Kiori Logo

📄 DATENSCHUTZERKLÄRUNG FÜR KIORI

Letzte Aktualisierung: 04.02.2026

Kiori („wir“, „uns“, „unser“) ist eine Wissensmanagement- und KI-Assistenzplattform, betrieben von Crowd Wisdom SLU, einer Kapitalgesellschaft nach spanischem Recht. Wir verarbeiten personenbezogene Daten gemäß der Datenschutz-Grundverordnung (DSGVO), der UK GDPR, dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Sie haben.

Bei Fragen erreichen Sie uns jederzeit unter: privacy@crowd-wisdom.com

1. Verantwortlicher nach Art. 4 Nr. 7 DSGVO

Crowd Wisdom SLU Kapitalgesellschaft nach spanischem Recht NIF: B75287599

Geschäftssitz: Rambla de Catalunya, Num 38 Planta 8, Puerta 1 08007 Barcelona Spanien

Vertretungsberechtigte Person: Gabriel Michels (Administrador Único)

1a. Datenschutzbeauftragter (DSB)

Gabriel Michels Crowd Wisdom SLU E-Mail: privacy@crowd-wisdom.com

Sie können den Datenschutzbeauftragten direkt bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zu Ihren Rechten nach der DSGVO kontaktieren.

2. Arten personenbezogener Daten, die wir verarbeiten

2.1 Konto- und Anmeldedaten

  • E-Mail-Adresse
  • Passwort (gehasht), falls Sie sich per E-Mail registrieren
  • Google-OAuth-Daten (Identifikator, E-Mail, optional Name/Profilbild)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Nutzungsdaten & technische Protokolle

Wir verarbeiten zur Sicherheit, Fehleranalyse und Systemstabilität:

  • IP-Adresse
  • User-Agent
  • Zeitstempel und Zeitzone
  • Sitzungs- und Anfragemetadaten
  • Audit-Logs
  • Sicherheits- und Zugriffsdaten

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten)

2.3 Chat-Daten, KI-Interaktionen & agentische Workflows

Zur Bereitstellung der KI-Assistenz (RAG, semantische Suche, Agentenlogik) speichern wir:

  • Nutzerchatnachrichten
  • Von der KI erzeugte Antworten
  • Agenten-Trace-Daten (Iterationen, Aktionen, Zwischenschritte)
  • Suchanfragen
  • Dokumentauszüge, die für Antworten relevant sind

Diese Speicherung ist notwendig, da ansonsten keine konsistenten Antworten, kein Kontextverlauf und keine funktionierende RAG möglich wären.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.3a Nutzerspeicher & Chat-Gedächtnis

Zur Verbesserung der Qualität und Kontinuität der KI-Interaktionen extrahiert und speichert Kiori kontextuelle Erinnerungen aus Ihren Gesprächen. Dies ermöglicht:

  • Thread-übergreifender Kontext: Der Assistent merkt sich relevante Informationen über verschiedene Gespräche hinweg, sodass Sie sich nicht wiederholen müssen
  • Auffindbarkeit: Wichtige Entscheidungen, Präferenzen und Fakten aus vergangenen Gesprächen können bei Bedarf abgerufen werden
  • Personalisierte Antworten: Der Assistent passt sich Ihrem Kommunikationsstil, Fachgebiet und Ihren Präferenzen an
  • Team-Abstimmung: Geteilter Workspace-Kontext sorgt dafür, dass alle Teammitglieder auf dem gleichen Stand sind

Erinnerungen sind auf drei Ebenen organisiert:

  • Chat-Gedächtnis (Thread-Ebene): Entscheidungen, Einschränkungen und Fakten aus einem bestimmten Gespräch — ermöglicht Kontinuität innerhalb und zwischen Threads
  • Nutzerspeicher (Nutzer-Ebene): Persönliche Präferenzen und Fakten (z. B. bevorzugte Sprache, Rolle, Fachgebiet) — ermöglicht personalisierte Assistenz über alle Gespräche hinweg
  • Workspace-Gedächtnis (Workspace-Ebene): Geteilter Teamkontext (z. B. Projektkonventionen, Namensstandards) — ermöglicht konsistente Assistenz für alle Workspace-Mitglieder

Funktionsweise:

  • Erinnerungen werden mithilfe von KI-Sprachmodellen extrahiert (siehe §5.1 für Anbieter)
  • Als Vektor-Embeddings in unserer Vektordatenbank (Qdrant) gespeichert
  • Semantisch abgerufen, wenn sie für Ihre aktuelle Anfrage relevant sind

Nutzerkontrolle:

