Zum Hauptinhalt springen

DATENSCHUTZERKLÄRUNG

1. VERANTWORTLICHER

KINMU DIGITAL S.L., eine nach spanischem Recht gegründete Gesellschaft mit Sitz in Calle Teide, 4, 28703 Madrid, Spanien, und Steuernummer B24996803, handelt als Verantwortlicher für die Verarbeitung personenbezogener Daten gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie dem Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte. Zur Ausübung Ihrer Datenschutzrechte können Sie den Datenschutzbeauftragten von Kinmu unter dpo@kinmu.app kontaktieren.

2. ART DER VERARBEITUNG UND DATENKATEGORIEN

Kinmu verarbeitet personenbezogene Daten, die aus dem Zugriff auf die Kinmu-Plattform (https://kinmu.app) und deren mobile Anwendungen entstehen. Die Verarbeitung erfolgt zu folgenden Zwecken: (i) Bereitstellung von Zeiterfassungs- und Anwesenheitsfunktionen; (ii) Verwaltung von Abwesenheits-, Urlaubs- und Ruheanträgen; (iii) Pflege von Team-, Abteilungs- und Organisationsinformationen; (iv) Erstellung von Anwesenheits- und Zeitplänen; (v) Bereitstellung von Unterstützung über einen KI-Chat; (vi) Erfüllung rechtlicher Pflichten zur Arbeitszeiterfassung nach spanischem Arbeitsrecht; (vii) Erkennung und Verhinderung von Betrug, Datenfälschung oder betrügerischem Verhalten bei der Anwesenheitskontrolle; (viii) Sicherstellung der technischen Sicherheit und Verfügbarkeit der Plattform; (ix) Kommunikation mit Nutzern über Konto, Richtlinienänderungen, Service-Updates oder technischen Support; (x) Analyse von Nutzungstrends und technischem Betrieb ausschließlich in anonymisierter Form.

Zu den verarbeiteten personenbezogenen Daten gehören: vollständiger Name, E-Mail-Adresse, vom Kundenunternehmen zugewiesene Mitarbeiternummer, Ein- und Austrittsaufzeichnungen (Datum, Uhrzeit, Gerät), Abwesenheitshistorie und -typ (Krankheit, Urlaub, etc.), wöchentliche Ruhezeiten, vertraglicher Arbeitsplan, Abteilung und Team, Profilbild (falls vom Nutzer bereitgestellt), Kontaktinformationen (optional Telefon) sowie technische Sitzungsdaten (anonymisierte IP-Adresse, Browser, Gerät, Zugriffszeitstempel).

Wenn der Nutzer bestimmte Funktionen verwendet, werden außerdem verarbeitet: Inhalte von Gesprächen mit dem KI-Chat, Validierungsdaten über QR-Code oder Biometrie (Gesichtserkennung), sofern implementiert, sowie Standortdaten nur, wenn der Nutzer die geolokalisierte Zeiterfassung ausdrücklich autorisiert.

Kinmu erhebt, fordert oder verarbeitet nicht: exakte GPS-Koordinaten des Geräts, sofern das Kundenunternehmen die geolokalisierte Anwesenheitskontrolle nicht ausdrücklich aktiviert; Browser-Verlauf außerhalb der Plattform; Kommunikationsverlauf oder Daten Dritter ohne Einwilligung; biometrische Daten wie Fingerabdrücke oder Iris-Erkennung, sofern die optionale Gesichtserkennung nicht implementiert ist; Gesundheitsdaten, genetische Daten oder Daten, die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Sexualleben des Nutzers offenlegen.

3. RECHTSGRUNDLAGEN DER VERARBEITUNG

Die Verarbeitung personenbezogener Daten durch Kinmu basiert auf den folgenden Rechtsgrundlagen gemäß den Artikeln 6 und 9 der Verordnung (EU) 2016/679:

Artikel 6.1.a) - Einwilligung: Kinmu verarbeitet Ein- und Austrittsaufzeichnungen, Abwesenheitshistorie und Abteilungsdaten auf Grundlage der ausdrücklichen Einwilligung des Nutzers bei Kontoerstellung und Annahme dieser Bedingungen und der Datenschutzerklärung. Der Nutzer kann die Einwilligung jederzeit widerrufen, indem er dpo@kinmu.app kontaktiert; der Widerruf gilt ab diesem Zeitpunkt und beeinträchtigt nicht die Rechtmäßigkeit der vorherigen Verarbeitung.

