Datenschutzhinweise

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung ist Hechenbichler Christoph, KTW Straße 39, 6322 Kirchbichl, Österreich, E-Mail kinovo@kinovo.at, Telefon +43 664 75477100, handelnd als Einzelunternehmen unter der Marke "Kinovo". Bei künftiger Umstellung auf eine GmbH oder andere Rechtsform sind Firmenwortlaut, Registerdaten, Vertretungsverhältnisse, Rechnungs- und Impressumsangaben sowie datenschutzrechtliche Rollen unverzüglich und konsistent in Website, App, Backoffice, AGB, Datenschutzhinweisen und Rechnungsunterlagen anzupassen.

2. Beschreibung der Verarbeitungstätigkeiten

Kinovo verarbeitet personenbezogene Daten, um Benutzerkonten bereitzustellen, Rollen und Berechtigungen zu verwalten, Vereinszugehörigkeiten abzubilden, Inhalte und Mitteilungen anzuzeigen, organisatorische Abläufe im Vereinskontext zu unterstützen, optionale Challenge- und Premiumfunktionen bereitzustellen, Support zu leisten, Sicherheitsmechanismen umzusetzen und die Plattform technisch weiterzuentwickeln.

Im späteren Ausbau können weitere Verarbeitungstätigkeiten hinzukommen, etwa gesundheitsbezogene Zusatzmodule, wissenschaftliche Auswertungen, KI-gestützte Plausibilisierung, Partnerverknüpfungen, Statistikfunktionen oder Sponsoringleistungen. Solche Erweiterungen dürfen erst produktiv eingesetzt werden, wenn deren Rechtsgrundlage, Rollenmodell, Sicherheitskonzept und Nutzerinformation feststehen.

3. Kategorien personenbezogener Daten

Nach dem aktuellen Projektstand können insbesondere Stammdaten wie Vor- und Nachname, Anzeigename, Geburtsdatum, Vereinszugehörigkeit und Rolleninformationen verarbeitet werden. Ferner können Kontaktdaten wie E-Mail-Adresse, Telefonnummer und optional Adresse verarbeitet werden.

Im Rahmen der Nutzung können Kommunikations- und Inhaltsdaten wie Nachrichten, Kommentare, hochgeladene Bilder, Kurzvideos und Challenge-Nachweise verarbeitet werden. Technische Nutzungsdaten können Logfiles, Zeitstempel, Geräteinformationen, Session-Daten, Login-Daten und sicherheitsrelevante Protokolle umfassen.

Bei späteren Modulen können zusätzliche Aktivitäts-, Fortschritts-, Auswertungs- oder — bei gesonderter Einführung — Gesundheitsdaten hinzukommen. Welche Daten tatsächlich verarbeitet werden, hängt vom implementierten Funktionsumfang, der jeweiligen Nutzerrolle und den aktivierten Modulen ab.

4. Zwecke der Verarbeitung

Die Datenverarbeitung erfolgt insbesondere zur Einrichtung und Verwaltung von Benutzerkonten, zur Zuordnung von Nutzern zu Vereinen, Teams, Gruppen oder Rollen, zur Kommunikation zwischen Eltern, Vereinen, Trainern und sonstigen berechtigten Personen, zur Bereitstellung von Inhalten und Organisationstools sowie zur Durchführung und Dokumentation von Challenges.

Ferner erfolgt die Verarbeitung zur Verwaltung digitaler Belohnungsmechanismen, zur Missbrauchsverhinderung, zur Aufrechterhaltung der IT-Sicherheit, zur Bearbeitung von Supportanfragen sowie zur technischen und organisatorischen Weiterentwicklung der Plattform.

Eine Verarbeitung zu Marketing-, Forschungs-, Analyse- oder Gesundheitszwecken erfolgt nur, soweit hierfür eine gesonderte Rechtsgrundlage besteht.

5. Rechtsgrundlagen

Für den Basisbetrieb der Plattform kommt in erster Linie Art. 6 Abs. 1 lit. b DSGVO in Betracht, soweit die Verarbeitung zur Anbahnung oder Erfüllung des Nutzungsvertrags erforderlich ist. Für rechtliche Verpflichtungen kann Art. 6 Abs. 1 lit. c DSGVO einschlägig sein.

