Datenschutzinformationen für Lieferant*innen

 

Begriffe

Für die Zwecke der nachfolgenden Datenschutzinformationen gelten die folgenden Begriffe, wobei sich alle Personenbezeichnungen auf alle Geschlechter und die damit verbundenen Sprachformen beziehen und stets mit dem Zusatz “m/w/d” zu verstehen sind:

 

  1. Verantwortliche. Verantwortliche für die Datenverarbeitung ist Kivent GmbH, Josef-Orlopp-Str. 56, 10365 Berlin, T: +49 (0) 30 / 629 30 25 20, E: info@kivent.de, Geschäftsführer: Johannes Kirsch, Datenschutzbeauftragte: STANHOPE Rechtsanwaltsgesellschaft mbH, request@thenextstanhope.de.
  2. Betroffene. Betroffene sind alle natürliche Personen, die Lieferanten der Verantwortlichen sind, einschließlich potentieller, aktueller und ehemaliger Lieferanten. 
  3. Personenbezogene Daten. Das sind alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen, mithin menschliche Wesen zulassen.
  4. Verarbeitung personenbezogener Daten. Das ist jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.
  1. Einwilligung. Das ist eine nachweisbare Willenserklärung, mit der die Betroffenen einer konkreten Datenverarbeitung freiwillig und vorab zustimmen. 
  2. KI/Künstliche Intelligenz. Künstliche Intelligenz bezeichnet die Fähigkeit eines Systems, Aufgaben zu erledigen, die normalerweise menschliche Intelligenz erfordern. Dazu gehören unter anderem das Erkennen von Mustern, das Treffen von Entscheidungen, das Erlernen von neuen Informationen und das Anpassen an neue Situationen. KI nutzt Algorithmen und statistische Modelle, um Informationen zu analysieren und daraus Schlussfolgerungen zu ziehen.
  3. KI-System. Das ist ein softwarebasiertes System, das mithilfe von Algorithmen Aufgaben autonom oder teilautonom durchführt (z.B. Google Gemini, ChatGPT).
  4. KI-Modell. Ein KI-Modell ist ein mathematisches oder algorithmisches System, das durch maschinelles Lernen trainiert wurde, um spezifische Aufgaben zu erfüllen. Es basiert auf Datensätzen, um Muster zu erkennen, Vorhersagen zu treffen, Entscheidungen zu unterstützen oder andere automatisierte Funktionen auszuführen. KI-Modelle können in verschiedenen Formen auftreten, einschließlich neuronaler Netze, Entscheidungsbäume oder statistischer Algorithmen, und werden in der Regel genutzt, um datenbasierte Probleme effizient zu lösen. 
  5. LLM/Large Language Models/Große Sprachmodelle. Große Sprachmodelle sind eine spezialisierte Form von KI-Modellen, die darauf trainiert sind, natürlichsprachliche Texte zu verstehen und zu generieren. Sie basieren häufig auf tiefen neuronalen Netzwerken und verwenden riesige Mengen an Textdaten, um ihre Sprachfähigkeiten zu entwickeln. LLMs können Aufgaben wie Textvervollständigung, Übersetzung, Konversationsführung oder Stilanalyse durchführen. Beispiele sind Modelle wie GPT (Generative Pre-trained Transformer) von OpenAI. Diese Modelle sind in der Lage, menschlich klingende Texte zu produzieren und kontextbezogene Antworten zu geben, was sie besonders nützlich in Anwendungen wie Chatbots, virtuellen Assistenten und Content-Kreationstools macht.

 

Hinweise an die Betroffenen

(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für die Verantwortliche zuständigen Aufsichtsbehörde zu beschweren.

(2) Beruht die Verarbeitung auf einer Einwilligung, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche).

(3) Beruht die Verarbeitung auf einem berechtigten Interesse, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (vgl. Begriffe / Verantwortliche). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.

(4) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.

(5) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.