Artikel 6.1.c) - Erfüllung einer rechtlichen Verpflichtung: Kinmu verarbeitet Daten zur Erfüllung von Pflichten aus dem Arbeitnehmerstatut, dem Königlichen Dekret 1619/2012 zur Arbeitszeiterfassung, Sozialversicherungsregelungen und weiteren Verpflichtungen zur Arbeitszeiterfassung, die für spanische Unternehmen gelten. Diese Verarbeitungen sind gesetzlich verpflichtend; ein Widerruf ist nicht möglich, ohne gegen rechtliche Pflichten des Kundenunternehmens zu verstoßen.

Artikel 6.1.f) - Berechtigtes Interesse: Kinmu verarbeitet Daten zur Betrugserkennung bei der Anwesenheitskontrolle, zur Erkennung gefälschter Zeitaufzeichnungen, zur Untersuchung potenziell betrügerischer Handlungen, zur technischen Sicherheit der Plattform gegen Cyberangriffe, zur technischen Verbesserung von Verfügbarkeit und Betrieb der Plattform in anonymisierter Form sowie zur Wahrung der rechtlichen Interessen von Kinmu in Verwaltungs- oder Gerichtsverfahren. Diese Verarbeitungen beruhen auf einem überwiegenden berechtigten Interesse; der Nutzer wird informiert und hat ein Widerspruchsrecht.

Artikel 9 - Besondere Daten: Im Ausnahmefall, dass der Nutzer Gesundheitsdaten bereitstellt (z. B. zur Begründung einer medizinischen Abwesenheit), verarbeitet Kinmu diese nur mit gesonderter ausdrücklicher Einwilligung und ausschließlich für Zwecke der Abwesenheitsverwaltung des Kundenunternehmens und nicht für andere Zwecke.

4. AUFTRAGSVERARBEITER UND INTERNATIONALE ÜBERMITTLUNGEN

4.1 Allgemeine Genehmigung zur Nutzung von Auftragsverarbeitern

Der Nutzer erteilt Kinmu ausdrücklich die Genehmigung, Auftragsverarbeiter für die Erbringung bestimmter Dienstleistungen zu beauftragen, gemäß Artikel 28 der Verordnung (EU) 2016/679 (DSGVO).

Kinmu erklärt, bei der Auswahl der nachstehend aufgeführten Auftragsverarbeiter eine sorgfältige Prüfung durchgeführt zu haben und sicherzustellen, dass diese ausreichende Garantien bieten, um geeignete technische und organisatorische Maßnahmen anzuwenden, damit die Verarbeitung den Anforderungen der DSGVO entspricht.

Der Nutzer erkennt an und akzeptiert, dass:

  • Der Einsatz von Auftragsverarbeitern für die Erbringung des Dienstes erforderlich ist.
  • Kinmu mit jedem Auftragsverarbeiter entsprechende Auftragsverarbeitungsverträge (DPA) abgeschlossen oder angenommen hat.
  • Auftragsverarbeiter für die Einhaltung ihrer eigenen Datenschutzpflichten verantwortlich sind.

4.2 Aktuelle Liste der Auftragsverarbeiter

Auftragsverarbeiter Funktion Serverstandort Internationale Übermittlungen
DigitalOcean, LLC Hosting und Cloud-Infrastruktur Frankfurt, Deutschland (EU) Nicht anwendbar
Mistral AI Konversationsassistent (KI-Chat) Paris, Frankreich (EU) Nicht anwendbar
Anthropic PBC Unternehmensrichtlinien mit KI generieren Vereinigte Staaten SCC + DPF
Resend, Inc. Versand von Transaktions-E-Mails Europäische Union Nicht anwendbar
Stripe Payments Europe, Ltd. Zahlungsabwicklung Irland (EU) Nicht anwendbar
PostHog, Inc. Analyse der Produktnutzung Frankfurt, Deutschland (EU) Nicht anwendbar

