Datenschutz-Folgenabschätzung (DPIA) – Öffentliche Zusammenfassung

Stand: 26.08.2025

Gegenstand der Bewertung

Diese Datenschutz-Folgenabschätzung (DPIA) bewertet die Verarbeitung von Gesprächsdaten (Text und ggf. Audio), die im Rahmen der Nutzung von „Mira“ entstehen. Die Daten können gesundheitsbezogene Informationen enthalten und gelten damit als besondere Kategorien personenbezogener Daten.

Rechtsgrundlage

Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Ohne Einwilligung ist die Nutzung von „Mira“ nicht möglich.

Verarbeitungstätigkeiten

  • Erhebung von Gesprächsdaten im Rahmen der Nutzung.
  • Temporäre Verarbeitung zur Generierung von KI-Antworten.
  • Übermittlung an einen Auftragsverarbeiter zur Bereitstellung der KI-Funktionalität (siehe Datenschutzerklärung).
  • Keine Nutzung zur Modellweiterbildung, zweckgebundene Verarbeitung.
  • Löschkonzepte und -fristen: Keine dauerhafte Speicherung durch Mira; beim Auftragsverarbeiter max. 30 Tage.

Technische und organisatorische Maßnahmen (TOMs)

  • Transportverschlüsselung (TLS/SSL).
  • Serverseitige Zugriffskontrollen und Rollen-/Berechtigungskonzepte.
  • Datenminimierung und Pseudonymisierung, wo möglich.
  • Protokollierung sicherheitsrelevanter Ereignisse.
  • Schlüssel- und Geheimnis-Management, Härtung der Infrastruktur.
  • Definierte Lösch- und Aufbewahrungskonzepte.

Risikobewertung

Berücksichtigte Risiken umfassen insbesondere den Verlust der Vertraulichkeit besonderer Kategorien personenbezogener Daten sowie Risiken, die sich aus der Drittlandsübermittlung ergeben. Durch Einwilligung, TOMs, vertragliche Garantien (SCCs) und Datenminimierung wird das Risiko auf ein vertretbares Maß reduziert.

Ergebnis

Unter den beschriebenen Maßnahmen, Garantien und der ausdrücklichen Einwilligung ist die Verarbeitung vertretbar. Die DPIA wird regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitung oder der Risikolage aktualisiert.

Verweise

Version: dpia:2025-08-26