Datenschutzerklärung

GEDOKU-KI Chatbot

Inhaltsverzeichnis

1. Einleitung 

2. Verantwortliche Stelle 

3. Erhebung und Verarbeitung von Daten 

4. Zweck der Datenverarbeitung 

5. Technisch-Organisatorische Maßnahmen 

5.1 Allgemeine Beschreibung 

5.2 Speicherorte und Datenverarbeitung 

5.3 Speicherdauer 

5.4 Zugriffs- und Zutrittskontrollen 

5.5 Automatisierte Datenlöschung 

6. Ihre Rechte 

7. Widerrufsrecht 

8. Änderungen der Datenschutzerklärung 

9. Kontakt 

1. Einleitung

Mit dieser Datenschutzerklärung informieren wir Sie als Nutzende von GEDOKU-KI über die Art, den Umfang und den Zweck der Erhebung und Verarbeitung von Daten im Zusammenhang mit der Nutzung unseres Chatbot-Dienstes (im Folgenden: "Chatbot").

Unser Chatbot kann Ihnen bei allgemeinen Fragen und Informationen bei der Gefährdungsbeurteilung weiterhelfen. Geben Sie im Chat keine personenbezogenen Daten wie z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse, Aktenzeichen oder Gesundheitsdaten ein. Das dient dem Schutz Ihrer Privatsphäre und entspricht unseren datenschutzrechtlichen Vorgaben.

Haben Sie ein konkretes Anliegen, das personenbezogene Daten erfordert?
Dann wenden Sie sich bitte direkt an uns! Unsere Mitarbeitenden helfen Ihnen gerne persönlich weiter.

2. Verantwortliche Stelle

Verantwortliche Stelle:

Verwaltungs-Berufsgenossenschaft,

Massaquoipassage 1, 22305 Hamburg

E-Mail: kundendialog@vbg.de  

Datenschutzbeauftragte:

Verwaltungs-Berufsgenossenschaft,

Massaquoipassage 1, 22305 Hamburg

E-Mail: datenschutz@vbg.de 

3. Erhebung und Verarbeitung von Daten

Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der KI-Unterstützung für die Software GEDOKU. Dabei werden folgende Datenarten erhoben und verarbeitet:

• E-Mail-Adressen: Für den Registrierungsprozess wird Ihre E-Mail-Adresse temporär verarbeitet, um die Erstellung Ihres Nutzerkontos (“Account”) abzuschließen. Nach der Sendung einer Aktivierungsmail (mitsamt optionaler “Passwort vergessen” und “Account-Löschen” Links) wird Ihre E-Mail-Adresse vollständig und unwiederbringlich gelöscht. Die E-Mail-Adresse wird zu keinem Zeitpunkt auf den GEDOKU-KI-Systemen persistiert.
• IP-Adresse: Zum Schutz der Plattform vor Missbrauch werden IP-Adressen für die Dauer von einer Minute automatisch verarbeitet und vorgehalten. Eine permanente Speicherung findet nicht statt.
• Logdaten: Zur Verbesserung der Systemperformance werden Logdaten erhoben, diese bestehen aus anonymisierten oder pseudonymisierten Daten. Zu keinem Zeitpunkt werden Personendaten oder sonstige Sozialdaten als Logdaten erhoben. Die Speicherung der erfolgt somit ohne Rückschlussmöglichkeit auf das Individuum oder erschwert diese zumindest erheblich. Folgende Logdaten werden erhoben:

• Uhrzeit von KI-Anfragen auf die Stunde genau, um die Gesamtzahl der eingegangenen Nachrichten pro Stunde (über alle Nutzenden hinweg) zu erfassen. Ebenfalls die Erfassung der Gesamtzahl der Nachrichten (über alle Nutzer hinweg)  pro Tag, Woche, Monat und Jahr.
• Antwortzeit von KI-Anfragen in Sekunden, um zu messen, wie schnell die KI Anfragen beantwortet.
• Systemauslastung der Hardware, d.h. Arbeitsspeicher-, CPU- und GPU-Auslastung zu Optimierungszwecken sowie Abschätzung des Energieverbrauchs.
• Technische Logdaten, um die Stabilität des Systems zu messen. Dazu gehören unter Anderem Metriken wie der durchschnittliche “package loss” (also die Erfassung von Fehlerfällen in der Netzwerkkonnektivität), generelle Metriken zur Geschwindigkeit des internen Netzwerks sowie Uplinks, Gesamtzahl aktiver Netzwerkverbindungen, Systemfehler im Softwarecode und mehr. Keine dieser technischen Logdaten enthalten Personen- oder Sozialdaten und sind entweder vollständig anonymisiert, ohne jedwede Möglichkeit des Rückschlusses auf die Nutzenden oder von Natur aus reine Hard-/Softwaredaten, welche den Systemstatus messen und keinerlei Daten der Nutzenden enthalten.

• Interaktionsdaten: Aus Gründen der Nutzerfreundlichkeit werden grundsätzlich alle Chat-Konversationen und Suchanfragen (Benutzereingabe und Chatbot-Antwort) gespeichert. Diese können Sie jederzeit als gesamte Konversationshistorie löschen oder nur einzelne Konversationen.
  Ihre Konversationsdaten werden nicht für KI-Training o.Ä. Zwecke genutzt und stets sicher gespeichert. Außer durch die optionale Feedback-Funktion findet keinerlei automatische oder manuelle Auswertung der Daten statt - die Daten werden ausschließlich zur Bereitstellung der Konversationshistorie für den Nutzenden selbst vorgehalten.
• Feedback: Sie können uns jederzeit freiwillig und optional Feedback geben (über einen Klick auf die Buttons “Daumen hoch” bzw. “Daumen runter”). Zur Auswertung dieses Feedbacks wird nur die Bewertung der KI-Nachricht und die KI-Nachricht selbst gespeichert.
  Optional können Sie per “Feedback geben” Button einen Feedback-Kommentar übermitteln, in diesem Fall wird die gesamte Konversation gespeichert und samt Feedback an uns übermittelt sowie manuell gesichtet. Vor jeder automatisierten Nutzung (z.B. KI-Training) werden Feedback-Daten anonymisiert. Ein KI-Training findet abgesehen von dieser Feedback-Funktion mit keinerlei Daten der Nutzenden statt.