4.3 Details zu Auftragsverarbeitern

DigitalOcean, LLC

Mistral AI

  • Unternehmen: Mistral AI
  • Adresse: 15 rue des Halles, 75001 Paris, Frankreich
  • Funktion: Anbieter des KI-Modells für den Kinmu-Konversationsassistenten. Verarbeitet Chat-Gespräche, um kontextbezogene Antworten zu Zeiten, Abwesenheiten und Nutzerfragen zu erzeugen.
  • Server: Paris, Frankreich (EU)
  • Verarbeitete Daten: Inhalte von Gesprächen mit dem KI-Assistenten.
  • Garantien: DPA gemäß DSGVO. Mistral AI verpflichtet sich vertraglich, Nutzerdaten nicht zum Training seiner Modelle zu verwenden. Die Daten bleiben in der EU und werden nicht in Drittländer übertragen.
  • Privacy Policy: https://mistral.ai/terms/

Anthropic PBC

  • Unternehmen: Anthropic PBC
  • Adresse: 548 Market St, San Francisco, CA 94104, Vereinigte Staaten
  • Funktion: Anbieter des KI-Modells Claude, das ausschließlich für die Konfiguration von Unternehmensrichtlinien über natürliche Sprache verwendet wird. Verarbeitet Anweisungen von Administratoren zur Erstellung von Arbeitsrichtlinien-Konfigurationen.
  • Server: Vereinigte Staaten
  • Verarbeitete Daten: Anweisungen zur Richtlinienkonfiguration durch Administratoren. Personenbezogene Daten der Nutzer werden über diesen Dienst nicht verarbeitet.
  • Garantien: Standardvertragsklauseln (SCC) der Europäischen Kommission; Zertifizierung nach dem EU-US Data Privacy Framework (DPF). Anthropic verpflichtet sich vertraglich, Daten nicht für das Modelltraining zu verwenden.
  • Privacy Policy: https://www.anthropic.com/privacy

Resend, Inc.

  • Unternehmen: Resend, Inc.
  • Adresse: 2261 Market Street #4324, San Francisco, CA 94114, Vereinigte Staaten
  • Funktion: Versand transaktionaler E-Mails einschließlich Registrierungsbestätigung, Passwortwiederherstellung, Änderungsbenachrichtigungen und Verwaltungshinweise.
  • Server: Europäische Union
  • Verarbeitete Daten: E-Mail-Adresse und Name des Empfängers.
  • Garantien: DPA gemäß DSGVO; in der EU gehostete Infrastruktur.
  • Privacy Policy: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Unternehmen: Stripe Payments Europe, Limited
  • Adresse: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
  • Funktion: Sichere Kartenzahlungsabwicklung und Abonnementverwaltung.
  • Server: Irland (EU)
  • Verarbeitete Daten: Rechnungsdaten und Zahlungsmethode.
  • Garantien: DPA gemäß DSGVO; PCI-DSS Level 1-Zertifizierung; SOC 2 Typ II. Kinmu speichert, verarbeitet oder hat keinen Zugriff auf vollständige Kreditkartendaten; Stripe ist alleiniger Verantwortlicher für solche sensiblen Daten.
  • Privacy Policy: https://stripe.com/es/privacy
  • Sub-processor list: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Unternehmen: PostHog, Inc.
  • Adresse: 2261 Market Street #4008, San Francisco, CA 94114, Vereinigte Staaten
  • Funktion: Analyse der Produktnutzung zur Verbesserung der Benutzererfahrung.
  • Server: Frankfurt, Deutschland (EU)
  • Verarbeitete Daten: Anonymisierte Browsing-Daten, Plattformnutzungsereignisse. PostHog ist so konfiguriert, dass keine identifizierbaren personenbezogenen Daten erfasst werden.
  • Garantien: DPA gemäß DSGVO; EU-Cloud-Infrastruktur in Deutschland; SOC 2 Typ II.
  • Privacy Policy: https://posthog.com/privacy

Messanbieter der öffentlichen Website

Die öffentliche Marketing-Website kann vorbehaltlich Cookie-Einwilligung auch Google Tag Manager und Google Analytics 4 (Google), Meta Pixel und, falls künftig konfiguriert, TikTok Pixel verwenden. Diese Anbieter messen nur Traffic-Quellen, Seitenaufrufe, CTA-Klicks und Werbe-Conversions auf der öffentlichen Website. Sie werden nicht zur Verarbeitung authentifizierter Zeiterfassungsdaten in der Kinmu-Anwendung verwendet.

4.4 Sicherheitsgarantien der Auftragsverarbeiter

Kinmu verpflichtet alle Auftragsverarbeiter vertraglich zur Einhaltung angemessener Sicherheitsmaßnahmen, darunter:

  • Verschlüsselung von Daten bei der Übertragung via TLS 1.2 oder höher.
  • Verschlüsselung von Daten im Ruhezustand via AES-256 oder gleichwertig.
  • Rollenbasierte Zugriffskontrollen und das Prinzip der minimalen Rechte.
  • Regelmäßige Sicherheitsaudits und anerkannte Zertifizierungen (SOC 2, ISO 27001).
  • Dokumentierte Verfahren zur Reaktion auf Sicherheitsvorfälle.
  • Verpflichtungen zur Meldung von Sicherheitsverletzungen innerhalb DSGVO-konformer Fristen.

4.5 Internationale Datentransfers

Nutzerdaten befinden sich hauptsächlich innerhalb der Europäischen Union. Für Dienste, die Transfers in die USA beinhalten, gewährleistet Kinmu ein angemessenes Schutzniveau durch:

  • Standardvertragsklauseln (SCC): Module, die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission genehmigt wurden.
  • Data Privacy Framework (DPF): für Anbieter, die im Rahmen des EU-US Data Privacy Framework zertifiziert sind.
  • Transfer Impact Assessments (TIA): Kinmu hat die erforderlichen Bewertungen durchgeführt, um sicherzustellen, dass die gebotenen Garantien in der Praxis wirksam sind.

Kinmu führt keine internationalen Datentransfers außerhalb des Rahmens der in dieser Richtlinie genannten Auftragsverarbeiter durch.

4.6 Änderung der Auftragsverarbeiter

Kinmu behält sich das Recht vor, Auftragsverarbeiter hinzuzufügen, zu ersetzen oder zu entfernen, wenn dies für die Diensterbringung erforderlich ist, vorausgesetzt dass:

  • Der neue Auftragsverarbeiter Garantien bietet, die gleichwertig oder höher sind als die des ersetzten Auftragsverarbeiters.
  • Nutzer mindestens dreißig (30) Tage im Voraus durch eine Aktualisierung dieser Datenschutzerklärung und ggf. per E-Mail informiert werden.
  • Der entsprechende Auftragsverarbeitungsvertrag mit dem neuen Auftragsverarbeiter abgeschlossen wird.

Der Nutzer, der mit der Aufnahme eines neuen Auftragsverarbeiters nicht einverstanden ist, kann sein Widerspruchsrecht ausüben, indem er dpo@kinmu.app innerhalb von fünfzehn (15) Tagen nach der Benachrichtigung kontaktiert. Ist der Widerspruch berechtigt und kann der Dienst ohne diesen Auftragsverarbeiter nicht erbracht werden, kann der Nutzer den Vertrag ohne Vertragsstrafe kündigen.

4.7 Verantwortung gegenüber Auftragsverarbeitern

Kinmu haftet gegenüber dem Nutzer für die Einhaltung der Datenschutzpflichten seiner Auftragsverarbeiter gemäß Artikel 28.4 der DSGVO. Kinmu haftet jedoch nicht für:

  • Verstöße von Auftragsverarbeitern, die über die dokumentierten Weisungen von Kinmu hinausgehen.
  • Eigenständige Entscheidungen von Auftragsverarbeitern, die dem unterzeichneten Auftragsverarbeitungsvertrag widersprechen.
  • Sicherheitsverletzungen in den Systemen der Auftragsverarbeiter, die Kinmu nicht rechtzeitig gemeldet wurden.

In jedem Fall ist die Haftung von Kinmu gemäß den Allgemeinen Geschäftsbedingungen des Dienstes begrenzt.

4.8 Haftungsausschluss für KI-Dienste

Der Nutzer erkennt ausdrücklich an und stimmt zu, dass:

  • Antworten, die von KI-Diensten (Mistral AI, Anthropic) generiert werden, indikativer Natur sind und keine rechtliche, arbeitsrechtliche oder professionelle Beratung darstellen.
  • Kinmu die Genauigkeit, Vollständigkeit oder Eignung von KI-generierten Antworten für einen bestimmten Zweck nicht garantiert.
  • Der Nutzer allein dafür verantwortlich ist, alle Richtlinienkonfigurationen oder Informationen des KI-Assistenten zu überprüfen und zu validieren, bevor er sie anwendet.
  • KI-Anbieter Daten ausschließlich zur Generierung von Echtzeit-Antworten verarbeiten und sich vertraglich verpflichten, diese Daten nicht für das Training ihrer Modelle zu verwenden.