(6) Sofern nachfolgend eine Datenverarbeitung beschrieben wird, heißt das nicht, dass die Betroffenen einen irgendwie gearteten Anspruch auf die damit verbundenen Handlungen haben (z.B. Medienaufnahmen, Bewertungen). Die Ansprüche des Betroffenen ergeben sich aus den Absätzen 1 bis 3 dieses Abschnitts. Die nachfolgend dargestellten Datenverarbeitungen beschreiben nur mögliche Handlungsweisen, die aber nicht auf alle Betroffenen zutreffen.

(7) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt (Drittland) werden, muss die Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen. Beruft sich die Verantwortliche auf

  • Artikel 45 DSGVO, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet.
  • Artikel 46 DSGVO i.V.m. EU-Standardvertragsklauseln beruft, bedeutet dies, dass sich die empfangende Stelle vertraglich dazu verpflichtet hat, die Grundsätze des EU-Datenschutzrechts zu achten und dies auf Grundlage eines Mustervertrages der EU-Kommission.
  • Artikel 47 DSGVO beruft, bedeutet dies, dass die empfangende Stelle sich verbindlichen, internen Datenschutzvorschriften unterworfen hat, die von einer in der EU sitzenden Aufsichtsbehörde genehmigt wurden.
  • Artikel 49 Absatz 1 lit. a DSGVO beruft, bedeutet dies, dass die Betroffenen in Kenntnis aller Risiken der Datenübermittlung in ein Drittland zugestimmt hat.

 

Erwartbare Standarddatenverarbeitung

Anbahnung des Vertrages

Die Betroffenen und die Verantwortliche treten in Erstkontakt. Hierbei verarbeitet die Verantwortliche alle Daten, die die Betroffenen freiwillig zur Verfügung stellen. Das sind häufig die Kontaktdaten (Name, Kontaktdaten wie E-Mail-Adresse, Anschrift, Telefonnummer) sowie die Kommunikationsdaten (Schilderung des Inhalts, Gesprächsnotizen, Formulareinträge). Die Verantwortliche erstellt auf dieser Grundlage ein Angebot und  speichert diese Daten. Zweck ist die Anbahnung bzw. Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Durchführung des Vertrages

Beide Seiten erfüllen den Vertrag, soweit er zustandekommt. Hierbei erhebt die Verantwortliche die weiteren Kommunikations- und Abrechnungsdaten (Auslieferung Leistung, Beantwortung Nachfragen, Rechnungsdaten), um den Vertrag zu erfüllen. Zweck ist die Durchführung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Veränderungen bei der Datenverarbeitung

Sofern die Verantwortliche die Art und Weise der Datenverarbeitung verändert, insbesondere neue Empfänger einsetzt, wird sie die Betroffenen per E-Mail über die Veränderung informieren; dies, indem sie die aktualisierten Datenschutzinformationen übermittelt. Zweck ist die Erfüllung der Transparenzpflichten nach der DSGVO (Artikel 12 bis 14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

 

Ansprüche, Rechte und Konflikte im Vertragsverhältnis

(1) Sofern die Betroffenen ihre Rechte nach der DSGVO oder anderen rechtlichen Vorschriften (einschl. Vertragliche Ansprüche) geltend machen, verarbeitet die Verantwortliche die Daten, um diese Ansprüche zu prüfen und ggf. zu erfüllen. Zweck ist die Prüfung von bzw. die Reaktion auf die Ansprüche, einschließlich der Erfüllung oder Zurückweisung der Ansprüche. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz lit. f DSGVO, wobei das berechtigte Interesse aus der Natur des jeweils geltend gemachten Rechts folgt.

(2) Im Fall eines rechtlichen Konflikts zwischen den Betroffenen und der Verantwortlichen werden die Daten verarbeitet, um entsprechende Erklärungen abzugeben (z.B. Geltendmachung von Forderungen) und ggf., um einen externen Rechtsrat einzuholen. Hierbei werden folgende Daten verarbeitet: Name, Kontaktdaten, sämtliche Vorgänge, die im Zusammenhang mit dem rechtlichen Konflikt stehen. Die Verarbeitung dient Wahrnehmung externer, rechtlicher Beratung/Betreuung sowie Ausübung eigener Rechte der Verantwortlichen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus den vorgenannten Zwecken folgt.

 

Löschung, soweit keine Aufbewahrungsgründe bestehen

(1) Sobald die Daten den hier jeweils beschriebenen Zweck erfüllt haben, werden sie gelöscht. Die Löschung bezweckt die Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 litt. a, e DSGVO.

(2) Abweichend von Absatz 1 unterbleibt die Löschung in folgenden Fällen:

  • Interne Aufzeichnungen, die keine Buchungsbelege sind (z.B. Jahresabschlüsse), werden 10 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Buchungsbelege werden 8 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten der geschäftlichen Kommunikation (z.B. Kundenbriefe) und sonstige steuerrelevante Unterlagen werden 6 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalender Jahres, in dem das jeweilige Dokument entstanden ist. Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung und beruht auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
  • Daten, die entstehen, wenn die Betroffenen datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen geltend machen, werden für 3 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem die Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB) und ergänzend aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO). 
  • Daten, die entstehen, wenn die Betroffenen sonstige Ansprüche gegenüber der Verantwortlichen geltend machen, werden für 3 Jahre aufbewahrt, beginnend mit dem 31. Dezember des Kalenderjahres, in dem der Verantwortliche hierauf reagiert. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften für Schadenersatzansprüche (§§ 195, 199 Absatz 1 BGB).
  • Daten, die auf einer Einwilligung beruhen, werden bis zum Widerruf der Einwilligung bzw. bis zum Wegfall des mit der Verarbeitung verbundenen Zwecks aufbewahrt, je nachdem, was früher eintritt. Die Aufbewahrung dient dem mit der Einwilligung verbundenen Zweck und beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Daten, die die Erteilung der Einwilligung beweisen, werden 3 Jahre aufbewahrt, beginnend mit dem Zeitpunkt des Widerrufs der Einwilligung oder des Wegfalls des Zwecks, je nachdem, was früher eintritt. Die Verarbeitung dient der Wahrung des Interesses, sich gegen Ansprüche zu verteidigen und beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem o.g. Zweck folgt. Die Dauer des berechtigten Interesses folgt aus den Verjährungsvorschriften des Ordnungswidrigkeitenrechts (§ 31 Absatz 2 Ziffer 1 OWiG i.V.m. Artikel 83 DSGVO). 
  • […]

 

Außergewöhnliche Datenverarbeitung

 

Videokonferenzen (ohne Aufzeichnung)

Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

Videokonferenzen (mit Aufzeichnung)

(1) Die Verantwortliche ermöglicht den Betroffenen die Kommunikation per Videokonferenz. Falls die Betroffenen sich für die Videokonferenz entscheiden, verarbeitet sie zunächst die für die Einladung erforderlichen Daten (Name, Datum/Zeitpunkt, E-Mail-Adresse, ggf. Betreff des Gesprächs) und mit Beginn der Videokonferenz die bei der Durchführung anfallenden Daten (IP-Adresse der Betroffenen, Geräte- und Verbindungsinformationen – wie Betriebssystem des verwendeten Endgeräts, ggf. Mac-Adresse, Standortdaten, Netzwerkprovider, Verbindungsdauer, Fehlermeldungen, Logfiles, Beginn und der Videokonferenz, ggf. Chatnachrichten, ggf. die Telefonnummer), die übertragenen Ton- bzw. Stimmdaten und, soweit die Betroffenen freiwillig ihre Kamera aktiveren, auch die übertragenen Bilddaten. Zweck ist die vertragsbezogene vertragsbezogene Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz  lit. b DSGVO. Soweit Bilddaten übertragen werden, steht dem das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da es die freie Entscheidung der Betroffenen ist, die Kamera zu aktivieren oder zu deaktivieren, vgl.  Artikel 9 Absatz 2 lit a DSGVO.

(2) Die Betroffene zeichnet – in einigen Fällen – die Videokonferenzen auch auf.
a. Hierfür erfragt sie zunächst die Einwilligung der Betroffenen. Hierfür verarbeitet sie den Namen, Zeitpunkt und Status der Einwilligung. Zweck ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 7 Absatz 1 DSGVO.

b.Nur sofern die Betroffenen eingewilligt haben, zeichnet sie die Videokonferenz (vgl. Absatz 1) auf. Hierbei werden die Bild- und Tondaten dauerhaft bei externen Anbietern gespeichert. Zweck ist Dokumentation der Kommunikation mit den Betroffenen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Dem steht das Verbot nach Artikel 9 Absatz 1 DSGVO nicht entgegen, da hier die Ausnahme nach Artikel 9 Absatz 2 lit a DSGVO greift.