  • Sie können Ihre gespeicherten Erinnerungen in den Anwendungseinstellungen einsehen
  • Sie können einzelne Erinnerungen oder alle Erinnerungen jederzeit löschen
  • Die Gedächtnisextraktion kann pro Workspace oder Nutzerpräferenz deaktiviert werden
  • Das Löschen einer Konversation löscht nicht automatisch extrahierte Erinnerungen — diese müssen separat verwaltet werden

Temporärer Agentenkontext (Kurzzeitspeicher) wird während aktiver Sitzungen bis zu 5 Minuten im Arbeitsspeicher gehalten und danach automatisch verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung personalisierter KI-Assistenz)

2.4 Hochgeladene Dateien & Arbeitsbereichsdaten

Wir verarbeiten:

  • von Nutzern hochgeladene Dokumente
  • extrahierte Texte (für Embeddings)
  • generierte Embeddings
  • Dateimetadaten
  • Originaldateien, um künftige Re-Indexierungen nach Systemupdates zu ermöglichen

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemverbesserung)

2.5 Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO)

Wir verarbeiten keine sensiblen Daten absichtlich.

Nutzer können jedoch freiwillig Dokumente hochladen, die solche Informationen enthalten.

Wir:

  • führen keine Profilbildung anhand dieser Daten durch,
  • verarbeiten sie ausschließlich zweckgebunden,
  • markieren mögliche sensible Inhalte über einen internen PII-Erkennungsprozess, um Risiken zu reduzieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. e DSGVO (freiwillige Bereitstellung durch den Nutzer)

2.6 Zahlungs- & Rechnungsdaten

Bereitgestellt und verarbeitet von Stripe Payments Europe Ltd.

  • E-Mail
  • Abonnementdetails
  • Zahlungsmethoden
  • Rechnungs- und Steuerdaten (falls erforderlich)

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten)

2.7 Analyse- & Produktdaten

Wir nutzen folgende Analysedienste, um die Nutzung der Plattform zu verstehen und zu verbessern:

PostHog

Unser primäres Produktanalyse-Tool. PostHog erfasst:

  • Seitenaufrufe und Navigationsereignisse
  • Registrierungs-Funnel-Ereignisse (Planauswahl, Kontoerstellung, Checkout)
  • Funktionsnutzungs-Ereignisse (manuell erfasst, kein Autocapture)
  • Subdomain-übergreifende Nutzeridentifikation (zwischen www.kiori.co und app.kiori.co)
  • Fehler- und Ausnahmeerfassung

PostHog ist im Identified-Only-Modus konfiguriert (keine anonymen Personenprofile). Daten werden über unseren Proxy-Endpunkt geleitet und in der EU gespeichert (eu.posthog.com).

Google Analytics 4 (GA4)

Website-Analyse einschließlich:

  • Seitenaufrufe
  • Geräte- und Browserdaten
  • Sitzungsstatistiken
  • Registrierungs- und Konversionsereignisse

IP-Anonymisierung ist aktiviert.

Vercel Analytics

Leistungsüberwachung unserer Marketing-Website, einschließlich:

  • Core Web Vitals
  • Seitenladezeiten-Metriken

Firebase Analytics

Nutzungsanalyse und Leistungsdaten der Anwendung.

Analysedaten werden nach Möglichkeit anonymisiert oder pseudonymisiert.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Cookie-Banner) für Analyse-Cookies
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

2.8 Werbung (derzeit deaktiviert)

Kiori hat Google AdSense integriert, um kostenlose öffentliche Workspaces durch Werbung zu finanzieren. Diese Funktion ist derzeit deaktiviert, kann aber zukünftig aktiviert werden.

Bei Aktivierung kann Google AdSense:

  • Banner- und Interstitial-Anzeigen für Nutzer der kostenlosen Stufe in öffentlichen Workspaces anzeigen
  • Geräteinformationen, IP-Adresse und Browsing-Kontext zur Anzeigenpersonalisierung erfassen
  • Werbebezogene Cookies setzen (ad_storage)

Nutzer mit kostenpflichtigem Abonnement sehen keine Werbung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Werbung wird nur mit Nutzereinwilligung über Cookie-/Einwilligungsmechanismen angezeigt)

3. Zwecke der Datenverarbeitung

Wir nutzen Ihre Daten für:

  1. Betrieb der Plattform
  2. Kontoerstellung & Authentifizierung
  3. RAG und KI-gestützte Funktionen
  4. Speicherung & Neuindexierung Ihrer Dokumente
  5. Abwicklung von Zahlungen & Abonnements
  6. Sicherheit, Missbrauchsprävention & Systemprotokolle
  7. Analyse & Produktverbesserung
  8. Agentische KI-Arbeitsabläufe
  9. Support & Kommunikation

Wir verkaufen keine personenbezogenen Daten.