Rechtsgrundlage

Die Verarbeitung der E-Mail-Adresse erfolgt auf Grundlage Ihrer Einwilligung (Artikel 6 Abs. 1 1. Unterabsatz Buchstabe a) DSGVO).

Die Verarbeitungen zur technischen Kommunikation und der Logdaten erfolgt auf Grundlage des Artikels 6 Abs. 1 1. Unterabsatz Buchstabe e) DSGVO in Verbindung mit § 199 SGB VII.

4. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

• Um den Chatbot vor missbräuchlicher Nutzung zu schützen:
  Die IP-Adresse (siehe Abschnitt 3) wird nur temporär für bis zu 1 Minute verarbeitet und niemals dauerhaft gespeichert.
• Um die Nutzererfahrung zu verbessern:
  Optional und freiwillig übermitteltes Feedback wird (siehe Abschnitt 3) manuell begutachtet und eventuell für KI-Training verwendet, um die Funktionalität des Chatbots zu optimieren.
• Um erforderliche rechtliche Verpflichtungen zu erfüllen.

Empfänger der Daten

Die Daten werden ausschließlich innerhalb der Organisation und ggf. mit unseren IT-Dienstleistern verarbeitet, die zur Verschwiegenheit verpflichtet und datenschutzrechtlich vertraglich gebunden sind.

Darüber hinaus werden Daten an Dritte nur übermittelt, soweit wir gesetzlich oder durch Gerichtsentscheidung dazu verpflichtet sind oder die Weitergabe im Falle von Angriffen zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe zu anderen nichtkommerziellen oder zu kommerziellen Zwecken erfolgt nicht.

5. Technisch-Organisatorische Maßnahmen

5.1 Allgemeine Beschreibung

• Verantwortlichkeit: Die Verantwortung für die Entwicklung und Bereitstellung der GEDOKU-KI liegt bei HITeC e.V., das im Auftrag der VBG den Chatbot-Dienst entwickelt.
• Der Dienst wird über eine API bereitgestellt und auf Servern gehostet, die von HITeC e.V. im Auftrag der VBG verwaltet werden.

5.2 Speicherorte und Datenverarbeitung

• Alle gespeicherten Daten sowie die Übertragung zwischen Systemen erfolgen verschlüsselt (über SSL/TLS und Sicherheitsmaßnahmen der Hetzner Server).
• Die Server werden ausschließlich innerhalb von Deutschland gehostet. Ruhedaten sind nach gängigen Sicherheitsstandards verschlüsselt.
• Sämtliche Logdaten werden ausreichend anonymisiert oder pseudonymisiert bzw. anderweitig unkenntlich gemacht, sodass eine Zurückverfolgung von individuellem Nutzerverhalten explizit ausgeschlossen ist.

5.3 Speicherdauer

Die Daten werden so lange gespeichert, wie es für die genannten Zwecke und zur Aufgabenerfüllung einschließlich der Erfüllung der gesetzlichen, satzungsmäßigen oder vertraglichen Aufbewahrungsverpflichtungen erforderlich ist:

• Die E-Mail-Adressen werden zur einmaligen Sendung der Registrierung des entsprechenden Nutzerkontos (“Account”) verarbeitet und direkt nach dem Registrierungsprozess wieder gelöscht.
• IP-Adressen werden zum Schutz der Plattform automatisch verarbeitet und für die Dauer von bis zu einer Minute gespeichert. Eine permanente Speicherung findet unter keinem Umstand statt.

5.5 Zugriffs- und Zutrittskontrollen

HITeC e.V. verwendet ein rollenbasiertes Zugriffssystem nach dem „Need-to-Know“-Prinzip, das sicherstellt, dass nur befugtes Personal Zugang zu sensiblen Daten hat.

5.6 Automatisierte Datenlöschung

HITeC e.V. löscht alle mit einem Account verknüpften Daten sowie den Account selbst nach einer Inaktivität von 180 Tagen automatisch. Jede Aktivität in “GEDOKU-KI” setzt den Inaktivitätszähler zurück.

6. Ihre Rechte

Sie haben das Recht:

• gemäß Art. 15 DSGVO Auskunft über Ihre Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, verlangen;
• gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
• gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
• Möchten Sie von Ihren Betroffenenrechten Gebrauch machen, können Sie Ihre Anfrage an die nachfolgende E-Mail richten: datenschutz@vbg.de  
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
• Möchten Sie Ihre Einwilligung widerrufen, können Sie Ihren Widerruf an die nachfolgende E-Mail richten: kundendialog@vbg.de . 
• gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die BfDI wenden:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Graurheindorfer Straße 153

53117 Bonn

Tel. 0228 997799-0

Fax 0228 997799-5550

www.bfdi.bund.de  

7. Widerrufsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an kundendialog@vbg.de . 

8. Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit anzupassen. Die jeweils aktuelle Version kann auf unserer Website eingesehen werden.

9. Kontakt

Für Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte können Sie uns unter den oben angegebenen Kontaktdaten erreichen.

Stand: 30.09.2025