5. SPEICHERDAUER DER DATEN

Kinmu speichert personenbezogene Daten für bestimmte Zeiträume, die durch gesetzliche Verpflichtungen, betriebliche Notwendigkeiten oder vertragliche Verpflichtungen bestimmt sind. Nach Ablauf der Aufbewahrungsfrist werden die Daten sicher durch kryptografische Zerstörung oder physische Löschung der Datenträger entfernt.

Daten zur Anwesenheitskontrolle und Arbeitszeiterfassung werden vier Jahre ab ihrer Erstellung aufbewahrt, da dies nach spanischer Arbeitsinspektionsgesetzgebung in Übereinstimmung mit den Sozialversicherungsvorschriften erforderlich ist.

Daten zu Abwesenheits-, Urlaubs- und Ruheanträgen werden vier Jahre ab Abschluss der Abwesenheit aufbewahrt, da sie zur Begründung gegenüber Arbeitsbehörden über die Rechtmäßigkeit der Arbeitszeiterfassung erforderlich sind.

Daten zur Organisationsstruktur, Teams, Abteilungen und Hierarchie werden aufbewahrt, solange das Kundenunternehmen aktiver Nutzer der Plattform ist, und werden dreißig Tage nach Vertragskündigung gelöscht.

Daten aus KI-Chat-Gesprächen werden sechs Monate ab dem Gespräch aufbewahrt und dann automatisch ohne Eingriff des Nutzers gelöscht. Der Nutzer kann die sofortige Löschung von Gesprächen beantragen, indem er dpo@kinmu.app kontaktiert.

Technische Sitzungsdaten (anonymisierte IP-Adresse, Browser, Zeitstempel) werden dreißig Tage für Sicherheitsanalysen und die Erkennung von Angriffsmustern aufbewahrt.

Daten gelöschter Nutzer werden in anonymisierter Form zwei Jahre lang für statistische Analysen der Plattformnutzung aufbewahrt, auf eine Weise, die keine direkte oder indirekte Identifizierung der Person ermöglicht.

Daten im Zusammenhang mit Verwaltungsverfahren, Rechtsstreitigkeiten oder Betrugsuntersuchungen werden für die Dauer des Verfahrens zuzüglich sechs Jahre aufbewahrt, entsprechend den Verjährungsfristen.

6. SICHERHEITSMASSNAHMEN

Kinmu implementiert technische, organisatorische und rechtliche Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, versehentlicher oder absichtlicher Offenlegung, Veränderung, Zerstörung oder Beschädigung zu schützen. Sicherheitsmaßnahmen umfassen: Verschlüsselung von Daten während der Übertragung mittels TLS (Transport Layer Security) Version 1.3 oder höher für alle Kommunikation zwischen Client und Kinmu-Servern; Verschlüsselung ruhender Daten mittels AES-256-Algorithmus für alle in Datenbanken gespeicherten Datensätze; irreversibles Hashing mittels bcrypt-Algorithmus für die Speicherung von Passwörtern, sodass eine Wiederherstellung der ursprünglichen Passwörter unmöglich ist; Netzwerksegmentierung mittels Firewalls, wobei der Datenzugriff auf autorisierte Systeme beschränkt ist; optionale Multi-Faktor-Authentifizierung für Nutzer mit Möglichkeit, einen zweiten Faktor über eine Authenticator-App zu aktivieren; rollenbasierte Zugriffskontrolle (RBAC), die den Zugriff auf Daten nur autorisierten Kinmu-Mitarbeitern erlaubt; Zugriffsaudits durch detailliertes Logging aller Operationen an sensiblen Daten mit Zeitstempel, verantwortlichem Nutzer und durchgeführter Aktion; Reaktion auf Sicherheitsvorfälle mit Eskalationsprotokoll zum Sicherheitsverantwortlichen in Echtzeit.

Cookies und Authentifizierungstoken werden mit Sicherheitsattributen übertragen: HttpOnly-Flag, das das Lesen über JavaScript verhindert und XSS-Angriffsvektoren eliminiert; Secure-Flag, das die Übertragung auf verschlüsselte HTTPS-Verbindungen beschränkt; SameSite-Attribut, das Cross-Site-Cookie-Sendungen verhindert und CSRF-Angriffsvektoren eliminiert; automatischer Sitzungsablauf nach dreißig Minuten Inaktivität; automatische Erneuerung von JWT-Token alle sechs Stunden.

Der administrative Zugriff auf die Infrastruktur ist durch Zwei-Faktor-Authentifizierung geschützt, wodurch der Zugriff mit einer einzigen Anmeldeinformation unmöglich wird; Zwischen-Bastionshosts für den Zugriff auf Datenbankserver; absolutes Verbot, Anmeldeinformationen im Quellcode oder in der Anwendungskonfiguration zu speichern; Überwachung aller administrativen Zugriffe.

7. MELDUNG VON DATENPANNEN

Wenn Kinmu eine Datenpanne erkennt, die personenbezogene Daten von Nutzern gefährdet, einschließlich unbefugten Zugriffs, versehentlicher Offenlegung, Änderung oder Zerstörung von Daten, wird Kinmu gemäß Artikel 33 der Verordnung (EU) 2016/679 handeln. Kinmu wird die Datenschutz-Aufsichtsbehörde (Spanische Datenschutzbehörde - AEPD) innerhalb von zweiundsiebzig (72) Stunden nach Entdeckung der Panne benachrichtigen. Kinmu wird der AEPD folgende Informationen bereitstellen: eine Beschreibung der Art der Panne, eine Schätzung der Anzahl betroffener Personen, eine Beschreibung der kompromittierten Daten, die wahrscheinlichen Folgen der Panne, die zur Eindämmung ergriffenen Maßnahmen und die vorgeschlagenen Maßnahmen zur Schadensminimierung.

Wenn die Sicherheitspanne ein hohes Risiko für die Rechte und Freiheiten der Nutzer darstellt (einschließlich des Risikos von Diskriminierung, finanziellem Schaden, Identitätsdiebstahl oder öffentlicher Preisgabe sensibler Daten), wird Kinmu den betroffenen Nutzer unverzüglich per E-Mail an die registrierte Adresse in klarer und verständlicher Sprache benachrichtigen. Die Benachrichtigung umfasst: eine Beschreibung der Art der Panne, Art der kompromittierten Daten, ergriffene technische Maßnahmen zur Eindämmung, dem Nutzer empfohlene Maßnahmen zum Selbstschutz, und eine Kontaktreferenz bei Kinmu für weitere Anfragen (dpo@kinmu.app).

Kinmu führt ein dokumentiertes Register aller Sicherheitspannen, auch wenn sie aufgrund geringen Risikos keine Meldepflicht auslösen, wobei das Register für die Überprüfung durch die AEPD im Falle einer Untersuchung verfügbar ist.

8. RECHTE DER NUTZER

Gemäß den Artikeln 15 bis 22 der Verordnung (EU) 2016/679 hat der Nutzer folgende Rechte in Bezug auf seine personenbezogenen Daten:

Recht auf Auskunft (Artikel 15): Der Nutzer hat das Recht, eine Bestätigung darüber zu erhalten, ob Kinmu seine personenbezogenen Daten verarbeitet, und falls ja, eine Kopie dieser Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten. Der Nutzer kann dieses Recht einmal pro Kalendermonat kostenlos ausüben. Um das Auskunftsrecht auszuüben, sollte der Nutzer dpo@kinmu.app kontaktieren und „Auskunftsantrag nach Artikel 15 DSGVO" angeben; Kinmu stellt innerhalb von maximal dreißig Tagen eine vollständige Datenkopie bereit.

Recht auf Berichtigung (Artikel 16): Der Nutzer hat das Recht, die Berichtigung unrichtiger oder unvollständiger Daten zu verlangen. Der Nutzer kann Profilinformationen direkt auf der Plattform aktualisieren (Name, E-Mail-Adresse, Foto), wobei Änderungen sofort wirksam werden. Daten zu Anwesenheitsaufzeichnungen können nicht vom Nutzer selbst berichtigt werden, sondern nur durch den Administrator des Kundenunternehmens oder auf Antrag an den Kinmu-Support.

Recht auf Löschung (Artikel 17): Der Nutzer hat das Recht, die Löschung seiner personenbezogenen Daten in bestimmten Fällen zu verlangen, einschließlich wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind, der Nutzer die Einwilligung, auf die sich die Verarbeitung stützt, widerruft, oder die Verarbeitung rechtswidrig ist. Kinmu kann jedoch Daten aufbewahren, wenn eine gesetzliche Aufbewahrungspflicht besteht (Einhaltung des Arbeitsrechts) oder wenn ein überwiegendes berechtigtes Interesse vorliegt (Rechtsverteidigung in Rechtsstreitigkeiten). Ein Nutzer, der das Recht auf Löschung ausüben möchte, sollte dpo@kinmu.app kontaktieren; Kinmu bewertet den Antrag und antwortet innerhalb von dreißig Tagen.

Recht auf Einschränkung der Verarbeitung (Artikel 18): Der Nutzer hat das Recht, die Einschränkung der Verarbeitung seiner Daten zu verlangen, wobei die Daten gespeichert, aber nicht für bestimmte Zwecke verarbeitet werden. Dieser Antrag ist sinnvoll, wenn der Nutzer die Richtigkeit der Daten bestreitet (Einschränkung während der Untersuchung), wenn der Nutzer die Verarbeitung für rechtswidrig hält, aber der Löschung widerspricht, oder wenn der Nutzer das Widerspruchsrecht ausübt. Eingeschränkte Daten werden nur für die Rechtsverteidigung von Kinmu, zur Erfüllung gesetzlicher Verpflichtungen oder mit ausdrücklicher Einwilligung des Nutzers verarbeitet.

Recht auf Datenübertragbarkeit (Artikel 20): Der Nutzer hat das Recht, seine personenbezogenen Daten in einem strukturierten Format (in der Regel JSON oder CSV) zu erhalten und an einen anderen Verantwortlichen zu übertragen. Dieses Recht ermöglicht es dem Nutzer, die Plattform zu wechseln und gleichzeitig seine historischen Daten zu behalten. Der Nutzer sollte dpo@kinmu.app kontaktieren und „Antrag auf Datenübertragbarkeit nach Artikel 20 DSGVO" angeben; Kinmu stellt die Daten innerhalb von maximal dreißig Tagen in einem strukturierten elektronischen Format bereit. Exportierte Daten umfassen: Nutzerprofil, Anwesenheitsverlauf, Abwesenheitsanträge, Team-/Abteilungskonfiguration und KI-Chat-Gespräche.

Widerspruchsrecht (Artikel 21): Der Nutzer hat das Recht, der Verarbeitung seiner Daten auf Basis des berechtigten Interesses von Kinmu zu widersprechen. Spezifische Widerspruchsrechte umfassen: Widerspruch gegen die Verarbeitung zur Betrugserkennung (wobei die Verarbeitung ausgesetzt wird, allerdings mit dem Risiko, dass betrügerisches Verhalten nicht erkannt wird), Widerspruch gegen die Analyse von Nutzungsmustern zur technischen Verbesserung der Plattform sowie Widerspruch gegen kommerzielle oder Marketingkommunikation von Kinmu. Der Nutzer kann jedoch nicht der Verarbeitung widersprechen, die gesetzlich vorgeschrieben ist.

Recht, nicht einer automatisierten Entscheidung unterworfen zu werden (Artikel 22): Der Nutzer hat das Recht, nicht Entscheidungen unterworfen zu werden, die rechtliche Wirkung entfalten oder ihn erheblich beeinträchtigen, wenn solche Entscheidungen ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhen. Kinmu implementiert derzeit jedoch keine automatisierten Entscheidungen, die den Nutzer über technische Empfehlungen hinaus betreffen; alle arbeitsbezogenen Entscheidungen (Genehmigung von Abwesenheiten, Disziplinarmaßnahmen, Vertragsänderungen) liegen in der Verantwortung einer natürlichen Person des Kundenunternehmens.

Um eines dieser Rechte auszuüben, sollte der Nutzer dpo@kinmu.app kontaktieren und eine klare Identifikation des Antrags, die betroffenen personenbezogenen Daten und die Grundlage des ausgeübten Rechts angeben. Kinmu antwortet innerhalb von maximal dreißig Tagen. Wenn ein Antrag besonders komplex ist oder eine zusätzliche Identitätsprüfung erfordert, kann Kinmu die Frist mit begründeter Mitteilung auf bis zu sechzig Tage verlängern.