Für sicherheitsbezogene, missbrauchsbezogene und organisatorische Interessen kann Art. 6 Abs. 1 lit. f DSGVO einschlägig sein, soweit die Interessenabwägung zugunsten des Betreibers ausfällt und keine überwiegenden Interessen der betroffenen Personen entgegenstehen.

Für optionale, nicht erforderliche Datenverarbeitungen kommt Art. 6 Abs. 1 lit. a DSGVO in Betracht. Für spätere Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten ist regelmäßig Art. 9 Abs. 2 lit. a DSGVO mit ausdrücklicher Einwilligung relevant.

6. Kinderdaten und Einwilligungslogik

Da Kinovo inhaltlich auf Kinder, Eltern und Vereine ausgerichtet ist, kommt dem Schutz von Minderjährigen eine besonders hohe Bedeutung zu. Die Verarbeitung von Kinderprofilen, Geburtsdaten, Bildern, Videos oder Challenge-Nachweisen muss organisatorisch und technisch in ein Eltern- oder Vereinsmodell eingebettet sein.

Die Plattform sollte nicht davon ausgehen, dass eine bloße Selbstauskunft eines Kindes für die rechtliche Absicherung genügt. Stattdessen ist eine technische Alterslogik mit Elternzuordnung, Rollenfreigabe, dokumentierter Zustimmungsarchitektur und nachvollziehbarem Freigabeprozess zu implementieren.

Werden Dienste der Informationsgesellschaft direkt Minderjährigen angeboten und soll die Verarbeitung auf eine Einwilligung gestützt werden, sind die nationalen Altersgrenzen und Besonderheiten zu beachten. Für Kinovo empfiehlt sich unabhängig von diesen Schwellen aus Nachweis- und Risikogründen ein strenges Elternmodell mit verifizierter Erwachsenen-Zuordnung.

7. Hosting, Auftragsverarbeitung und Empfänger

Das Hosting erfolgt nach aktuellem Stand über die Hetzner Online GmbH auf Servern innerhalb der Europäischen Union. Mit solchen technischen Dienstleistern sind — soweit rechtlich erforderlich — Auftragsverarbeitungsverträge nach Art. 28 DSGVO abzuschließen.

Empfänger personenbezogener Daten können insbesondere Hosting- und IT-Dienstleister, Support- und Wartungsdienstleister, Zahlungsdienstleister, App-Store-Betreiber und — soweit ein Nutzer ein konkretes Drittangebot aktiv nutzt — Kooperationspartner sein. Ein Verkauf personenbezogener Daten ist nicht vorgesehen.

8. Drittlandübermittlungen

Nach dem aktuellen Konzept sollen personenbezogene Daten primär innerhalb der Europäischen Union oder in datenschutzrechtlich anerkannten sicheren Jurisdiktionen verarbeitet werden. Sollten künftig Dienste mit Drittlandbezug eingesetzt werden, dürfen diese erst nach gesonderter rechtlicher und technischer Prüfung eingeführt werden.

Erforderlich sind dann insbesondere Prüfungen nach Art. 44 ff. DSGVO, gegebenenfalls Standardvertragsklauseln, zusätzliche Garantien oder andere geeignete Schutzmechanismen. Für die Schweiz ist zu berücksichtigen, dass dort ein eigenes Datenschutzrecht gilt, jedoch ein im europäischen Datenschutzkontext anerkannter Schutzrahmen besteht.

9. Speicherdauer und Löschung

Personenbezogene Daten werden grundsätzlich nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Benutzerkontodaten werden regelmäßig für die Dauer des Nutzungsverhältnisses gespeichert.

Nach Vertragsende sind Löschung, Sperrung oder Einschränkung der Verarbeitung unter Beachtung gesetzlicher Aufbewahrungspflichten, berechtigter Nachweisinteressen und Sicherheitsanforderungen vorzusehen. Für Logdaten, Supportdaten, Kommunikationsdaten, Challenge-Nachweise, Zahlungsunterlagen und Einwilligungsnachweise sind gesonderte Löschfristen in einem dokumentierten Löschkonzept festzulegen.

