Datenschutzerklärung

Diese Datenschutzerklärung informiert dich gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG) über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf kinwords.app.

§ 1 Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

VR the Fans GmbH

Gastgebgasse 3/243

1230 Wien, Österreich

Firmenbuchnummer: FN 663868 b (Handelsgericht Wien)

E-Mail: support@kinwords.app

Ein/e gesetzlich verpflichtete/r Datenschutzbeauftragte/r ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht erfüllt sind (weniger als 250 Mitarbeitende, keine Kerntätigkeit der regelmäßigen und systematischen Überwachung betroffener Personen). Für Datenschutzanfragen erreichst du uns unter der oben genannten Adresse oder per E-Mail.

§ 2 Zwecke, Rechtsgrundlagen, Datenkategorien

Wir verarbeiten personenbezogene Daten ausschließlich für folgende Zwecke und auf folgenden Rechtsgrundlagen:

Kostenlose Beratungsanfrage (Free Trial, ohne Konto)

Daten: Eingegebene Fragestellung, Altersangabe des Kindes, Schultyp, gehashte IP-Adresse (Trial-Zuordnung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) und Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention)

Speicherdauer: Max. 30 Tage, danach automatische Löschung; IP-Hash max. 12 Monate

Account-Anlage und Abo-Verwaltung

Daten: E-Mail, Passwort-Hash bzw. OAuth-Identifier (Google/Apple), Abo-Status, Stripe-Kunden-ID

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag)

Speicherdauer: Für Dauer der Vertragsbeziehung; danach Löschung, außer gesetzliche Aufbewahrungspflichten

Onboarding-Profil (Pro/Family)

Daten: Vorname Kind, Geburtsdatum, PLZ, Schultyp, Klassenstufe, Herausforderungen, Geschwister, ggf. Lernschwierigkeiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und Art. 8 Abs. 1 DSGVO (Einwilligung Erziehungsberechtigte/r)

Speicherdauer: Bis Widerruf oder Konto-Löschung

Zahlungsabwicklung

Daten: Stripe-Kunden-ID, Abo-Status, Rechnungsdaten (Name, Rechnungsadresse, UID soweit relevant)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO (Vertrag & gesetzliche Pflichten aus UGB/BAO)

Speicherdauer: 7 Jahre (§ 212 UGB) bzw. 10 Jahre bei steuerlich relevanten Vorgängen (§ 132 BAO, § 18 UStG 1994)

Reichweitenmessung (Agent Analytics, cookielos)

Daten: Seitenaufrufe, aggregierte Geräte-/Browser-Typen, Referrer (keine IP-Speicherung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, keine Endgeräte-Zugriffe i. S. d. § 165 Abs. 3 TKG 2021)

Speicherdauer: Aggregiert, unbegrenzt; keine personenbezogene Auswertung

Marketing-Pixel (Meta), nur nach aktiver Einwilligung

Daten: Cookies und Events (PageView, Conversion) nach Consent

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 165 Abs. 3 TKG 2021 (Einwilligung)

Speicherdauer: Gemäß Meta-Spezifikation; jederzeit widerrufbar

Krisen-Klassifikation und Support-Alert

Daten: Fragetext, Antwort, Zeitstempel, ggf. E-Mail des Nutzers

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz lebenswichtiger Rechtsgüter) und Art. 9 Abs. 2 lit. c DSGVO bei Gesundheitsbezug

Speicherdauer: Max. 12 Monate; nach Bearbeitung unverzüglich

Technisch notwendige Cookies

Daten: Session-Token, CSRF-Token, Consent-Status

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und § 165 Abs. 3 TKG 2021 (unbedingt erforderlich)

Speicherdauer: Session-Ende bis max. 12 Monate (Consent)

Newsletter-Anmeldung (Double-Opt-in)

Daten: E-Mail-Adresse, Anmelde-/Bestätigungs-Zeitpunkt, Opt-in-Quelle (Footer/Pop-up), gehashte IP-Adresse (Missbrauchs-Schutz), Unsubscribe-Token

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Rechtsgrundlage der IP-Hash-Speicherung Art. 6 Abs. 1 lit. f DSGVO (Missbrauchs-Schutz)

Speicherdauer: Bis zum Widerruf (Unsubscribe-Link in jeder Mail) bzw. 24 Monate ohne Bestätigung; IP-Hash 12 Monate

§ 3 Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge:

Anthropic, PBC (USA) – LLM-Inferenz (Claude); keine Speicherung zu Trainingszwecken. Übermittlung auf Basis EU-Standardvertragsklauseln (SCCs) und EU–US Data Privacy Framework.
Stripe Payments Europe Ltd. (Irland) – Zahlungsabwicklung; SCCs innerhalb des Konzerns für USA-Komponenten.
Resend, Inc. (USA) – transaktionaler E-Mail-Versand für Support-/Krisen-Alerts sowie Versand des Kinwords-Newsletters (Double-Opt-in, Bestätigungs- und Kampagnen-Mails). SCCs + DPF.
Vercel, Inc. (USA) – Hosting, Edge-CDN; Workloads werden primär in der Region Frankfurt (fra1) betrieben. SCCs + DPF.
Supabase, Inc. (USA; EU-Region Irland) – Datenbank, Authentifizierung, Storage. Daten werden in der EU-Region gehalten.
Agent Analytics (EU) – cookielose Reichweitenanalyse; keine IP-Speicherung.
Cloudflare, Inc. (USA) – CDN- und DDoS-Schutz; SCCs + DPF. Keine persistente Speicherung personenbezogener Inhalte.

§ 4 Datenübermittlung in Drittländer

Bei der Nutzung von Kinwords werden personenbezogene Daten an Dienstleister mit Sitz bzw. Konzernbezug in den USA übermittelt (siehe § 3). Die Übermittlung stützt sich auf:

EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO
das EU–US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023) für zertifizierte Unternehmen
ergänzende technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffsbeschränkungen, Datenminimierung)

Kopien der Standardvertragsklauseln stellen wir auf Anfrage unter support@kinwords.app bereit.

§ 5 Betroffenenrechte

Dir stehen nach der DSGVO und dem österreichischen Datenschutzgesetz die folgenden Rechte zu. Die Ausübung ist grundsätzlich unentgeltlich:

Auskunft (Art. 15 DSGVO) – über die zu dir gespeicherten Daten
Berichtigung (Art. 16 DSGVO) – unrichtiger Daten
Löschung (Art. 17 DSGVO) – Schreib uns jederzeit eine E-Mail an support@kinwords.app – wir löschen deine Daten innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO) – Export in maschinenlesbarem Format
Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) jederzeit mit Wirkung für die Zukunft

Beschwerderecht: Du kannst dich bei der für dich zuständigen Datenschutz-Aufsichtsbehörde beschweren. Je nach Wohnsitz ist das:

Österreich (Verantwortlicher-Sitzland):

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42, 1030 Wien

Telefon: +43 1 52 152-0 · dsb@dsb.gv.at · dsb.gv.at

Deutschland:

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Graurheindorfer Str. 153, 53117 Bonn

Telefon: +49 228 997799-0 · poststelle@bfdi.bund.de · bfdi.bund.de

Alternativ die Landesdatenschutzbeauftragte deines Bundeslands; eine Liste findest du auf bfdi.bund.de.

Schweiz:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Feldeggweg 1, 3003 Bern

Telefon: +41 58 462 43 95 · edoeb.admin.ch

Für Schweizer Nutzer:innen gilt zusätzlich das revidierte Bundesgesetz über den Datenschutz (revDSG, in Kraft seit 01.09.2023). Kinwords behandelt Schweizer Daten auf DSGVO-Niveau.

§ 6 Speicherdauer

Anonyme Beratungsanfragen (Free Trial): Frage und Antwort max. 30 Tage, danach automatische Löschung.
Account-Daten: für die Dauer der Vertragsbeziehung; nach Kündigung unverzügliche Löschung, außer gesetzliche Aufbewahrungspflichten greifen.
Rechnungs- und Zahlungsdaten: 7 Jahre gemäß § 212 UGB; für steuerlich relevante Vorgänge bis zu 10 Jahre nach § 132 BAO bzw. § 18 UStG 1994. Nach Löschung des Kontos werden diese Daten pseudonymisiert (Name und Email werden durch eine Kunden-Nummer ersetzt); eine Reidentifizierung erfolgt nur bei gesetzlicher Pflicht (z. B. Betriebsprüfung).
Krisen-Incidents / Support-Alerts: max. 12 Monate nach abschließender Bearbeitung.
Session- und IP-Hashes: max. 30 Tage (Session-Daten), max. 12 Monate (Trial-Hash).
Server-Logs: max. 30 Tage.

