# Datenschutzerklärung – Meeting Summarizer **Gültig ab:** April 2026 **Verantwortliche Stelle:** Technische Hochschule Lübeck **Zuletzt geändert:** 23. April 2026 --- ## 1. Zweck und Rechtsgrundlage der Datenverarbeitung Der Meeting Summarizer ist ein webbasiertes Tool zur Transkription und Zusammenfassung von Meetings, das innerhalb der Infrastruktur der Technischen Hochschule Lübeck (TH Lübeck) betrieben wird. ### 1.1 Verarbeitungszwecke - Aufzeichnung und Transkription von Meetings mittels automatischer Spracherkennungstechnologie (Whisper) - Automatische Zusammenfassung von Transkripten mittels künstlicher Intelligenz - Faktenprüfung durch automatisierte KI-Verarbeitung (optional) - Versand von Zusammenfassungen per E-Mail an autorisierte Empfänger (optional) - Aufbewahrung von Transkripten und Zusammenfassungen während einer Arbeitssitzung ### 1.2 Rechtsgrundlage (DSGVO) - **Art. 6(1)(a) DSGVO:** Explizite, informierte Zustimmung aller Meeting-Teilnehmenden - **Art. 6(1)(f) DSGVO:** Berechtigtes Interesse der TH Lübeck an effizienter Dokumentation - **Art. 6(1)(c) DSGVO:** Erfüllung gesetzlicher Aufbewahrungspflichten (falls anwendbar) **Wichtiger Hinweis:** Die Aufzeichnung eines Meetings setzt voraus, dass **alle Teilnehmenden** vor Aufzeichnungsbeginn ausdrücklich, informiert und schriftlich zugestimmt haben. Der Meeting Summarizer erfasst diese Einwilligung nicht technisch – dies ist Aufgabe des Meeting-Organisators. --- ## 2. Umfang der Datenverarbeitung ### 2.1 Im Standardbetrieb (lokal) Die folgenden Daten werden erfasst und **ausschließlich lokal** verarbeitet: | Datentyp | Details | |---|---| | **Audiodaten** | Audiostrom der Aufnahme (während Session im RAM/Temp-Speicher) | | **Transkript** | Text aus automatischer Spracherkennung (während Session gespeichert) | | **Zusammenfassung** | KI-generierte Zusammenfassung (während Session gespeichert) | | **Faktenbehauptungen** | Extrahierte Aussagen zur KI-Verifikation (nur wenn aktiviert, nicht persistent) | ### 2.2 Optionale externe Verarbeitung #### Option 1: AssemblyAI-Transkription Falls ein Nutzer die Option "AssemblyAI" in der Transkriptionseinstellung wählt: - Die **Audio-Rohdaten werden an AssemblyAI Inc. (USA) übertragen** - AssemblyAI ist als Auftragsverarbeiter tätig unter Standard Contractual Clauses (SCCs) - Siehe Abschnitt 4: [Datenempfänger](#4-empfänger-und-weitergabe-an-dritte) #### Option 2: Internet-Faktenprüfung Falls die Option "Mit Internetsuche (extern)" für den Fakten-Checker aktiviert ist: - Transkriptausschnitte werden an **DuckDuckGo (https://html.duckduckgo.com)** zur Web-Suche gesendet - Der Suchtext kann personenbezogene Daten enthalten - Siehe Abschnitt 4: [Datenempfänger](#4-empfänger-und-weitergabe-an-dritte) --- ## 3. Speicherdauer | Datentyp | Speicherdauer | Ort | |---|---|---| | Audio-Rohdaten | Während Session (~RAM/Temp) | Lokaler Server / Client | | Transkript | Während Session (bis "Meeting neu starten") | Browser-LocalStorage / Server-RAM | | Zusammenfassung | Während Session (bis "Meeting neu starten") | Browser / Server-RAM | | E-Mail-Logs | Nicht persistiert | Nur console.log | | Audit-Logs | Keine (zukünftig geplant) | – | **Wichtig:** Es gibt **kein zentrales Logging** von Anfragen oder Daten. Nach Beendigung einer