9. DATEN MINDERJÄHRIGER

Die Kinmu-Plattform ist nicht für Personen unter achtzehn (18) Jahren konzipiert oder bestimmt. Kinmu erhebt nicht wissentlich personenbezogene Daten von minderjährigen Nutzern. Im Ausnahmefall, dass ein Minderjähriger auf die Plattform zugreift, verlangt Kinmu die Einwilligung eines Elternteils oder gesetzlichen Vormundes für jede Verarbeitung. Falls Kinmu feststellt, dass personenbezogene Daten eines Minderjährigen ohne die erforderliche Einwilligung erhoben wurden, werden diese Daten unverzüglich gelöscht.

10. KOMMUNIKATION UND MARKETING

Kinmu verwendet die E-Mail-Daten des Nutzers, um transaktionale Mitteilungen zu senden, die für den Betrieb des Dienstes unerlässlich sind, darunter Registrierungsbestätigung, Passwortwiederherstellung, Benachrichtigungen über Richtlinienänderungen, Sicherheitswarnungen und Antworten auf technische Supportanfragen.

Kinmu verwendet personenbezogene Daten der Nutzer nicht für Marketing, Werbung oder proaktive kommerzielle Kommunikation, die individuell an den Nutzer gerichtet ist. Kinmu verkauft, überträgt oder handelt keine personenbezogenen Daten der Nutzer an Dritte für Marketing- oder Werbezwecke. Wenn Kinmu in Zukunft Marketingkommunikation implementiert (Newsletter, Produktupdates, Werbeaktionen), ist eine ausdrückliche und gesonderte Einwilligung erforderlich, bevor diese gesendet werden, und der Nutzer kann sich jederzeit über einen in jeder Kommunikation enthaltenen Link oder durch Kontaktaufnahme mit dpo@kinmu.app abmelden.

11. EINWILLIGUNG FÜR DEN KI-CHAT

Die Nutzung der KI-Chat-Funktion ist optional und erfordert die ausdrückliche und gesonderte Einwilligung des Nutzers, die von der allgemeinen Einwilligung zur Nutzung der Plattform getrennt ist. Der Nutzer wird ausdrücklich vor der Aktivierung des KI-Chats darüber informiert, dass: (i) Gespräche von einem spezialisierten Dritten (Mistral AI) im Rahmen eines Auftragsverarbeitungsvertrags verarbeitet werden; (ii) Mistral AI keine Gesprächsdaten zum Training seiner Modelle verwendet; (iii) Gespräche privat sind und für einen Manager oder Unternehmensadministrator nicht zugänglich sind; (iv) Chat-Antworten indikativ sind und keine Garantie für rechtliche oder arbeitsrechtliche Genauigkeit darstellen; (v) der Nutzer die Einwilligung durch Deaktivierung der Funktion jederzeit ohne Sanktionen widerrufen kann.

Gesprächsdaten werden sechs Monate lang aufbewahrt und dann automatisch gelöscht. Der Nutzer kann eine sofortige Löschung durch Kontaktaufnahme mit dpo@kinmu.app beantragen.

12. ÄNDERUNGEN DIESER RICHTLINIE

Kinmu behält sich das Recht vor, diese Datenschutzerklärung jederzeit zu ändern, um sie an Gesetzesänderungen, neue Sicherheitspraktiken, die Implementierung neuer Funktionen oder Änderungen der technischen Architektur anzupassen. Wesentliche Änderungen werden per E-Mail mindestens dreißig (30) Tage im Voraus mitgeteilt, und der Nutzer kann sein Abonnement während der Kündigungsfrist ohne Strafe kündigen, wenn er die Änderungen nicht akzeptiert.

Die aktuelle Version ist immer unter https://kinmu.app/de/datenschutz zugänglich. Die weitere Nutzung der Plattform nach dem Datum des Inkrafttretens von Änderungen gilt als Annahme dieser Änderungen.

13. ZUSTÄNDIGKEIT UND AUFSICHTSBEHÖRDEN

Diese Datenschutzerklärung unterliegt spanischem und europäischem Datenschutzrecht, wobei die zuständige Aufsichtsbehörde die spanische Datenschutzbehörde (AEPD) ist. Der Nutzer hat das Recht, eine Beschwerde bei der AEPD einzureichen, wenn er der Ansicht ist, dass die Verarbeitung seiner Daten durch Kinmu gegen geltendes Recht verstößt; Beschwerden können eingereicht werden unter: www.aepd.es oder per Post an: C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, Spain
CIF: B24996803
https://kinmu.app