10. IT-Sicherheit und technisch-organisatorische Maßnahmen

Kinovo trifft angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, unbefugtem Zugriff, Manipulation und sonstigen Sicherheitsrisiken zu schützen. Hierzu gehören insbesondere Rollen- und Berechtigungskonzepte, sichere Authentifizierung, Transportverschlüsselung, Protokollierung sicherheitsrelevanter Vorgänge, Datensicherungen, Wiederherstellungskonzepte, Update-Management sowie eine restriktive Rechtevergabe im Backoffice.

Bei Kinder- und Bilddaten ist ein besonders zurückhaltendes Sichtbarkeits-, Download- und Freigabekonzept zu empfehlen. Für Backoffice-Nutzer sind rollenbasiert minimierte Zugriffsrechte, Protokollierung und periodische Rechteprüfungen vorzusehen.

11. Automatisierte Prüfungen und Profiling

Nach dem aktuellen Konzept können technische Prüfmechanismen eingesetzt werden, um Uploads oder Challenge-Nachweise auf Plausibilität, Mehrfacheinreichungen, Duplikate oder Manipulationen zu prüfen. Diese Systeme sollen primär der Unterstützung interner Prüfprozesse dienen.

Eine ausschließlich automatisierte Entscheidung mit erheblicher rechtlicher oder ähnlich erheblicher Wirkung darf nicht ohne die rechtlich erforderlichen Schutzmechanismen eingesetzt werden. Zweck, Logik, Datenbasis, Fehlertoleranzen und menschliche Überprüfungsinstanzen sind vor Einsatz zu dokumentieren.

12. Wissenschaftliche Begleitung, Gesundheitsdaten und Datenschutz-Folgenabschätzung

Wenn Kinovo wissenschaftlich begleitet werden soll, sind personenbezogene Auswertungen vorzugsweise anonymisiert oder zumindest stark pseudonymisiert zu gestalten. Für künftige Gesundheitsmodule oder Studienprojekte ist ein gesondertes Datenschutz- und Studiendesign zu erstellen, einschließlich Rechtsgrundlage, Teilnehmerinformation, Einwilligungsmechanik, Zweckbindung, Speicherfristen und Verantwortlichkeiten.

Aufgrund der Kombination aus Kinderdaten, möglichen Gesundheitsbezügen, Bild- und Videouploads sowie geplanter KI-gestützter Prüfungen spricht das Konzept dafür, dass vor Einführung sensibler Module eine Datenschutz-Folgenabschätzung praktisch vorzubereiten und regelmäßig fortzuschreiben ist.

13. Cookies, Tracking und Analysewerkzeuge

Ob und in welchem Umfang Cookies, SDKs, Pixel, Analyse- oder Marketingtools eingesetzt werden, hängt von der tatsächlichen technischen Umsetzung ab. Soweit technisch nicht zwingend erforderliche Tracking- oder Analysewerkzeuge eingesetzt werden, sind die einschlägigen Zustimmungs- und Informationspflichten zu beachten.

Consent-Management auf der Website und gegebenenfalls app-spezifische Einwilligungsstrecken sind vor Live-Schaltung zu prüfen. Vertraglich notwendige Logik und freiwillige Marketing- bzw. Analyse-Einwilligungen sind strikt zu trennen.

14. Kontaktaufnahme und Support

Wenn Nutzer Kinovo kontaktieren, werden die im Rahmen der Anfrage übermittelten Daten verarbeitet, um das Anliegen zu beantworten, Rückfragen zu klären, Support zu leisten und den Vorgang zu dokumentieren. Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b, lit. c oder lit. f DSGVO.

15. Änderungen der Datenschutzhinweise

Datenschutzhinweise können angepasst werden, wenn sich gesetzliche Anforderungen, Funktionen, Dienstleister, Datenkategorien oder Verarbeitungszwecke ändern. Soweit rechtlich erforderlich, sind Nutzer hierüber transparent zu informieren; für neue, freiwillige oder risikoreiche Verarbeitungen ist gegebenenfalls eine erneute aktive Zustimmung einzuholen.