 

Sicherheitsüberprüfung von E-Mails ohne KI

Alle E-Mails, die die Betroffenen an die Verantwortliche senden, werden dahingehend überprüft, ob sie für die IT-Infrastruktur des Verantwortlichen riskant sind, etwa, ob damit ein Cyberangriff verbunden ist. Die Überprüfung beruht auf statischen Regeln und Playbooks, die festlegen, ob eine E-Mail maliziös ist. Hierbei werden nur die Daten der jeweils zu überprüfenden, eingehenden E-Mail geprüft; dies u.a. anhand von Sperrlisten. Hierbei verarbeitet sie die folgenden Daten: E-Mail-Adressen, Inhalt der eingehenden E-Mails, Status maliziös/nicht maliziös. Zweck ist erstens die Erfüllung einer rechtlichen Verpflichtung i.S.v. Artikel 32 DSGVO (Zweck 1) und zweitens der Schutz der eigenen IT-Infrastruktur (Zweck 2). Mit Blick auf Zweck 1 ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO die Rechtsgrundlage. Mit Blick auf Zweck 2 ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO die Rechtsgrundlage, wobei das berechtigte Interesse aus Zweck 2 folgt.

 

Einsatz von LLM (KI-System)

Die Kommunikationsdaten werden auch mithilfe eines KI-Systems in Form eines sog. großen Sprachmodells (Large Language Model, LLM) verarbeitet. Dies verläuft wie folgt: 

  1. Eingabe des Prompts: Zunächst geben personalverantwortliche Beschäftigte der Verantwortlichen einen Prompt in das dafür vorgesehene Feld ein.
  2. Tokenisierung: Der Prompt wird dann in eine Form umgewandelt, die das KI-Modell, das dem KI-System zugrunde liegt, verstehen kann. Dies geschieht durch eine sog. Tokenisierung, bei der der Prompt in kleine Einheiten zerlegt wird, sog. Tokens.
  3. Verarbeitung durch das Modell: Die Tokens werden durch das Modell geleitet. Das KI-Modell besteht aus vielen Schichten, die jeweils unterschiedliche Teile des Prompts analysieren. Bei jedem Durchgang durch eine Schicht versteht das Modell den Prompt besser.
  4. Generierung der Antwort: Das KI-Modell nutzt die erlernten Muster und Strukturen, um eine Antwort zu erzeugen. Die Antwort selbst besteht aus Tokens. Das Modell sagt voraus, welche Tokens am wahrscheinlichsten als nächstes kommen, und setzt diesen Prozess fort, bis eine vollständige Antwort entsteht.
  5. Umwandlung in einen lesbaren Text: Die generierten Tokens werden schließlich wieder in lesbaren Text umgewandelt und als Antwort ausgegeben. Diese Antwort basiert auf den Daten, mit denen das Modell trainiert wurde, und den spezifischen Anweisungen des Prompts. 

Konkret wird diese Technologie eingesetzt, um

  • Kommunikation zusammenzufassen.
  • Kommunikation zu unterstützen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

KI-basierte Transkription 

Gespräche bzw. das gesprochene Wort der Betroffenen werden mithilfe eines KI-Systems transkribiert. Dies verläuft in technischer Hinsicht wie folgt: 