§ 7 Kinderdaten (Art. 8 DSGVO)

Kinwords richtet sich ausschließlich an Eltern und Erziehungsberechtigte – nicht direkt an Kinder. Die Nutzung setzt Volljährigkeit voraus. Kindbezogene Informationen (z. B. Alter, Verhaltensweisen, Schulsituation) werden ausschließlich mittelbar im Rahmen der Fragestellung eines/einer Erziehungsberechtigten verarbeitet.

Werden gesundheitsbezogene Angaben erkennbar (z. B. LRS, ADHS, psychische Belastungen), handelt es sich um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); diese Einwilligung ist bereits Teil des Onboarding-Prozesses und jederzeit widerrufbar.

Wir erfassen keinerlei direkt vom Kind stammende Daten ohne ausdrückliche Einwilligung der/des Erziehungsberechtigten. Kindbezogene Daten werden weder an Dritte verkauft noch für Werbezwecke verwendet.

§ 8 Cookies und Tracking (§ 165 Abs. 3 TKG 2021)

Technisch notwendige Cookies (keine Einwilligung erforderlich): Session-Token, CSRF-Schutz, Consent-Status.

Agent Analytics (cookielos): Wir nutzen Agent Analytics zur aggregierten Reichweitenmessung. Es werden keine Cookies gesetzt und keine Endgeräte-Identifier gelesen; damit liegt kein Zugriff i. S. d. § 165 Abs. 3 TKG 2021 vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Marketing-Pixel (Meta): werden ausschließlich nach aktiver Einwilligung über den Cookie-Banner geladen (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 165 Abs. 3 TKG 2021). Die Einwilligung ist jederzeit im Banner widerrufbar.

IP-Hash für Free Trial: Wir speichern einen kryptografischen Hash deiner IP-Adresse zur Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückschluss auf die IP ist aus dem Hash nicht möglich.

§ 9 Sicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein: TLS/HTTPS-Verschlüsselung in Transit, HSTS, strikte Content-Security-Policy, Row-Level-Security in der Datenbank, restriktive Zugriffsrechte, regelmäßige Abhängigkeits- und Security-Audits.

Zwei-Faktor-Authentifizierung (2FA): Du kannst dein Konto optional mit 2FA (TOTP) absichern. Für Administrator:innen ist 2FA verpflichtend. Das TOTP-Geheimnis wird bei unserem Auftragsverarbeiter Supabase (EU-Region Irland) gespeichert; die Wiederherstellungs-Codes werden ausschließlich in gehashter Form (SHA-256 mit Per-User-Salt) persistiert. Rückschlüsse auf die Codes sind aus dem Hash nicht möglich.

§ 10 Automatisierte Entscheidungsfindung

Kinwords führt keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO durch. Die von der KI generierten Beratungsinhalte haben Empfehlungscharakter und entfalten keine rechtliche oder vergleichbar erhebliche Wirkung. Die Entscheidung darüber, ob und wie du unsere Vorschläge nutzt, liegt stets bei dir.

§ 11 Krisenhinweise

Kinwords ist kein Notfall- oder Meldedienst.

Bei akuten Gefahrenlagen wende dich bitte sofort an folgende Stellen:

🇩🇪 Deutschland: Notruf 112, Polizei 110, Telefonseelsorge 0800-111 0 111, Nummer gegen Kummer 116 111.
🇦🇹 Österreich: Rettung 144, Polizei 133, Telefonseelsorge 142, Rat auf Draht 147.
🇨🇭 Schweiz: Notfall 144, Polizei 117, Die Dargebotene Hand 143, Pro Juventute 147.

Erkennen wir in einer Beratungsanfrage konkrete Hinweise auf eine akute Krise (z. B. Suizidgedanken, schwere Kindeswohlgefährdung), löst unser System einen internen Support-Alert aus. Das Support-Team kann dir in solchen Fällen manuell zusätzliche Hilfskontakte per E-Mail zur Verfügung stellen. Eine automatische Weiterleitung an Behörden, Jugendämter oder sonstige Dritte erfolgt nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz lebenswichtiger Rechtsgüter); bei Gesundheitsbezug zusätzlich Art. 9 Abs. 2 lit. c DSGVO.

§ 12 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich Rechtslage, verwendete Dienste oder unsere Produktarchitektur ändern. Die jeweils aktuelle Fassung ist unter kinwords.app/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Account-Inhaber zusätzlich per E-Mail.

Stand: 21. April 2026.