacy → Data Privacy → Other applications → KINN Sync → Remove — wirkt sofort
• oder per Mail an datenschutz@kinn.at — wir löschen dann zusätzlich alle bei uns lokal gespeicherten LinkedIn-Daten und den OAuth-Token

Aufbewahrung: Profil-Snapshots werden bei jedem Profil-Update überschrieben, maximal aber so lange aufbewahrt, wie dein KINN-Account besteht. Outreach-Lifecycle-Daten werden mit der Löschung deines KINN-Accounts ebenfalls gelöscht. OAuth-Token werden verschlüsselt (AES-256-GCM) gespeichert und bei Widerruf sofort gelöscht.

LinkedIn Datenschutz — LinkedIn DMA-Compliance — DMA Portability API Terms

4. Speicherdauer

Wir unterscheiden nach Datenart:

• Newsletter & Profildaten: bis zur Abmeldung oder Löschanfrage — kein automatisches Ablaufen.
• KINN:FUND Transaktionsdaten (Betrag, E-Mail, Transaktionsnummer): 7 Jahre — gesetzliche Aufbewahrungspflicht für Buchführungsunterlagen gemäß § 132 BAO.
• Technische Hilfsdaten (Session-IDs, interne Lookup-Keys): 1 Jahr — danach automatische Löschung.
• Tisch-Audio: Roh-Audio + Roh-Transkript werden nach Versand des Rückblicks (typischerweise < 5 Min) gelöscht. Der anonyme Rückblick-Text (Quote/Themen/Open-Loop) und gehashte Empfänger-Liste bleiben für Recap-Wiedergabe und Themen-Auswertung — keine personenbezogenen Daten.
• LinkedIn-Daten (sofern aktiviert): Profil-Felder werden bei jedem Profil-Update überschrieben, OAuth-Token bleibt bis zum Widerruf gespeichert. Bei Widerruf der LinkedIn-Verbindung oder Löschung des KINN-Accounts werden sämtliche LinkedIn-bezogenen Daten innerhalb von 30 Tagen gelöscht.

Löschanfragen jederzeit an datenschutz@kinn.at. Für steuerrechtlich aufbewahrungspflichtige Daten kann eine vollständige Löschung erst nach Ablauf der gesetzlichen Frist erfolgen.

5. Deine Rechte

Du kannst jederzeit:

• Auskunft über deine gespeicherten Daten verlangen
• Daten berichtigen oder löschen lassen
• die Verarbeitung einschränken oder ihr widersprechen
• deine Daten in einem strukturierten Format erhalten

Alles davon: datenschutz@kinn.at

6. Cookies & Tracking

Auf der Website: Kein Tracking, keine Analytics. Nur technisch notwendige Session-Daten (JWT) für den Login.

Im Newsletter: Wir messen Öffnungs- und Klickraten via Resend (siehe Abschnitt 3.1.1). Du kannst dich jederzeit abmelden.

7. Sicherheit

• HTTPS für alle Übertragungen
• AES-256-GCM für OAuth-Token
• JWT-Authentifizierung

8. Änderungen

Wenn sich hier etwas ändert, aktualisieren wir diese Seite. Aktuelle Version immer unter kinn.at/datenschutz.

9. Beschwerde

Du hast das Recht, dich bei der Datenschutzbehörde zu beschweren:
Österreichische Datenschutzbehörde — dsb.gv.at, dsb@dsb.gv.at

10. KINN:DAHOAM — Audio-Aufnahmen

Wenn du dich für KINN:DAHOAM (Donnerstag 8-9 Uhr Audio-Tisch) anmeldest, stimmst du der Aufnahme zu. Folgendes passiert mit deinen Daten:

• Briefing vor dem Tisch: Groq Cloud (USA, SCC). Modell: Qwen 3 32B. Aus dem Top-Thema wird ein KI-generiertes 30-Sek-Briefing erzeugt (3 Fakten, 1 These, 2 offene Fragen). Kein Audio-Bot im Tisch.
• Aufnahme: Daily.co (EU-Region). Audio-only, kein Video.
• Transkription: AssemblyAI (USA, Standard Contractual Clauses).
• Zusammenfassung: Groq Cloud (USA, SCC). Modell: Llama 3.3 70B. Keine Trainings-Verwendung.
• Audio-Löschung: Nach Pipeline-Run (typisch Do 09:05–09:15).
• Was bleibt: Pseudo-anonyme Zusammenfassung mit Themen-Tags + offene Schleifen für die nächste Woche. Empfänger-Adressen werden via HMAC-SHA256 + Salt gehasht gespeichert — keine Klartext-Adressen im Recap-Record.
• Versand: Recap-Mail per Resend an alle bestätigten Teilnehmer.
• Widerruf: Vor dem Tisch jederzeit über den Abmelde-Link in der Reminder-Mail. Während des Tischs durch Verlassen.

Verantwortlich für die Datenverarbeitung: thomas@kinn.at.

Zurück zur Startseite