  1. Eingabe des Audiosignals: Zunächst wird das gesprochene Wort in Form eines Audiosignals an das Transkriptionssystem übermittelt, etwa durch ein Mikrofon während eines Gesprächs oder durch das Hochladen einer Audiodatei. Das System erhält damit eine zeitliche Folge von Schallwellen, die die gesprochenen Inhalte, aber auch Hintergrundgeräusche enthalten.
  2. Umwandlung in ein Maschinenformat: Das analoge Audiosignal wird in digitale Daten umgewandelt, indem das Signal in sehr kurzen Abständen abgetastet und in Zahlenwerte (Samples) übersetzt wird. Gleichzeitig können Vorverarbeitungsschritte wie Lautstärkeanpassung, Rauschunterdrückung oder das Herausfiltern bestimmter Frequenzbereiche erfolgen, um die Sprachanteile besser erkennbar zu machen.
  3. Zerlegung in Merkmale/Tokens: Die digitale Audiospur wird in kurze Zeitabschnitte aufgeteilt, sogenannte Frames, aus denen das System charakteristische Merkmale der Sprache (z.B. Frequenzspektren) berechnet. Diese Merkmale werden in eine Form gebracht, die das KI-Modell versteht, etwa als Vektoren oder akustische „Tokens“, die Lautfolgen und Sprechrhythmen repräsentieren.
  4. Verarbeitung durch das Spracherkennungsmodell: Diese akustischen Tokens werden durch das zugrunde liegende KI-Modell geleitet, das aus vielen Schichten besteht und Zusammenhänge zwischen Lautfolgen, Silben, Wörtern und typischen Sprachmustern lernt. Schicht für Schicht ordnet das Modell die gehörten Laute wahrscheinlichen Zeichen- und Wortfolgen zu und berücksichtigt dabei auch den sprachlichen Kontext eines Satzes.
  5. Generierung der Textsequenz: Auf Basis der erkannten Muster sagt das Modell voraus, welche Buchstaben, Silben oder Wörter mit höchster Wahrscheinlichkeit zu den gehörten Lauten passen. Schrittweise entsteht so eine Textsequenz, indem das System immer wieder das nächste wahrscheinlichste Zeichen oder Wort wählt und den laufenden Satz im Kontext „mitdenkt“.
  6. Umwandlung in lesbaren Text: Die vorhergesagten Zeichen- oder Wortfolgen werden zu einem lesbaren Text zusammengefügt und als Transkript ausgegeben. Der resultierende Text basiert auf den Trainingsdaten des Spracherkennungsmodells, den erkannten akustischen Merkmalen des konkreten Audios und gegebenenfalls zusätzlichen Vorgaben, etwa zur Sprache, zum Fachvokabular oder zur gewünschten Schreibweise.
  7. Speicherung und Nutzung: Ton- und Textdateien werden gespeichert und zum Umgang mit den Betroffenen eingesetzt.

Hierbei werden folgende Daten verarbeitet: Audiodaten (gesprochenes Wort, Stimme, Tonaufnahmen, Umgebungsgeräusche), Name, gegebenenfalls weitere personenbezogene Angaben, die im Gespräch genannt werden, Kommunikationsinhalte (z.B. Gesprächsverlauf, spontane Äußerungen, Rückmeldungen, Arbeitsinhalte), Position und Kontextinformationen (Datum, Anlass, Teilnehmerkreis), Transkriptionsdaten (umgewandelter Text aus Tonspur), Metadaten zur Aufnahme (Zeitpunkt, Gerät, Dateiformat), gegebenenfalls weitere personenbezogene und/oder sensible Daten aus Gesprächsinhalten. Die Verarbeitung dient Erstellung, Speicherung, Verarbeitung und Auswertung schriftlicher Transkripte von Gesprächen zur Dokumentation, Qualitätssicherung, Nachbereitung von Besprechungen, Bewerbungs- oder Feedbackgesprächen, Erleichterung der weiteren Kommunikation und zur Unterstützung interner Abläufe in allen Phasen des Beschäftigungsverhältnisses. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

 

Empfänger

 

Behörden der Finanzverwaltung:

Als Empfängerkategorie werden die Behörden der Finanzverwaltung benannt, die zur Erfüllung rechtlicher Verpflichtungen auch personenbezogenen Daten der Betroffenen erhalten, etwa in steuerrechtlich relevanten Dokumenten.