4. Rechtsgrundlagen im Überblick

ZweckRechtsgrundlage
Bereitstellung der KernfunktionenArt. 6(1)(b)
KI-Verarbeitung, RAG, EmbeddingsArt. 6(1)(b)
Sicherheit & SystemüberwachungArt. 6(1)(f), Art. 6(1)(c)
Analyse & CookiesArt. 6(1)(a)
ZahlungsabwicklungArt. 6(1)(b), (c)

5. Empfänger & Auftragsverarbeiter

5.1 Unterauftragsverarbeiter (KI-Dienste)

Wir nutzen folgende Anbieter zur Textverarbeitung, Embedding-Generierung, Gedächtnisextraktion oder Agentik:

AnbieterZweckStandortRechtsinstrument
OpenAIKI-Generierung, EmbeddingsEU/USASCC
AnthropicKI-GenerierungEU/USASCC
Google GeminiGenerierung, EmbeddingsGlobalSCC
GroqSchnelle Inferenz, GedächtnisextraktionUSASCC
Fireworks AIReranking, EmbeddingsEU/USASCC

Wir arbeiten nicht im Rahmen einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO).

KI-Anbieter können sich im Laufe der Zeit ändern, da wir Qualität, Geschwindigkeit und Kosten optimieren. Die aktuelle Liste gibt die aktiv genutzten Anbieter wieder.

5.1a Unterauftragsverarbeiter (Websuche & Inhaltsabruf)

Im Rahmen agentischer KI-Workflows kann Kiori in Ihrem Auftrag auf externe Inhalte zugreifen:

  • Brave Search (USA) — Websuchanfragen für Agenten-Tool-Aufrufe
  • Tavily (USA) — KI-optimierte Websuche für Agenten-Tool-Aufrufe
  • Firecrawl (USA) — Webseitenextraktion und Inhaltserfassung
  • Browserbase (USA) — Cloud-Browser-Sitzungen für Webdatenerhebung (z. B. YouTube-Transkriptextraktion)

Diese Dienste erhalten nur die für die jeweilige Aufgabe relevanten Suchanfragen oder URLs. Keine personenbezogenen Nutzerdaten werden über das für die Anfrage Notwendige hinaus weitergegeben.

5.2 Hosting & Infrastruktur

AnbieterZweckStandort
Google Cloud PlatformServer, Storage, ComputeNiederlande (europe-west-4)
— Cloud KMSVerschlüsselungsmanagement für Integrations-TokenNiederlande
— Document AIOCR und PDF-TextextraktionEU
— Google TranslateSystemprompt-Übersetzung (nicht für Nutzerinhalte)EU/Global
— Secret ManagerSichere Speicherung von PlattformgeheimnissenEU
Firebase (GCP)Auth, Analytics, ServicesEU/Global
Qdrant CloudVektorsucheregionsabhängig
VercelHosting der Marketing-Website, LeistungsanalyseGlobal
Cloudflare TurnstileBot-Schutz und CAPTCHA-Verifizierung (erfasst IP-Adresse, Browser-Fingerabdruck)Global

5.3 Zahlungsdienstleister

  • Stripe Payments Europe Ltd.

5.4 E-Mail

  • Zoho Mail über Firebase Auth

5.4a Werbung (derzeit deaktiviert)

  • Google AdSense (Google Ireland Ltd) — Display- und Interstitial-Werbung für Nutzer der kostenlosen Stufe in öffentlichen Workspaces. Derzeit deaktiviert, aber die Infrastruktur ist integriert.

5.5 Analyseanbieter

  • PostHog (EU) — Produktanalyse, Event-Tracking, subdomain-übergreifende Nutzeridentifikation
  • Vercel Analytics — Web-Leistungsüberwachung
  • Google Analytics 4 (Google Ireland Ltd) — Website-Analyse
  • Firebase Analytics (Google Ireland Ltd) — App-Nutzungsanalyse

5.6 Integrationen: unabhängige Verantwortliche

Bei Verbindung Ihrer Konten:

  • Google Drive
  • Microsoft OneDrive / SharePoint (über Microsoft Graph API — Zugriff auf Dateien, Ordner und Metadaten mit nutzerautorisierten Berechtigungen)
  • Notion (über Notion API — Zugriff auf Seiten, Datenbanken und Dateianhänge mit nutzerautorisierten Berechtigungen)

Diese Anbieter agieren als eigene Verantwortliche.

