Über KURO

Datenschutzerklärung

Stand: 14. Mai 2026

Diese Datenschutzerklärung informiert dich über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten auf der Plattform app.kurosphere.com (im Folgenden „die Plattform"). Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO, EU 2016/679) und das österreichische Datenschutzgesetz (DSG).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Z 7 DSGVO ist:

KURO Management GmbH
Gewerbepark 523, 8225 Pöllau bei Hartberg, Österreich
E-Mail: office@weseo.at
Telefon: +43 3335 94140 888

Datenschutzkontakt: datenschutz@weseo.at

2. Geltungsbereich

Die Plattform ist eine nicht-öffentliche Corporate-Architecture-Anwendung. Zugriff haben ausschließlich autorisierte Personen der KURO Group, deren Beteiligungen, sowie eingeladene externe Stakeholder (über Magic-Links, Onboarding-Tokens oder QR-Codes).

3. Welche Daten wir verarbeiten

3.1 Account- und Profildaten

  • KURO-ID (stabiler Identifier), E-Mail-Adresse(n), Telefonnummer(n), Anzeigename, Slug, optionale Kanäle (Slack, Microsoft Teams, LinkedIn, Kalender-Buchungslink)
  • Profilfoto (optional, gespeichert als komprimiertes Base64-Image direkt in unserer PostgreSQL-Datenbank — kein Drittanbieter-Storage)
  • Mitgliedschaften (Brand, Legal Entity, Funktion, Titel, Dienstantritt)
  • Skills-Selbsteinschätzungen, Zertifikate, biografische Texte (interne und externe Bio)
  • Sichtbarkeits-Einstellungen pro Datenfeld (öffentlich / intern / privat)

3.2 Authentifizierungs- und Session-Daten

  • Session-Cookie (NextAuth.js / Auth.js) — JWT-basiert, HttpOnly, Secure, SameSite=Lax, maximale Lebensdauer 7 Tage
  • Bei Login per Magic-Link / Passwort-Reset: zeitlich begrenzte Tokens, die nach erstmaliger Verwendung oder Ablauf invalidiert werden
  • Passwort-Hash (falls Passwort-Login verwendet wird) — bcryptjs, 12 Runden

3.3 Audit- und Aktivitätsdaten

  • Logins, Profil-Änderungen, eingeladene Magic-Links, Onboarding-Abschlüsse, administrative Eingriffe — siehe /me/history
  • Zeitpunkt, IP-Adresse (gehasht), User-Agent

3.4 Technische Daten

  • Server-Logs unseres Hosters Google Cloud Run (HTTP-Method, Status, Pfad, Response-Time, IP) — werden 30 Tage aufbewahrt

4. Zwecke und Rechtsgrundlagen

Wir verarbeiten die genannten Daten zu folgenden Zwecken auf folgender Rechtsgrundlage:

  • Bereitstellung der Plattform und Authentifizierung — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), bei externen Stakeholdern Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem koordinierten Mandat).
  • Profil- und Skill-Management — Art. 6 Abs. 1 lit. f DSGVO (Identifizierung und Einsatzplanung von Group-Members durch HR und COS-Leads).
  • Audit-Logging — Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachvollziehbarkeit) sowie Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).
  • Versand transaktionaler E-Mails (Magic-Links, Passwort-Reset, Einladungen) — Art. 6 Abs. 1 lit. b DSGVO.

5. Auftragsverarbeiter und Empfänger

Wir setzen folgende Dienstleister im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO ein:

  • Google Ireland Ltd. — Google Cloud Run (Anwendungs-Hosting), Cloud SQL for PostgreSQL (Datenbank), Google Secret Manager (API-Schlüssel-Verwaltung). Region: europe-west3 (Frankfurt, DE), ausschließlich EU-Verarbeitung.
  • Mailjet SAS (Frankreich) — Versand transaktionaler E-Mails. Mailjet ist DSGVO-konform mit EU-Verarbeitungsstandort. Detaillierte Datenschutzhinweise: mailjet.com/legal/privacy-policy
  • Bitbucket / Atlassian Pty Ltd — Code-Hosting und CI/CD. Verarbeitet nur Build-Metadaten, keine Nutzerdaten der Plattform.

Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet im Tagesbetrieb der Plattform NICHT statt.

6. Speicherdauer

  • Profil- und Skill-Daten: für die Dauer der aktiven Mitgliedschaft; nach Austritt werden personenbezogene Daten innerhalb von 90 Tagen anonymisiert (Audit-Spuren bleiben pseudonymisiert für gesetzliche Aufbewahrungsfristen erhalten).
  • Session-Cookies: maximal 7 Tage, oder bis zur expliziten Abmeldung.
  • Magic-Link / Passwort-Reset-Tokens: 15 Minuten bis 30 Tage, je nach Zweck. Verbraucht oder abgelaufen → automatische Invalidierung.
  • Server-Logs: 30 Tage rolling.
  • Audit-Logs: 7 Jahre (gesetzliche Aufbewahrungs­frist nach UGB/BAO).

7. Cookies

Die Plattform setzt ausschließlich technisch notwendige Cookies ein:

  • authjs.session-token / __Secure-authjs.session-token — Session-Identifier, HttpOnly, SameSite=Lax. Lebensdauer max. 7 Tage.
  • authjs.csrf-token — CSRF-Schutz, HttpOnly, Session-bound.
  • authjs.callback-url — Redirect-Ziel nach Login, kurzlebig.

Tracking-Cookies, Analytics-Cookies und Werbe-Cookies werden nicht eingesetzt. Daher ist auch kein Consent-Banner erforderlich.

8. Deine Rechte

Nach Art. 15 bis 22 DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15) — welche Daten wir über dich verarbeiten. Großteil davon siehst du selbst unter /me.
  • Berichtigung (Art. 16) — du editierst dein Profil unter /me bzw. /me/contacts direkt selbst.
  • Löschung / „Recht auf Vergessenwerden" (Art. 17) — auf Anfrage an unseren Datenschutzkontakt; soweit keine gesetzliche Aufbewahrungs­pflicht entgegensteht.
  • Einschränkung der Verarbeitung (Art. 18) und Widerspruch (Art. 21).
  • Datenübertragbarkeit (Art. 20) — Export deiner Profil- und Skill-Daten in maschinenlesbarem Format auf Anfrage.

Anfragen bitte an datenschutz@weseo.at. Wir antworten innerhalb von 30 Tagen.

9. Beschwerderecht

Du hast jederzeit das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen. In Österreich ist das die Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien.

10. Datensicherheit

  • Transportverschlüsselung TLS 1.3, HSTS (Cloud Run managed certificates).
  • Database-Verbindung ausschließlich über privates Cloud-SQL-Proxy-Netzwerk.
  • Passwörter werden mit bcrypt (12 Runden) gehasht, nie im Klartext gespeichert.
  • Auth-Tokens und Secrets liegen in Google Secret Manager, nie im Code-Repository.
  • Role-based Access Control auf System- und Funktions-Ebene; Audit-Logging aller administrativen Aktionen.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sobald sich Verarbeitungen, eingesetzte Auftragsverarbeiter oder die Rechtslage ändern. Es gilt jeweils die aktuell auf dieser Seite veröffentlichte Fassung. Das Aktualisierungsdatum steht ganz oben.

ImpressumDatenschutzerklärungÜber KURO