 

Gerichte:

Als Empfängerkategorie werden Gerichte benannt, die in Wahrnehmung berechtigter Interessen der Verantwortlichen auch personenbezogenen Daten der Betroffenen erhalten, etwa in gerichtlichen Auseinandersetzungen (z.B. Schadenersatzklage, …)

 

Staatsanwaltschaften/Polizei:

Als Empfängerkategorie werden Staatsanwaltschaften/Polizei benannt, die auf Grundlage von strafprozessualen oder gefahrenabwehrrechtlichen Vorschriften heraus, Zugriff auf bestimmte Daten erhalten.

 

Microsoft:

Es werden Anwendungen der Microsoft Ireland Operations Limited (EU – Irland) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Microsoft Corporation, USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Microsoft-365 (Cloud, Software)

Microsoft-Teams (Videokonferenz)

 

Google:

Es werden Anwendungen der Google Ireland Ltd. (Irland – EU) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Google LLC in den USA) ist gemäß Artikel 45 DSGVO gerechtfertigt. Folgende Anwendungen werden eingesetzt:

Google Workspace

YouTube (Grundsatz)

Hierzu sei folgendes angemerkt: YouTube ist ein Portal, auf dem Videos gezeigt werden.

YouTube (eigener Kanal)

Hierzu sei folgendes angemerkt: Die Verantwortliche betreibt einen eigenen YouTube-Kanal.

YouTube (Medienaufnahmen)

Hierzu sei folgendes angemerkt: Die Verantwortliche veröffentlicht hier Videos, die die Betroffenen zeigen.

Google Gemini

 

OpenAI-ChatGPT:

Im Zusammenhang mit dem Einsatz künstlicher Intelligenz wird das API-Tool „OpenAI APO“ der OpenAI, LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Citrix Workspace (DATEV-Zugriff): 

Es wird die Virtualisierungs und RemoteZugriffsplattform „Citrix Workspace“ der Citrix Systems, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO unter Verwendung von Standardvertragsklauseln gerechtfertigt.“

 

Calendly:

Es wird das Terminbuchung-Tool „Calendly“ der Calendly LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Hetzner:

Es wird der Clouddienst „Hetzer“ der Hetzner Online GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

 

Datev:

Es wird das Buchhaltungs-Tool „Datev“ der Datev eG (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.

 

Zoom:

Es wird das Webinar- bzw. Videokonferenz-Tool „Zoom“ der Zoom Video Communications, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

slack:

Es wird das Kollaborations-Tool „slack“ der Slack Technologies Ireland Limited (Irland – EU) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

Trello:

Es wird das Kollaborations-Tool „Trello der Trello, Inc. (USA) eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

WhatsApp:

Es wird der Messengerdienst „WhatsApp“ der WhatsApp Ireland Limited (Irland – EU) eingesetzt. Sofern hierüber Daten verarbeitet werden, ist nicht auszuschließen, dass diese Daten an folgende Unternehmen übermittelt werden: 

Unternehmen mit Sitz in der EUMeta Platforms Ireland Limited (Irland – EU). 

Facebook Germany GmbH (Deutschland – EU) o FB Spain S.L. (Spanien – EU) 

Unternehmen mit Sitz in Ländern, für die es einen Angemessenheitsbeschluss i.S.v. Artikel 45 DSGVO gibt: 

Facebook Israel Limited (Israel)Facebook UK Limited (Vereinigtes Königreich) 

Hier ist die Übermittlung an Stellen außerhalb der EU nach Artikel 45 DSGVO gerechtfertigt.

sonstige Unternehmen mit Besonderheiten:

WhatsApp LLC (USA). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 45 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Facebook Singapur Pie Limited (Singapur). Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Singapur) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt.

Meta Platforms Inc. (USA) Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. 

Die Einzelheiten sind hier erklärt: https://www.whatsapp.com/legal/privacy-policy-eea#privacy-policy-how-we-work-with-other-meta-companies. 

 

externe Fotograf*innen:

Zur Anfertigung von Fotoaufnahmen werden externe Fotograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

externe Tondienstleister*innen:

Zur Anfertigung von Tonaufnahmen werden externe Tondienstleister*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

externe Videograf*innen:

Zur Anfertigung von Filmaufnahmen werden externe Videograf*innen eingesetzt, der gemäß Artikel 28 DSGVO beauftragt wurden. 

 

Meta:

Es wird die sozialen Netzwerke und Medien der Meta Platforms Ireland Limited (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der Meta Platforms Inc. (USA) stattfindet. Soweit die Verantwortliche und die vorgenannte Anbieterin gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen: https://www.facebook.com/legal/terms/page_controller_addendum. Dort befinden sich alle Informationen zum Anwendungsbereich und zur Aufgabenverteilung. In allen übrigen Fällen wurde die vorgenannte Anbieterin nach Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Meta Plattforms Inc. USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Folgende soziale Netzwerke, Medien und/oder Tools werden eingesetzt:

Facebook (Unternehmensseite)

Facebook (Medienaufnahmen)

Instagram (Unternehmensseite)

Instagram (Medienaufnahmen)

 

LinkedIn:

Es wird das soziale Netzwerk „LinkedIn“ der LinkedIn Ireland Unlimited Company (Irland – EU) eingesetzt. Es ist jedoch nicht auszuschließen, dass eine Datenübermittlung zur oder eine Einbindung der Muttergesellschaft, der LinkedIn Corporation (USA) stattfindet. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt. Folgende Tools werden eingesetzt:

LinkedIn (Unternehmensseite)

LinkedIn (Medienaufnahmen)

 

Vimeo (Grundsatz):

Es wird das Videowiedergabe-Tool „Vimeo“ der Vimeo, LLC (USA) eingesetzt, die nach Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. Hierbei wird folgendes eingesetzt:

Vimeo (Medienaufnahmen)

 

Memberspot:

Es wird das Webinar-Tool „Memberspot“ der Memberspot GmbH (Deutschland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. 

 

Close CRM (close.io):

Es wird das Vertriebs und CRMSystem „Close“ (close.io) der Close, Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Pusher:

Es wird der PushBenachrichtigungsdienst „Pusher“ (insbesondere Pusher Beams) der Pusher Limited (Vereinigtes Königreich) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier u.a. Vereinigtes Königreich sowie – je nach Serverstandort und eingesetzten Gateways – weitere Drittländer) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Canva:

Es wird der DesignDienst „Canva“ der Canva Pty Ltd (Australien) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier Australien und ggf. weitere Drittländer) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Claude (claude.ai) 

Es wird der KIDienst „Claude“ (claude.ai) der Anthropic PBC (USA) eingesetzt, die gemäß Artikel 28 DSGVO (Data Processing Addendum) beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und ggf. weitere Drittländer je nach gewählter Region) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

make.com:

Es wird das Schnittstellen- und Automatisierungs-Tool „make.com“ der Celonis, Inc. (USA), die nach Artikel 28 DSGVO beauftragt wurde, eingesetzt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier die USA) ist gemäß Artikel 45 DSGVO gerechtfertigt.

 

ElevenLabs: 

Es wird die KISprachplattform „ElevenLabs“ der Eleven Labs Inc. (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und ggf. weitere Drittländer gemäß Subprozessorenliste) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Twilio: 

Es werden Kommunikationsdienste der Twilio Inc. (USA) eingesetzt (z.B. Versand von SMS/EMails, Telefonie, MessagingDienste und KundendatenVerarbeitung). Twilio wurde gemäß Artikel 28 DSGVO beauftragt. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA und – je nach Subprozessoren – weitere Drittländer) ist gemäß Artikel 45, 46 DSGVO gerechtfertigt.

 

Postmark: 

Es wird der transaktionale EMailDienst „Postmark“ der AC PM LLC (USA) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde. Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier USA) ist gemäß Artikel 46 DSGVO gerechtfertigt.

 

Adobe:

Es werden Anwendungen der Adobe Systems Software Ireland Limited (Irland – EU) eingesetzt, die gemäß Artikel 28 DSGVO beauftragt wurde.  Eine nicht auszuschließende Übermittlung von Daten in ein Drittland (hier zur Adobe Inc., USA) ist bei Beschäftigtendaten gemäß Artikel 46 DSGVO und bei allen anderen Daten gemäß Artikel 45 DSGVO gerechtfertigt. 

 

Ihre Cookie-Einstellung

Ihr Cookie-Auswahl-Verlauf