Transfer Impact Assessment (TIA) – Öffentliche Zusammenfassung

Gegenstand der Übermittlung

Im Rahmen der Nutzung von „Mira“ werden Gesprächsdaten (Text und ggf. Audio) zur Generierung von KI‑Antworten verarbeitet. Die Sprachverarbeitung erfolgt über OpenAI (USA). Die textbasierte Verarbeitung erfolgt primär in der EU/EWR über Google Cloud Vertex AI (Google Cloud EMEA Ltd., Irland); soweit aus technischen Gründen Subprozessoren in Drittländern eingebunden werden (z. B. Google LLC, USA), findet eine entsprechende Drittlandübermittlung statt. Die Verarbeitung erfolgt ausschließlich zweckgebunden zur Bereitstellung der Funktionalität von Mira.

Datenkategorien und Häufigkeit

• Gesprächsdaten: Text- und ggf. Audiodaten, die während der Nutzung entstehen.
• Technische Metadaten: z. B. Zeitstempel; es erfolgt Datenminimierung.
• Übermittlung anlassbezogen und temporär zur Antwortgenerierung.
• Speicherdauer/Protokollierung: Bei OpenAI max. 30 Tage (Missbrauchserkennung), anschließend Löschung; bei Google Cloud Vertex AI ggf. kurzzeitige sicherheitsbezogene Protokollierung, keine Trainingsnutzung.

Rechtsinstrument der Übermittlung

Die Übermittlung an OpenAI (USA) stützt sich auf die EU‑Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Für die textbasierte Verarbeitung über Google Cloud Vertex AI erfolgt die Verarbeitung primär in der EU/EWR (Google Cloud EMEA Ltd.). Soweit aus technischen Gründen US‑Subprozessoren (z. B. Google LLC) eingebunden werden, erfolgt die Drittlandübermittlung ebenfalls auf Basis der SCCs. Ergänzend bestehen vertragliche Zusicherungen, insbesondere keine Nutzung zu Trainingszwecken.

Beurteilung der Rechtslage im Empfängerland

Die allgemeine Rechtslage in den USA wurde im Hinblick auf mögliche Zugriffe durch Behörden und etwaige Rechtsbehelfe bewertet. Unter Berücksichtigung der zweckgebundenen, kurzzeitigen Verarbeitung, der vertraglichen Garantien (SCCs), der Verschlüsselung beim Transport sowie interner Zugriffskontrollen wird das Risiko für Betroffene als reduziert eingeschätzt. Für die textbasierte Verarbeitung über Google Cloud Vertex AI reduziert die primäre Verarbeitung in der EU/EWR das Transfer‑Risiko zusätzlich; bei etwaiger Einbindung von US‑Subprozessoren kommen ebenfalls SCCs zum Einsatz.

Ergänzende technische und organisatorische Maßnahmen

• Transportverschlüsselung (TLS/SSL) und Härtung der Schnittstellen.
• Strenge Zugriffskontrollen und Rollen-/Berechtigungskonzepte.
• Datenminimierung und Zweckbindung; keine dauerhafte Speicherung durch Mira.
• Transparenz für Nutzerinnen und Nutzer sowie jederzeitiger Widerruf der Einwilligung.
• Regelmäßige Überprüfung der Maßnahmen und Re-Evaluation.

Ergebnis

Unter Anwendung der Standardvertragsklauseln und der ergänzenden Maßnahmen wird das Restrisiko auf ein vertretbares Maß reduziert. Eine fortlaufende Beobachtung der Rechtslage und der technischen Gegebenheiten ist vorgesehen; bei Änderungen erfolgt eine Neubewertung.

Verweise

• Datenschutzerklärung
• Datenschutz-Folgenabschätzung (DPIA) – Öffentliche Zusammenfassung
• Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO