Datenschutzrichtlinie für die Nutzung des OpenAI GPT-Systems zur Durchführung anonymer Befragungen
(infofeld GmbH)
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Zusammenhang mit der Nutzung des KI-gestützten Befragungssystems (OpenAI GPT) ist:
infofeld GmbH
Wiesenstr. 1
91757 Treuchtlingen
(nachfolgend „wir“ oder „infofeld GmbH“)
Falls ein/e Datenschutzbeauftragte/r bestellt ist:
Datenschutzbeauftragte/r:
[Name, Adresse, E-Mail des/der Datenschutzbeauftragten einfügen]
2. Zweck und Funktionsweise der Datenverarbeitung
Wir nutzen ein KI-gestütztes Chat-System (OpenAI GPT), um anonyme Befragungen durchzuführen.
Die Funktionsweise ist wie folgt:
1. Sie geben Ihre Antworten im Chat-System ein.
2. Das System verarbeitet Ihre Eingaben (z. B. zur Strukturierung, Zusammenfassung oder Kategorisierung).
3. Über eine REST-Schnittstelle werden die Inhalte der Befragung
* ohne Nennung Ihres Namens oder anderer direkt identifizierbarer Daten
* per E-Mail an die auswertende Organisation übermittelt.
4. Die auswertende Organisation wertet die Ergebnisse in aggregierter oder inhaltlich strukturierter Form aus.
Die Befragung ist darauf ausgelegt, keine personenbezogenen Daten zu erheben. Bitte geben Sie daher keine Angaben ein, anhand derer Sie direkt identifiziert werden können (z. B. Name, Adresse, Telefonnummer, E-Mail, Personalnummer, konkrete Einzelpersonen in Freitextfeldern).
Sollten Sie dennoch freiwillig personenbezogene Angaben machen, gelten die folgenden Hinweise.
3. Kategorien verarbeiteter Daten
3.1 Befragungsinhalte (Freitext / Auswahlantworten)
– Ihre Antworten in der Befragung (z. B. Bewertungen, Kommentare, Vorschläge).
– Die Fragen sind so gestaltet, dass keine Identifikation Ihrer Person erforderlich ist.
3.2 Technische Nutzungsdaten (abhängig von Ihrer Nutzung/Umgebung)
Je nach Systemkonfiguration können zusätzlich beispielsweise verarbeitet werden:
– Datum und Uhrzeit der Nutzung
– technische Kennungen (z. B. Session-ID)
– ggf. IP-Adresse und Geräteinformationen auf Serverebene (Logs)
Diese Daten werden hauptsächlich für Betriebssicherheit, Fehleranalyse und IT-Sicherheit verwendet und nicht zur Auswertung Ihrer individuellen Antworten genutzt.
4. Rechtsgrundlage der Verarbeitung
Soweit im Einzelfall doch personenbezogene Daten verarbeitet werden, erfolgt dies – je nach Ausgestaltung des konkreten Projekts – insbesondere auf folgender Grundlage:
– Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), wenn Sie vor Teilnahme ausdrücklich in die Verarbeitung einwilligen (z. B. Einwilligungstext vor Start der Befragung), oder
– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) auf Grundlage unseres berechtigten Interesses bzw. des berechtigten Interesses der auswertenden Organisation an der Durchführung von Befragungen zur Qualitätssicherung, Organisationsentwicklung, Produkt- oder Dienstleistungsverbesserung.
Sofern im konkreten Projekt eine andere Rechtsgrundlage einschlägig ist (z. B. Art. 6 Abs. 1 lit. b DSGVO im Rahmen eines Vertragsverhältnisses), wird hierauf gesondert hingewiesen.
5. Empfänger der Daten / Kategorien von Empfängern
Im Rahmen der beschriebenen Verarbeitung können Daten an folgende Empfänger übermittelt werden:
1. Auswertende Organisation
– Erhält die Inhalte der Befragung per E-Mail, ohne dass hierfür Ihr Name oder andere direkt identifizierende Daten erforderlich sind.
– Nutzt die Daten zur Auswertung und Berichterstellung.
2. OpenAI (Bereitsteller des GPT-Systems)
– Für den Betrieb des KI-Systems werden Ihre Eingaben an den Anbieter OpenAI (bzw. dessen Unterauftragsverarbeiter) übermittelt.
– Es besteht mit OpenAI ein Vertrag zur Auftragsverarbeitung bzw. eine datenschutzkonforme Vereinbarung gemäß DSGVO.
3. E-Mail- und IT-Dienstleister
– Zur Versendung der E-Mails an die auswertende Organisation sowie zum Hosting und Betrieb der Systeme können externe Dienstleister (z. B. Rechenzentrums-, E-Mail- oder Cloud-Provider) eingesetzt werden.
– Diese Dienstleister handeln auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO.
Eine Übermittlung an weitere Dritte erfolgt nur, sofern wir hierzu gesetzlich verpflichtet sind oder Sie ausdrücklich eingewilligt haben.
