Datenschutzhinweise für Nutzerinnen und Nutzer des SKWizard

Wir möchten Sie darüber informieren, welche personenbezogenen Daten wir verarbeiten, wenn Sie den KI-Assistenten „SKWizard“ nutzen. Personenbezogene Daten sind dabei nach der Datenschutz-Grundverordnung (DS-GVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z.B. Name, Kontaktdaten oder Nutzerverhalten.

Wer ist verantwortlich für die Verarbeitung Ihrer Daten?

Verantwortlicher für die Datenverarbeitung gemäß Art. 4 Abs. 7 DSGVO ist die SKW Schwarz Rechtsanwälte Steuerberater Partnerschaft mbB, Wittelsbacherplatz 1, 80333 München (nachfolgend „SKW Schwarz“).

Unseren Datenschutzbeauftragten Dr. Volker Wodianka erreichen Sie per E-Mail unter volker.wodianka@privacy-legal.de oder postalisch unter der oben angegebenen Adresse mit dem Zusatz „z. Hd. des Datenschutzbeauftragten“.

1. Datenverarbeitung bei der Anmeldung

Um den SKWizard nutzen zu können, müssen Sie sich zuerst mit Ihrem beruflich genutzten Microsoft-Konto anmelden.

(i) Zweck der Datenverarbeitung ist die Sicherstellung, dass nur Personen innerhalb des SKW Schwarz Microsoft-Tenant Zugriff auf den SKWizard haben. Eine Änderung der Zwecke ist nicht geplant.
(ii) Die verarbeiteten Daten sind Email-Adresse und Passwort.
(iii) Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse an dem Betrieb der Webseite und der Zurverfügungstellung des SKWizard ausschließlich für Beschäftigte von SKW Schwarz (Art. 6 Abs. 1 lit. f) DS-GVO).
(iv) Die Daten werden von der Nutzerin oder dem Nutzer selbst zur Verfügung gestellt.
(v) Empfänger der personenbezogenen Daten sind IT-Dienstleister, welche wir im Rahmen einer Vereinbarung zur Auftragsverarbeitung einsetzen. Empfänger der Daten im Wege der Auftragsverarbeitung ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Wir haben Microsoft angewiesen, einen europäischen Serverstandort für die Datenverarbeitung zu nutzen und Microsoft hat uns versichert, dass Zugriffe auf unseren Microsoft Azure Tenant im Rahmen des EU Data Boundary-Programms ausschließlich auf die EU begrenzt bleiben. Microsoft kann allerdings im Falle von Störungen und Fehlfunktionen auch aus so genannten Drittländern wie den USA nach Genehmigung auf die Server in Deutschland zugreifen, um Wartungsarbeiten vorzunehmen. Wir haben die Customer Lockbox aktiviert, sodass kein Zugriff ohne unsere vorherige Prüfung und Genehmigung stattfinden kann. Zudem hat Microsoft die aktuellen Standardvertragsklauseln (2021/914; Modul 2) implementiert und es liegt eine Zertifizierung der Microsoft Gesellschaften (u.a. auch der Microsoft Corporation) nach dem EU-US Data Privacy Framework vor (Art. 45 DSGVO).
(vi) Die Anmeldedaten werden 6 Monate nach Beendigung des Arbeitsverhältnisses gelöscht.
(vii) Ohne Preisgabe personenbezogener Daten ist die Anmeldung und damit Nutzung des SKWizard nicht möglich.

2. Datenverarbeitung bei der Nutzung

a) Server-Protokolldaten

Bei der Nutzung des SKWizard durch Eingabe von Prompts oder Upload von Dokumenten werden durch den auf dem Endgerät zum Einsatz kommenden Browser technisch bedingt bestimmte Informationen an den Server unserer Webseite gesendet. Diese Daten werden auf unserem Server gespeichert und verarbeitet.

(i) Zwecke der Datenverarbeitung sind die Bereitstellung der von Ihnen aufgerufenen Inhalte der Webseite, die Gewährleistung der Sicherheit der eingesetzten IT-Infrastruktur, die Fehlerbehebung und die Verwaltung von Cookies. Eine Änderung der Zwecke ist nicht geplant.
(ii) Die verarbeiteten Daten sind HTTP-Daten: Bei HTTP-Daten handelt es sich um Protokolldaten, die beim Aufruf der Webseite über das Hypertext Transfer Protocol (Secure) (HTTP(S)) technisch bedingt anfallen: Hierzu zählen IP-Adresse, Typ und Version des Internet-Browsers, verwendetes Betriebssystem, die aufgerufene Seite, die zuvor besuchte Seite (Referrer URL), die eingestellte Sprache, Datum und Uhrzeit des Aufrufs. HTTP(S)-Daten fallen auch auf Servern von unseren Dienstleistern an (z.B. beim Abruf von Drittinhalten).
(iii) Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse an dem Betrieb der Webseite (Art. 6 Abs. 1 lit. f) DS-GVO und § 25 Abs. 2 Nr. 2 TTDSG).
(iv) Die Daten werden automatisch durch den Browser der Nutzerin oder des Nutzers zur Verfügung gestellt.
(v) Empfänger der personenbezogenen Daten sind IT-Dienstleister, welche wir im Rahmen einer Vereinbarung zur Auftragsverarbeitung einsetzen. Für das Hosting setzen wir den Dienst Azure von Microsoft ein. Empfänger der Daten im Wege der Auftragsverarbeitung ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Wir haben Microsoft angewiesen, einen europäischen Serverstandort für die Datenverarbeitung zu nutzen und Microsoft hat uns versichert, dass Zugriffe auf unseren Microsoft Azure Tenant im Rahmen des EU Data Boundary-Programms ausschließlich auf die EU begrenzt bleiben. Microsoft kann allerdings im Falle von Störungen und Fehlfunktionen auch aus so genannten Drittländern wie den USA nach Genehmigung auf die Server in Deutschland zugreifen, um Wartungsarbeiten vorzunehmen. Wir haben die Customer Lockbox aktiviert, sodass kein Zugriff ohne unsere vorherige Prüfung und Genehmigung stattfinden kann. Zudem hat Microsoft die aktuellen Standardvertragsklauseln (2021/914; Modul 2) implementiert und es liegt eine Zertifizierung der Microsoft Gesellschaften (u.a. auch der Microsoft Corporation) nach dem EU-US Data Privacy Framework vor (Art. 45 DSGVO).
(vi) IP-Adressen werden spätestens nach 24 Stunden anonymisiert. Pseudonyme Nutzungsdaten werden jeweils nach Ablauf von sechs Monaten gelöscht.
(vii) Ohne Preisgabe personenbezogener Daten ist die Nutzung der Webseite nicht möglich.

b) Prompting und Dokumentenupload

Bei der Nutzung des SKWizard durch Eingabe von Prompts oder Upload von Dokumenten werden die in den Prompts und Dokumenten enthaltenen personenbezogenen Daten verarbeitet.

(i) Zweck der Datenverarbeitung ist die Bereitstellung der Funktionen des SKWizard. Eine Änderung der Zwecke ist nicht geplant.
(ii) Die verarbeiteten Daten sind die Inhalte Ihrer Prompts und hochgeladenen Dokumente, sowie der Zeitpunkt der Anfrage.
(iii) Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse an dem Betrieb der Webseite und der Zurverfügungstellung des SKWizard (Art. 6 Abs. 1 lit. f) DS-GVO).
(iv) Die Daten werden von der Nutzerin oder dem Nutzer selbst zur Verfügung gestellt.
(v) Empfänger der personenbezogenen Daten sind IT-Dienstleister, welche wir im Rahmen einer Vereinbarung zur Auftragsverarbeitung einsetzen. Empfänger der Daten im Wege der Auftragsverarbeitung ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Wir haben Microsoft angewiesen, einen europäischen Serverstandort für die Datenverarbeitung zu nutzen und Microsoft hat uns versichert, dass Zugriffe auf unseren Microsoft Azure Tenant im Rahmen des EU Data Boundary-Programms ausschließlich auf die EU begrenzt bleiben. Microsoft kann allerdings im Falle von Störungen und Fehlfunktionen auch aus so genannten Drittländern wie den USA nach Genehmigung auf die Server in Deutschland zugreifen, um Wartungsarbeiten vorzunehmen. Wir haben die Customer Lockbox aktiviert, sodass kein Zugriff ohne unsere vorherige Prüfung und Genehmigung stattfinden kann. Zudem hat Microsoft die aktuellen Standardvertragsklauseln (2021/914; Modul 2) implementiert und es liegt eine Zertifizierung der Microsoft Gesellschaften (u.a. auch der Microsoft Corporation) nach dem EU-US Data Privacy Framework vor (Art. 45 DSGVO).
(vi) Die Prompts und Dokumente werden nach 6 Monaten gelöscht.

3. Rechte der Betroffenen und weitere Angaben

(i) Wir nutzen keine Verfahren automatisierter Einzelfallentscheidungen.
(ii) Eine Änderung der vorstehend genannten Zwecke ist nicht geplant.
(iii) Sie haben das Recht, jederzeit Auskunft über alle personenbezogenen Daten zu verlangen, die wir von Ihnen verarbeiten.
(iv) Sollten Ihre personenbezogenen Daten unrichtig oder unvollständig sein, haben Sie ein Recht auf Berichtigung und Ergänzung.
(v) Sie können jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, sofern wir nicht rechtlich zur weiteren Verarbeitung Ihrer Daten verpflichtet oder berechtigt sind.
(vi) Bei Vorliegen der gesetzlichen Voraussetzungen können Sie eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
(vii) Sie haben das Recht gegen die Verarbeitung Widerspruch zu erheben, soweit die Datenverarbeitung zum Zwecke der Direktwerbung oder des Profilings erfolgt.
(viii) Erfolgt die Verarbeitung auf Grund einer Interessenabwägung, so können Sie der Verarbeitung unter Angabe von Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
(ix) Erfolgt die Datenverarbeitung auf Grundlage Ihrer Einwilligung oder im Rahmen eines Vertrages, so haben Sie ein Recht auf Übertragung der von Ihnen bereitgestellten Daten, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
(x) Sofern wir Ihre Daten auf Grundlage einer Einwilligungserklärung verarbeiten, haben Sie jederzeit das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Die vor einem Widerruf durchgeführte Verarbeitung bleibt von dem Widerruf unberührt.
(xi) Sie haben außerdem jederzeit das Recht, bei einer Aufsichtsbehörde für den Datenschutz Beschwerde einzulegen, wenn Sie der Auffassung sind, dass eine Datenverarbeitung unter Verstoß gegen geltendes Recht erfolgt ist.

Stand Juni 2024