Zum Inhalt springen
Julian Pscheid ·

Hedy AI schützt Ihre Meeting-Daten mit europäischen Datenschutzstandards

Hedy AI hat den vertraglichen und technischen Rahmen implementiert, um die rechtmäßige und konforme Verarbeitung personenbezogener Daten nach der DSGVO zu unterstützen. Dieses Rahmenwerk bietet alle erforderlichen Garantien für den Einsatz von Hedy AI als Auftragsverarbeiter nach europäischem Datenschutzrecht.

DSGVO-Schild- und Schloss-Symbol umgeben von EU-Sternen über einer Weltkarte

Hedy AI hat den vertraglichen und technischen Rahmen implementiert, um die rechtmäßige und konforme Verarbeitung personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union zu unterstützen. Das bedeutet, dass unsere Nutzer – ob in Berlin, Barcelona oder Boston – Hedy mit der Gewissheit nutzen können, dass ihre Gesprächsdaten gemäß einem der weltweit strengsten Datenschutzrahmenwerke behandelt werden. Dieses Rahmenwerk bietet alle erforderlichen Garantien für den Einsatz von Hedy AI als Auftragsverarbeiter nach europäischem Datenschutzrecht.

Was DSGVO-Konformität für KI-Tools tatsächlich bedeutet

Wenn Sie ein KI-Meeting-Coaching-Tool wie Hedy nutzen, teilen Sie Gesprächstranskripte, Meeting-Erkenntnisse und potenziell sensible Geschäftsinformationen. DSGVO-Konformität bedeutet nicht nur, regulatorische Kästchen abzuhaken – es geht darum, konkrete Schutzmaßnahmen für diese Daten zu etablieren.

Für KI-Anwendungen stellt die DSGVO besondere Herausforderungen dar. Anders als einfache Datenspeicherdienste verarbeiten und analysieren KI-Tools Ihre Informationen, um Erkenntnisse zu generieren. Dies erfordert sorgfältige Berücksichtigung von:

  • Wie Daten zwischen Ihrem Gerät und KI-Verarbeitungssystemen fließen
  • Was mit Ihren Transkripten nach der Analyse geschieht
  • Wie KI-Drittanbieter Ihre Informationen behandeln
  • Ihre Möglichkeit, Ihre Daten zu kontrollieren, zu exportieren oder zu löschen

Ein starkes Fundament für europäische Unternehmen

Europäische Organisationen können sich nun auf ein verstärktes Auftragsverarbeiter-Rahmenwerk verlassen, das sie bei der Erfüllung ihrer eigenen Pflichten nach der Datenschutz-Grundverordnung (DSGVO) unterstützt. Wie immer verbleibt die letztendliche Verantwortung für die DSGVO-Konformität beim Kunden als Verantwortlichem – Hedy AI stellt die auf Auftragsverarbeiterseite erforderlichen Garantien bereit.

Was wir implementiert haben

Um eine robuste Grundlage für den DSGVO-konformen Einsatz von Hedy AI zu schaffen, haben wir die folgenden vertraglichen und technischen Komponenten erstellt und veröffentlicht:

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Unser Auftragsverarbeitungsvertrag definiert genau, wie wir Ihre Daten als Auftragsverarbeiter behandeln. Diese rechtsverbindliche Vereinbarung stellt sicher, dass wir Daten nur gemäß Ihren Weisungen und für die von Ihnen autorisierten spezifischen Zwecke verarbeiten – nämlich die Bereitstellung von Echtzeit-Meeting-Intelligence.

EU-Standardvertragsklauseln (Modul 2, 2021/914)

Die Standardvertragsklauseln sind als Transfermechanismus für personenbezogene Daten enthalten, die aus der EU/dem EWR in die Vereinigten Staaten übermittelt werden. Diese Klauseln verpflichten Hedy AI vertraglich zu EU-Schutzniveau und sichern durchsetzbare Rechte für betroffene Personen.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir haben umfassende Sicherheitsmaßnahmen dokumentiert und implementiert, darunter:

  • Ende-zu-Ende-Verschlüsselung für Daten bei der Übertragung und im Ruhezustand
  • Zero Data Retention wo möglich
  • Strenge Zugangskontrollen und Authentifizierungsprotokolle
  • Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen
  • Klare Richtlinien zur Datenaufbewahrung und -löschung
  • Verfahren zur Reaktion auf Vorfälle
  • Infrastruktur-Schutzmaßnahmen

Transfer Impact Assessment (TIA)

Wir haben eine gründliche Transferfolgenabschätzung durchgeführt, die die relevanten US-Gesetze und -Praktiken bewertet, die den Zugang zu übermittelten personenbezogenen EU-Daten betreffen. Basierend auf der initialen TIA haben wir Risikominderungsschritte identifiziert und zusätzliche Maßnahmen zum Schutz Ihrer Daten implementiert. Diese Bewertung, verfügbar in unserem Trust Center, zeigt, wie wir EU-Daten auch bei grenzüberschreitender Übermittlung schützen.

Sub-Auftragsverarbeiter-Transparenz (Art. 28 Abs. 2 und 4 DSGVO)

Alle Sub-Auftragsverarbeiter sind vertraglich an die gleichen Schutzmaßnahmen gebunden, vollständig dokumentiert und mit ihren jeweiligen Rollen aufgelistet. Änderungen folgen dem gesetzlich vorgeschriebenen Benachrichtigungs- und Einspruchsverfahren.

Was das für verschiedene Nutzer bedeutet

Für europäische Unternehmen

Europäische Unternehmen können Hedy innerhalb ihres eigenen DSGVO-Rahmens und ihrer Compliance-Bewertung nutzen. Die Dokumentation, die wir bereitstellen – einschließlich AVV, Standardvertragsklauseln, TOM und unserer TIA – hilft Compliance-Teams, Hedy zu bewerten und in ihre bestehenden Datenschutzprozesse zu integrieren.

Für Gesundheitswesen und regulierte Branchen

Unser DSGVO-konformes Rahmenwerk ist ein wichtiger Schritt zur Ermöglichung des verantwortungsvollen Einsatzes von Hedy in regulierten Umgebungen. Während zusätzliche Zertifizierungen wie HIPAA und SOC 2 Type 2 in Vorbereitung sind (erwartet Q2 2026), bieten die von uns implementierten DSGVO-Schutzmaßnahmen bereits eine starke Grundlage für Organisationen mit erhöhten Datenschutzanforderungen.

Für einzelne Fachleute

Ihre Meeting-Transkripte, Erkenntnisse und personenbezogenen Daten werden unter klaren Schutzmaßnahmen verarbeitet. Sie behalten die volle Kontrolle über Ihre Informationen mit der Möglichkeit, Ihre Daten jederzeit einzusehen, zu exportieren oder zu löschen, und haben volle Transparenz darüber, wie und warum sie verarbeitet werden.

Kundenpflichten bleiben unverändert

Um die vollständige DSGVO-Konformität sicherzustellen, müssen Kunden weiterhin ihre eigenen Pflichten als Verantwortliche erfüllen. Dazu gehören unter anderem:

  • Festlegung einer Rechtsgrundlage für die Verarbeitung,
  • Bereitstellung von Transparenzinformationen für betroffene Personen,
  • Führung eines Verarbeitungsverzeichnisses,
  • Implementierung interner Zugangs- und Löschverfahren,
  • Durchführung von Datenschutz-Folgenabschätzungen, wo erforderlich.

Unser Rahmenwerk ist speziell darauf ausgelegt, diese Pflichten zu unterstützen und alle auf Auftragsverarbeiterseite erforderlichen Garantien gemäß der DSGVO bereitzustellen.

Für Compliance konzipiert, auf Vertrauen aufgebaut

Mit diesem Rahmenwerk liefert Hedy AI ein vollständiges auftragsverarbeiterseitiges Compliance-Setup – vertraglich, technisch und organisatorisch. In Kombination mit den eigenen Compliance-Maßnahmen des Kunden als Verantwortlichem kann Hedy AI für die Verarbeitung personenbezogener Daten in vollem Einklang mit dem europäischen Datenschutzrecht eingesetzt werden.