6. Datenübermittlung in Drittländer
Im Zusammenhang mit der Nutzung des OpenAI-Dienstes sowie ggf. weiterer IT-Dienstleister kann eine Verarbeitung von Daten in einem Drittland (z. B. USA) erfolgen.
In diesen Fällen stellen wir sicher, dass geeignete Garantien im Sinne der Art. 44 ff. DSGVO bestehen, z. B.:
– Angemessenheitsbeschluss der EU-Kommission und/oder
– Abschluss von Standardvertragsklauseln (SCC) mit zusätzlichen Schutzmaßnahmen.
Hinweise zu den konkret eingesetzten Dienstleistern und den jeweils geltenden Garantien können auf Anfrage bereitgestellt werden.
7. Speicherdauer
– Befragungsdaten:
Die Inhalte der Befragung werden solange gespeichert, wie dies für die Auswertung, Berichterstellung und ggf. anschließende Maßnahmen erforderlich ist. Anschließend werden die Daten gelöscht oder so anonymisiert, dass eine Zuordnung zu einer Person nicht mehr möglich ist.
– Technische Nutzungsdaten / Logdaten:
Diese werden in der Regel kurzfristig gespeichert und nach Ablauf angemessener Fristen (z. B. 7–90 Tage, abhängig von der Sicherheitskonfiguration) gelöscht, sofern keine längere Aufbewahrung aus Sicherheits- oder Beweiszwecken erforderlich ist.
Konkrete Fristen können abhängig vom jeweiligen Projekt und den Anforderungen der auswertenden Organisation variieren.
8. Pflicht zur Bereitstellung von Daten
Die Teilnahme an der Befragung ist grundsätzlich freiwillig. Sie sind nicht verpflichtet, Angaben zu machen. Wenn Sie keine Daten bereitstellen, können Sie allerdings nicht an der Befragung teilnehmen oder Ihre Antworten nicht berücksichtigt werden.
Bitte geben Sie keine personenbezogenen Daten an, sofern diese für die Befragung nicht ausdrücklich erforderlich sind.
9. Ihre Rechte als betroffene Person
Soweit wir oder die auswertende Organisation personenbezogene Daten verarbeiten und eine Identifizierung Ihrer Person möglich ist, haben Sie nach der DSGVO insbesondere folgende Rechte:
– Auskunft (Art. 15 DSGVO):
Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten und ggf. welche.
– Berichtigung (Art. 16 DSGVO):
Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
– Löschung (Art. 17 DSGVO):
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
– Einschränkung der Verarbeitung (Art. 18 DSGVO)
– Datenübertragbarkeit (Art. 20 DSGVO), sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.
– Widerspruch (Art. 21 DSGVO):
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen eine Verarbeitung widersprechen, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt ist.
Bitte beachten Sie: Wenn die Befragung tatsächlich vollständig anonym erfolgt und keine Zuordnung zu Ihrer Person möglich ist, können wir Ihre Antworten nicht einer bestimmten Person zuordnen. In diesem Fall können bestimmte Rechte (z. B. Auskunft, Löschung bezogen auf eine konkrete Person) faktisch nicht umgesetzt werden.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Ziffer 1 genannten Kontaktdaten.
10. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
11. Automatisierte Entscheidungsfindung / Profiling
Im Rahmen der beschriebenen Befragung findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Das eingesetzte KI-System (OpenAI GPT) dient ausschließlich der technischen Unterstützung (z. B. Generierung, Strukturierung oder Zusammenfassung von Texten). Entscheidungen mit rechtlicher oder erheblicher tatsächlicher Wirkung werden nicht automatisiert auf Basis der Befragungsergebnisse getroffen.
12. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Missbrauch, unberechtigtem Zugriff oder Offenlegung zu schützen, unter anderem:
– Übertragung der Daten per verschlüsselter Verbindung (HTTPS/TLS) über die REST-Schnittstelle
– Sicherung der E-Mail-Kommunikation mittels gängiger Verschlüsselungsstandards (TLS)
– Zugriffs- und Berechtigungskonzepte
– Regelmäßige Überprüfung der eingesetzten Systeme und Prozesse.
13. Aktualität und Änderung dieser Datenschutzhinweise
Diese Datenschutzhinweise können von Zeit zu Zeit angepasst werden, z. B. bei Änderungen der eingesetzten Technologien, der Rechtslage oder unserer Prozesse.
Die jeweils aktuelle Fassung ist unter [URL einfügen] einsehbar oder wird Ihnen im Rahmen der Befragung zur Verfügung gestellt.
Hinweis:
Dieser Text stellt ein allgemeines Muster dar und ersetzt keine individuelle Rechtsberatung. Je nach konkretem Einsatzszenario, Vertragssituation (z. B. mit OpenAI und der auswertenden Organisation) und nationalen Besonderheiten sollte eine rechtliche Prüfung und Anpassung erfolgen.