6. Drittlandübermittlungen (EU → USA)

Übermittlungen an Anbieter in Nicht-EU-Ländern erfolgen auf Grundlage:

  • der Standardvertragsklauseln (SCC),
  • vertraglicher Garantien,
  • technischer Schutzmaßnahmen.

Eine ausschließliche EU-Verarbeitung kann technisch nicht garantiert werden.

7. Cookies & TTDSG-Hinweise

Wir verwenden ein Cookie-Banner zur Einholung der Einwilligung.

Cookie-Arten:

  • technisch notwendige Cookies (Login, Sicherheit, Bot-Schutz via Cloudflare Turnstile)
  • Präferenz-Cookies
  • Analyse-Cookies (PostHog, Google Analytics 4, Firebase Analytics – nur nach Einwilligung)
  • Werbe-Cookies (Google AdSense – derzeit deaktiviert; nur nach Einwilligung bei Aktivierung)

Siehe unsere Cookie-Richtlinie für eine detaillierte Liste der verwendeten Cookies.

8. Speicherdauer

8.1 Speichertabelle

DatenkategorieDauerHinweis
KontodatenBis zur Löschung + 7 TageWiederherstellungsfenster
Hochgeladene DateienBis zur LöschungAutomatische Bereinigung
Audit-Logs365 TageSicherheit
PII-Erkennungslogs90 TageRotation
Sicherheitslogs90 TageAuto-Löschung
Zahlungs-/Rechnungsdatengesetzliche Fristen (bis zu 10 Jahre)Steuerrecht
ChatverläufeBis zur Löschungnotwendig für RAG
Nutzer- & Chat-ErinnerungenBis zur LöschungPersonalisierung & Kontext
Kurzzeit-AgentenspeicherBis zu 5 MinutenAutomatisch verworfen
AgentenlogsBis zur LöschungErklärbarkeit

Backups 30–90 Tage.

8.2 Meldungen, Missbrauchsanzeigen & rechtliche Anfragen

Meldungen, Missbrauchsanzeigen und rechtliche Anfragen, die über die Meldefunktionen von Kiori eingereicht werden, können personenbezogene Daten wie Namen, E-Mail-Adressen, Organisationszugehörigkeiten sowie unterstützende Dokumente enthalten. Wir verarbeiten diese Daten ausschließlich zum Zweck der Prüfung, Bearbeitung und Dokumentation der jeweiligen Meldung, einschließlich der Erfüllung gesetzlicher Verpflichtungen. Die Verarbeitung erfolgt nur so lange, wie dies erforderlich ist, um:

  • die Meldung zu prüfen und abzuschließen,
  • gesetzlichen und regulatorischen Pflichten nachzukommen,
  • rechtliche Ansprüche geltend zu machen, auszuüben oder zu verteidigen.

Sofern keine längere Aufbewahrung aufgrund laufender rechtlicher Verfahren erforderlich ist, werden meldungsbezogene Daten in der Regel für bis zu 24 Monate gespeichert und anschließend sicher gelöscht oder anonymisiert.

9. Rechte der betroffenen Personen

Sie haben gemäß DSGVO das Recht auf:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf von Einwilligungen
  • Beschwerde bei einer Aufsichtsbehörde

Wir antworten innerhalb von 30 Tagen.

10. Automatisierte Entscheidungen & KI-Transparenz

Wir nutzen:

  • Sprachmodelle
  • Embeddings
  • Agentische Workflows

Es finden keine automatisierten Entscheidungen mit rechtlichen oder erheblichen Auswirkungen statt (Art. 22 DSGVO).

Wir trainieren keine KI-Modelle mit Nutzerdaten.

Kiori implementiert Privacy by Design und Privacy by Default (Art. 25 DSGVO).

11. Datensicherheit

Wir setzen Maßnahmen ein wie:

  • TLS-Verschlüsselung
  • Verschlüsselung ruhender Daten
  • Rollenbasierte Zugriffskontrolle
  • Protokollierung & Monitoring
  • Isolation von Arbeitsbereichen
  • regelmäßige Sicherheitsüberprüfungen

12. Löschung von Daten

Nutzer können:

  • Chats löschen
  • Dokumente löschen
  • Konten löschen
  • Daten exportieren

Nach Löschung werden:

  • Daten entfernt oder anonymisiert
  • Backups turnusmäßig überschrieben

13. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Bedarf. Bei wesentlichen Änderungen informieren wir Sie rechtzeitig.

14. Kontakt

Crowd Wisdom SLU Rbla de Catalunya, Num 38 Planta 8, Puerta 1 08007 Barcelona Spanien E-Mail: privacy@crowd-wisdom.com

Privacy Policy | Kiori