Die Compliance-Dokumentation verstehen

Wir wissen, dass juristische Dokumente umfangreich sein können. Um Ihnen die Navigation durch unser DSGVO-Compliance-Rahmenwerk zu erleichtern, haben wir einen umfassenden Leitfaden erstellt, der Sie durch jedes Dokument und Ihre Pflichten als Verantwortlicher führt.

Zugang zu unserem „Leitfaden zur Erfüllung Ihrer DSGVO-Rechenschaftspflicht bei der Nutzung von Hedy AI”:

Dieser Leitfaden bietet eine praktische Checkliste für die Überprüfung unseres Auftragsverarbeitungsvertrags, der Transferfolgenabschätzung, der technischen und organisatorischen Maßnahmen sowie der Sub-Auftragsverarbeiterliste. Er wurde entwickelt, um Ihrem Compliance-Team die effiziente Durchführung seiner DSGVO-Bewertungs- und Dokumentationsanforderungen zu erleichtern.

Implementierung für Organisationen

Wenn Sie Hedy in Ihrer Organisation einsetzen, können Sie die DSGVO-Konformität auf Ihrer Seite wie folgt sicherstellen:

  1. Überprüfen und genehmigen Sie unseren AVV und seine Anhänge
  2. Dokumentieren Sie Ihre Bewertung unserer Transferfolgenabschätzung
  3. Stellen Sie sicher, dass unsere technischen und organisatorischen Maßnahmen Ihren Sicherheitsanforderungen entsprechen
  4. Überprüfen und genehmigen Sie unsere aktuelle Sub-Auftragsverarbeiterliste
  5. Etablieren Sie einen Prozess zur Überprüfung von Sub-Auftragsverarbeiter-Änderungen

Wir stellen detaillierte Anleitungen in unserem Trust Center bereit, um Ihrem Compliance-Team bei der Durchführung dieser Schritte zu helfen.

Privacy by Design, nicht aus Pflicht

Die DSGVO-Konformität repräsentiert unser Engagement für datenschutzorientierte Entwicklung. Als wir Hedys automatische Vorschläge entwickelten, haben wir die Funktion so konzipiert, dass Gespräche verarbeitet werden, ohne unnötige Daten zu speichern. Als wir Topics zur Organisation von Sitzungen implementierten, stellten wir sicher, dass Nutzer die volle Kontrolle über ihre gruppierten Gespräche behalten.

Dieser Ansatz – Privacy by Design statt nachträglicher Compliance – bedeutet, dass DSGVO-Prinzipien in der Funktionsweise von Hedy verankert sind, nicht nur in unserer Dokumentation.

Was kommt als Nächstes

Die DSGVO-Konformität ist ein Meilenstein in unserem fortlaufenden Engagement für den Datenschutz. Wir arbeiten derzeit an:

  • SOC 2 Type 2 Zertifizierung: Erwartet Q2 2026, mit Drittanbieter-Validierung unserer Sicherheitskontrollen
  • HIPAA-Konformität: Ebenfalls für Q2 2026 angestrebt, um Gesundheitsorganisationen die Nutzung von Hedy zu ermöglichen
  • Regionale Datenresidenz: Evaluation von Optionen für EU-spezifische Datenspeicherung

Zugang zur Dokumentation

Die gesamte DSGVO-Compliance-Dokumentation ist in unserem Trust Center verfügbar, zugänglich über Ihre Hedy-Kontoeinstellungen. Wenn Sie noch kein Kunde sind, aber unser Compliance-Rahmenwerk einsehen möchten, fordern Sie Zugang an unter trust.hedy.ai.

Fragen zu unserer DSGVO-Konformität oder unseren Datenschutzpraktiken? Kontaktieren Sie unser Datenschutzteam über das Trust Center oder per E-Mail an privacy@hedy.ai.

Zurück zu Neuigkeiten

Ihr nächstes Meeting wird Ihr bestes bisher

Kostenlos starten. Keine Kreditkarte, kein Bot in Ihren Anrufen, keine Aufzeichnungen, die irgendwohin gesendet werden. Nur Echtzeit-Coaching auf Ihrem Gerät.

Für macOS laden