Datenschutz-Folgenabschätzung (DPIA) – Öffentliche Zusammenfassung
Stand: 26.08.2025
Gegenstand der Bewertung
Diese Datenschutz-Folgenabschätzung (DPIA) bewertet die Verarbeitung von Gesprächsdaten (Text und ggf. Audio), die im Rahmen der Nutzung von „Mira“ entstehen. Die Daten können gesundheitsbezogene Informationen enthalten und gelten damit als besondere Kategorien personenbezogener Daten.
Rechtsgrundlage
Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Ohne Einwilligung ist die Nutzung von „Mira“ nicht möglich.
Verarbeitungstätigkeiten
- Erhebung von Gesprächsdaten im Rahmen der Nutzung.
- Temporäre Verarbeitung zur Generierung von KI-Antworten.
- Übermittlung an einen Auftragsverarbeiter zur Bereitstellung der KI-Funktionalität (siehe Datenschutzerklärung).
- Keine Nutzung zur Modellweiterbildung, zweckgebundene Verarbeitung.
- Löschkonzepte und -fristen: Keine dauerhafte Speicherung durch Mira; beim Auftragsverarbeiter max. 30 Tage.
Technische und organisatorische Maßnahmen (TOMs)
- Transportverschlüsselung (TLS/SSL).
- Serverseitige Zugriffskontrollen und Rollen-/Berechtigungskonzepte.
- Datenminimierung und Pseudonymisierung, wo möglich.
- Protokollierung sicherheitsrelevanter Ereignisse.
- Schlüssel- und Geheimnis-Management, Härtung der Infrastruktur.
- Definierte Lösch- und Aufbewahrungskonzepte.
Risikobewertung
Berücksichtigte Risiken umfassen insbesondere den Verlust der Vertraulichkeit besonderer Kategorien personenbezogener Daten sowie Risiken, die sich aus der Drittlandsübermittlung ergeben. Durch Einwilligung, TOMs, vertragliche Garantien (SCCs) und Datenminimierung wird das Risiko auf ein vertretbares Maß reduziert.
Ergebnis
Unter den beschriebenen Maßnahmen, Garantien und der ausdrücklichen Einwilligung ist die Verarbeitung vertretbar. Die DPIA wird regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitung oder der Risikolage aktualisiert.
Verweise
Version: dpia:2025-08-26