Session werden alle Daten automatisch verworfen, sofern sie nicht manuell als Download exportiert werden. Exportierte Dateien (.md, E-Mail-Versand) unterliegen der Kontrolle des Empfängers und sind nicht Verantwortung der TH Lübeck. --- ## 4. Empfänger und Weitergabe an Dritte ### 4.1 Empfänger INNERHALB der TH Lübeck - **IT-Infrastruktur-Team:** Zur Verwaltung der Server (models.mylab.th-luebeck.dev) - **Administratoren:** Für Wartung und Fehlerbehandlung - **Betroffene Nutzer:** Die, die die Zusammenfassung manuell als Download exportieren oder per E-Mail versenden ### 4.2 Empfänger AUSSERHALB der TH Lübeck - **E-Mail-Empfänger:** Falls der Nutzer die Zusammenfassung per E-Mail versendet (Nutzer-Kontrolle) - **AssemblyAI Inc. (USA):** Falls "AssemblyAI"-Engine gewählt wird → Audio-Upload - **Rechtsgrundlage:** Standard Contractual Clauses (SCCs) gemäß GDPR/Schrems II - **Verarbeitungsabkommen:** Data Processing Agreement vorhanden - **Kontakt:** support@assemblyai.com - **DuckDuckGo:** Falls Internet-Faktenprüfung aktiviert wird → Suchanfragen - **Rechtsgrundlage:** Nutzer-Opt-In erforderlich (Consent-Warnung) - **Verarbeitungsabkommen:** Keine formale DPA, aber privacy-policy: https://duckduckgo.com/privacy - **Kontakt:** privacy@duckduckgo.com ### 4.3 KEINE Weitergabe an - Unternehmensanalysten - Marketingpartnern - Regierungsbehörden (außer bei rechtskräftiger Aufforderung) - KI-Trainingssystemen (lokale Modelle verwenden nur Session-Daten) --- ## 5. Rechte der Betroffenen Gemäß DSGVO haben Sie folgende Rechte: ### 5.1 Auskunftsrecht (Art. 15 DSGVO) Sie können eine Auskunft anfordern, welche personenbezogenen Daten über Sie gespeichert sind. Da der Meeting Summarizer **kein zentrales Logging** führt, ist die Auskunft auf die aktuelle Session begrenzt. **Antrag richten an:** datenschutz@th-luebeck.de ### 5.2 Berichtigungsrecht (Art. 16 DSGVO) Sie können fehlerhafte oder unvollständige Daten korrigieren. - Transkripte können direkt im Tool bearbeitet werden - Exportierte Dateien können manuell korrigiert werden ### 5.3 Löschungsrecht (Art. 17 DSGVO – "Recht auf Vergessenwerden") - **Während Session:** Klick auf "Meeting neu starten" löscht alle Daten - **Exportierte Dateien:** Sie müssen manuell von Ihrem Gerät gelöscht werden - **E-Mail-versandte Daten:** Der Empfänger ist für Löschung verantwortlich - **Serverlogs:** Werden automatisch nach 90 Tagen gelöscht (zukünftig implementiert) ### 5.4 Widerspruchsrecht (Art. 21 DSGVO) Sie können der Verarbeitung für bestimmte Zwecke widersprechen: - Internet-Faktenprüfung: Deaktivieren Sie "Mit Internetsuche (extern)" - AssemblyAI: Wechseln Sie zurück zu "Whisper (lokal)" ### 5.5 Einschränkungsrecht (Art. 18 DSGVO) Sie können verlangen, dass Ihre Daten eingeschränkt werden ("Blockierung"). Kontaktieren Sie datenschutz@th-luebeck.de. ### 5.6 Datenübertragbarkeit (Art. 20 DSGVO) Sie können Ihre Daten in einem strukturierten, gängigen Format (z.B. .md-Export) erhalten und an andere Systeme portieren. --- ## 6. Sicherheitsmaßnahmen ### 6.1 Technische Maßnahmen - **Authentifizierung:** Zugriff nur innerhalb TH-Netzwerk (falls konfiguriert) - **Verschlüsselung in Transit:** HTTPS/TLS für alle API-Requests - **Verschlüsselung in Rest:** Keine (Daten werden nicht persistent