Datenschutz-Folgenabschätzung (DPIA) – Öffentliche Zusammenfassung

Gegenstand der Bewertung

Diese Datenschutz-Folgenabschätzung (DPIA) bewertet die Verarbeitung von Gesprächsdaten (Text und ggf. Audio), die im Rahmen der Nutzung von „Mira“ entstehen. Die Daten können gesundheitsbezogene Informationen enthalten und gelten damit als besondere Kategorien personenbezogener Daten.

Rechtsgrundlage

Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Ohne Einwilligung ist die Nutzung von „Mira“ nicht möglich.

Verarbeitungstätigkeiten

• Erhebung von Gesprächsdaten im Rahmen der Nutzung.
• Temporäre Verarbeitung zur Generierung von KI-Antworten.
• Übermittlung an Auftragsverarbeiter zur Bereitstellung der KI-Funktionalität: OpenAI (USA) für Sprachverarbeitung über Realtime-API; Google Cloud Vertex AI (EU/EWR; ggf. USA) für textbasierte Verarbeitung (siehe Datenschutzerklärung).
• Keine Nutzung zur Modellweiterbildung, zweckgebundene Verarbeitung.
• Löschkonzepte und -fristen: Keine dauerhafte Speicherung durch Mira; bei OpenAI max. 30 Tage Missbrauchserkennungs-Logs; bei Google Cloud Vertex AI ggf. kurzzeitige sicherheitsbezogene Protokollierung; keine Trainingsnutzung.

Technische und organisatorische Maßnahmen (TOMs)

• Transportverschlüsselung (TLS/SSL).
• Serverseitige Zugriffskontrollen und Rollen-/Berechtigungskonzepte.
• Datenminimierung und Pseudonymisierung, wo möglich.
• Protokollierung sicherheitsrelevanter Ereignisse.
• Schlüssel- und Geheimnis-Management, Härtung der Infrastruktur.
• Definierte Lösch- und Aufbewahrungskonzepte.

Risikobewertung

Berücksichtigte Risiken umfassen insbesondere den Verlust der Vertraulichkeit besonderer Kategorien personenbezogener Daten sowie Risiken, die sich aus einer Drittlandsübermittlung (insb. USA) ergeben. Für die Sprachverarbeitung (OpenAI, USA) werden Standardvertragsklauseln (SCCs) eingesetzt; für die Textverarbeitung erfolgt die Verarbeitung primär in der EU/EWR über Google Cloud Vertex AI. Soweit aus technischen Gründen US‑Subprozessoren eingesetzt werden, kommen ebenfalls SCCs zum Einsatz. Durch Einwilligung, TOMs, vertragliche Garantien (SCCs) und Datenminimierung wird das Risiko auf ein vertretbares Maß reduziert.

Ergebnis

Unter den beschriebenen Maßnahmen, Garantien und der ausdrücklichen Einwilligung ist die Verarbeitung vertretbar. Die DPIA wird regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitung oder der Risikolage aktualisiert.

Verweise

• Datenschutzerklärung
• Transfer Impact Assessment (TIA) – Öffentliche Zusammenfassung
• Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO