Datenschutzrechtliche Information für die Nutzung von KI

Datenschutzhinweis nach Art. 13, 14 DSGVO zur Verarbeitung von personenbezogenen Daten im Rahmen einer Meeting-Aufzeichnung, Transkription und KI-Zusammenfassung 

1. Name und Kontaktdaten des Verantwortlichen 

AOK Systems GmbH
Kortrijker Straße 1
53117 Bonn
Tel.: 0228 843 0

2. Name und Kontaktdaten des Datenschutzbeauftragten 

Fragen zur Verarbeitung Ihrer persönlichen Daten können Sie gerne an unseren Daten-schutzbeauftragten richten. Über den folgenden Link können Sie unseren Datenschutzbeauftragten Winfried Jonas kontaktieren. 

3. Welche Datenkategorien nutzen wir und woher stammen diese? 

Zu den verarbeiteten Kategorien personenbezogener Daten im Rahmen der Meetingaufzeichnung, Transkription und KI-Zusammenfassung gehören: Name, Aufzeichnung des Bildes (und damit die Aufzeichnung Ihrer Person), Aufzeichnung Ihrer Stimme.  

Ferner werden bei der Nutzung von Microsoft Teams systemseitig folgende personenbezogenen Daten erhoben: IP-Adresse, E-Mail-Adresse, Name, Logfiles, Protokolldaten, Metadaten (z. B. IP-Adresse, Zeitpunkt der Teilnahme, usw.), Profildaten (z. B. ihr Nutzername, wenn Sie diesen von sich aus angeben). 

4. Rechtsgrundlage und Zweck der Datenverarbeitung 

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie aller weiteren maßgeblichen Gesetze (z. B. BetrVG, ArbZG, etc.).  

Die Datenverarbeitung beruht auf der von Ihnen erteilten, jederzeit für die Zukunft widerrufbaren Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO. Wir weisen Sie ausdrücklich darauf hin, dass Ihre Einwilligung freiwillig ist. Sollte die Einwilligung nicht erteilt werden, entstehen Ihnen keinerlei Nachteile. 

Sie haben zu jeder Zeit die Möglichkeit Ihre Einwilligung für die Zukunft zu widerrufen. 

Die Datenverarbeitungen der systemseitig erhobenen Daten führen wir ferner aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 S.1 lit. f DSGVO durch. Unser berechtigtes Interesse für die Datenverarbeitung lautet: Nutzung von Microsoft Teams zur internen und externen Kommunikation. 

5. Datenzugriff  

Zugriff auf die Aufzeichnung, Transkription und Zusammenfassung haben ausschließlich Teilnehmende des Meetings. 

6. Betroffenenrechte  

Sie können unter der o.g. Adresse Auskunft über die zu Ihrer Person gespeicherten Daten verlangen. Darüber hinaus können Sie unter bestimmten Voraussetzungen die Berichtigung oder die Löschung Ihrer Daten verlangen. Ihnen kann weiterhin ein Recht auf Einschränkung der Verarbeitung Ihrer Daten sowie ein Recht auf Herausgabe der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zustehen. 

Zur Wahrnehmung der Rechte können Sie sich an den oben genannten Verantwortlichen im Unternehmen oder den Datenschutzbeauftragten wenden. Zudem besteht ein Beschwerderecht bei der Datenschutzaufsichtsbehörde. 

7. Speicherung Ihrer Daten  

Transkriptionen werden nach Ablauf von 30 Tagen automatisch gelöscht. 

Zusammenfassungen werden nach Ablauf von 180 Tagen automatisch gelöscht. 

Eine dauerhafte Speicherung der Audio und Videodaten findet nicht statt. Diese werden nur für die Dauer der Besprechung verarbeitet. Mit Beendigung der Teams Besprechung werden diese gelöscht. 

8. Datenübermittlung  

Für die Aufzeichnung, Transkription und Zusammenfassung verwenden wir Teams sowie Copilot. Microsoft Teams/Copilot ist Teil von Microsoft 365. Microsoft Teams ist eine Produktivitäts-, Kollaborations- und Austauschplattform für einzelne Nutzer, Teams, Communities und Netzwerke, die Unternehmensverband übergreifend eingesetzt wird. Dieses beinhaltet unter anderem eine Videokonferenzfunktion. Microsoft Copilot ist eine KI-gestützte Assistenz, die in Anwendungen wie Microsoft 365 integriert ist, um produktiveres Arbeiten zu ermöglichen. Es hilft dabei, Aufgaben wie Textgenerierung, Datenanalyse und Automatisierung direkt in vertrauten Tools wie Word, Excel und Teams zu erledigen. 

Microsoft 365 ist eine Software der Firma:  

Microsoft Ireland Operations Limited 
One Microsoft Place 
South County Business Park 
Leopardstown 
Dublin 18 
D18 P521 
Ireland 

Microsoft Teams und Copilot sind Teil der Cloud-Anwendung Microsoft 365, für welches ein Nutzerkonto erstellt werden muss. 

Die Datenverarbeitung mit Microsoft 365 erfolgt auf Servern in Rechenzentren in der Europäischen Union in Frankfurt am Main.  Hierzu haben wir mit Microsoft eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen. Demgemäß haben wir für Microsoft 365 umfangreiche technische und organisatorische Maßnahmen mit Microsoft vereinbart, die dem aktuell geltenden Stand der Technik der IT-Sicherheit z.B. hinsichtlich Zugriffsberechtigungs- und Ende-zu-Ende-Verschlüsselungskonzepten für Datenleitung, Datenbanken und Server entsprechen. 

Für den Fall des Zugriffs durch Microsoft von außerhalb der Europäischen Union im von uns genehmigten Einzelfall haben wir EU-Standardverträge (Standarddatenschutzklauseln) mit Microsoft abgeschlossen. Diese beinhalten die EU Data Boundary die eine Datenübertragung ins Nicht-EU-Ausland ausschließt. Um ein angemessenes Datenschutzniveau beim Transfer personenbezogener Daten in ein Drittland wie die USA in diesem konkreten Fall zu garantieren, haben wir, wie oben beschrieben, ergänzende Maßnahmen in Form dem Stand der Technik entsprechender technischer und organisatorischer Maßnahmen wie z.B. Zugriffsberechtigungs- und Verschlüsselungskonzepte für Datenleitungen, Datenbanken und Server implementiert. 

Diese Sicherheit gewährleisten wir durch Einsatz folgender Maßnahmen: 

Customer Lockbox 

Zweck: Schützt vor unkontrolliertem Zugriff durch Microsoft-Mitarbeiter im Supportfall. 

Funktionsweise: Wenn ein Microsoft-Techniker zur Fehlerbehebung Zugriff auf Kundendaten benötigt (z.B. Exchange Online, SharePoint, Teams), muss er eine Lockbox-Anfrage stellen. Diese Anfrage wird zunächst intern geprüft. Erst nach der expliziten Genehmigung im Admin-Portal erhält der Techniker Zugriff – und nur für einen begrenzten Zeitraum. Dies findet im 4 Augen Prinzip für einen auf die Tätigkeit begrenzten Zeitraum statt (i.d.R. wenige Stunden). Dies ist Bestandteil unserer Microsoft Lizenz.

Customer Key 

Zweck: Zusätzliche Verschlüsselungsebene für ruhende Daten in Microsoft 365 (Exchange, SharePoint, OneDrive, Teams). 

Funktionsweise: Neben der Standardverschlüsselung werden eigene Verschlüsselungsschlüssel verwendet und verwaltet. Diese Schlüssel liegen im Azure Key Vault und werden genutzt, um unsere Daten zu verschlüsseln. Microsoft muss explizit durch einen Administrator der AOK Systems autorisiert werden, die Schlüssel zu verwenden um Zugriff zu erhalten. Damit erfüllen wir die Compliance-Anforderungen, volle Kontrolle über die Stammverschlüsselungsschlüssel auszuüben. Bei Widerruf der Schlüssel erfolgt eine kryptografische Löschung deiner Daten.

Microsoft behält sich vor, Kundendaten zu eigenen legitimen Geschäftszwecken zu verarbeiten. Auf diese Datenverarbeitungen von Microsoft haben wir keinen Einfluss. In dem Umfang, in dem Microsoft Teams personenbezogene Daten in Verbindung mit den legitimen Geschäftszwecken verarbeitet, ist Microsoft unabhängiger Verantwortlicher für diese Datenverarbeitungstätigkeiten und als solcher verantwortlich für die Einhaltung aller geltenden Datenschutzbestimmungen. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die entsprechende Erklärung von Microsoft einzusehen.  

Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot
Microsoft-Datenschutzbestimmungen – Microsoft-Datenschutz 

9. Verpflichtung zur Datenbereitstellung  

Teilnehmer sind nicht verpflichtet, ihre Daten im Rahmen der Aufzeichnung, Transkription und KI-Zusammenfassung bereitzustellen. 

10. Automatisierte Entscheidungsfindung einschließlich Profiling 

Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.