gespeichert) - **Container-Isolation:** Docker-Container läuft mit eingeschränkten Rechten (non-root User) - **Temp-Datei-Handling:** Audio-Temporärdateien werden nach Verarbeitung sofort gelöscht - **SMTP-Verschlüsslung:** E-Mail-Versand erfordert STARTTLS oder TLS (konfigurierbar) ### 6.2 Organisatorische Maßnahmen - **Zugriffskontrolle:** Nur befugte IT-Mitarbeiter haben Zugriff auf Server-Logs - **Audit-Trail:** Minimales Logging zur Compliance (zukünftig erweitert) - **Schulung:** Administratoren werden in Datenschutz geschult - **Incident Response:** Datenschutzverletzungen werden gemäß DSGVO Art. 33 innerhalb von 72h gemeldet --- ## 7. Datenschutzverantwortlicher und Kontakt **Verantwortliche Stelle (Data Controller):** ``` Technische Hochschule Lübeck Dekan des Fachbereichs / IT-Leiter Mönkhofer Weg 239 23562 Lübeck, Deutschland ``` **Datenschutzbeauftragte/r (Data Protection Officer – DPO):** ``` E-Mail: datenschutz@th-luebeck.de Telefon: +49 451 300-68xx (siehe Webseite) ``` **Für Fragen zum Meeting Summarizer:** ``` E-Mail: niklas.beuter@th-luebeck.de ``` **Ihre Rechte bei der Aufsichtsbehörde (Art. 77 DSGVO):** ``` Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel, Deutschland E-Mail: mail@datenschutzzentrum.de Telefon: +49 431 988-1200 ``` --- ## 8. Änderungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um Änderungen in unserer Datenverarbeitung oder der Rechtslage Rechnung zu tragen. Die aktuelle Version ist immer im Meeting Summarizer abrufbar. **Versionshistorie:** - **v1.0 (23. April 2026):** Erste offizielle Version --- ## 9. Spezifische Szenarien – FAQ ### Szenario A: Ich nutze nur lokale KI (Whisper + lokales LLM) ✅ **Datenschutz-Status:** Vollständig datenschutzkonform - Alle Daten bleiben auf dem TH-Server - Keine Weitergabe an Dritte - Kein Logging außer zum Debuggen - Sie müssen nur Aufnahmezustimmung aller Teilnehmenden einholen ### Szenario B: Ich aktiviere "Mit Internetsuche (extern)" ⚠️ **Datenschutz-Status:** Eingeschränkt – Nutzer-Consent erforderlich - Transkriptausschnitte gehen an DuckDuckGo - Sie müssen **explizit zustimmen** (Checkbox) - Alle Meeting-Teilnehmenden müssen vor dem Meeting informiert werden - Sie sind verantwortlich für Einwilligung der Teilnehmenden ### Szenario C: Ich nutze AssemblyAI-Transkription ⚠️ **Datenschutz-Status:** Eingeschränkt – DPA vorhanden - Audio-Daten gehen an AssemblyAI (USA) - Standard Contractual Clauses (SCCs) gelten - Sie müssen vor dem Meeting alle Teilnehmenden informieren - Sie können "Whisper (lokal)" verwenden, um Weitergabe zu vermeiden ### Szenario D: Ich versende die Zusammenfassung per E-Mail ⚠️ **Datenschutz-Status:** Nutzer-Verantwortung - E-Mail-Inhalte sind unverschlüsselt (sofern nicht SMTP-TLS aktiviert ist) - Sie müssen sicherstellen, dass Empfänger berechtigt sind - Sie sind verantwortlich für SMTP-Verschlüsslung --- ## 10. Besonderheiten für Wissenschaftliche Zwecke Falls der Meeting Summarizer für **Forschung oder Lehrveranstaltungen** genutzt wird: - Zusätzliche Zustimmung gemäß Art. 9 DSGVO kann erforderlich sein (bei Verarbeitung „besonderer Kategorien") - Kontaktieren Sie Ihren Datenschutzbeauftragten vorab: datenschutz@th-luebeck.de --- **Diese Datenschutzerklärung ist bindend für alle Nutzer des Meeting Summarizers an der TH Lübeck.**