Transfer Impact Assessment (TIA) – Öffentliche Zusammenfassung

Gegenstand der Übermittlung

Im Rahmen der Nutzung von „Mira“ werden Gesprächsdaten (Text und ggf. Audio) zur Generierung von KI-Antworten an einen Auftragsverarbeiter in den USA übermittelt. Die Verarbeitung erfolgt ausschließlich zweckgebunden zur Bereitstellung der Funktionalität von Mira.

Datenkategorien und Häufigkeit

• Gesprächsdaten: Text- und ggf. Audiodaten, die während der Nutzung entstehen.
• Technische Metadaten: z. B. Zeitstempel; es erfolgt Datenminimierung.
• Übermittlung anlassbezogen und temporär zur Antwortgenerierung.
• Speicherdauer beim Auftragsverarbeiter: maximal 30 Tage (Missbrauchserkennung), anschließend Löschung.

Rechtsinstrument der Übermittlung

Die Übermittlung stützt sich auf die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ergänzend bestehen vertragliche Zusicherungen, insbesondere keine Nutzung zu Trainingszwecken.

Beurteilung der Rechtslage im Empfängerland

Die allgemeine Rechtslage in den USA wurde im Hinblick auf mögliche Zugriffe durch Behörden und etwaige Rechtsbehelfe bewertet. Unter Berücksichtigung der zweckgebundenen, kurzzeitigen Verarbeitung, der vertraglichen Garantien (SCCs), der Verschlüsselung beim Transport sowie interner Zugriffskontrollen wird das Risiko für Betroffene als reduziert eingeschätzt.

Ergänzende technische und organisatorische Maßnahmen

• Transportverschlüsselung (TLS/SSL) und Härtung der Schnittstellen.
• Strenge Zugriffskontrollen und Rollen-/Berechtigungskonzepte.
• Datenminimierung und Zweckbindung; keine dauerhafte Speicherung durch Mira.
• Transparenz für Nutzerinnen und Nutzer sowie jederzeitiger Widerruf der Einwilligung.
• Regelmäßige Überprüfung der Maßnahmen und Re-Evaluation.

Ergebnis

Unter Anwendung der Standardvertragsklauseln und der ergänzenden Maßnahmen wird das Restrisiko auf ein vertretbares Maß reduziert. Eine fortlaufende Beobachtung der Rechtslage und der technischen Gegebenheiten ist vorgesehen; bei Änderungen erfolgt eine Neubewertung.

Verweise

• Datenschutzerklärung
• Datenschutz-Folgenabschätzung (DPIA) – Öffentliche Zusammenfassung
• Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO