Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) regelt die Erfassung und Nutzung personenbezogene Daten von EU-Bürgern. Damit erhalten EU-Bürger mehr Rechte in Bezug auf ihre Daten, die Erwartungen in Bezug auf den Schutz von Daten nehmen zu und Regulierungsbehörden können entsprechende Maßnahmen ergreifen, darunter die Verhängung von Bußgeldern bis zu einer Höhe von vier Prozent des weltweiten Jahresumsatzes. Die DSGVO gilt vor allem für all diejenigen, die personenbezogene Daten von Personen mit Wohnsitz in der EU erfassen und verarbeiten, selbst wenn die Verarbeitung außerhalb der EU erfolgt. Die neuen Anforderungen bauen auf der bestehenden EU-Datenschutzrichtlinie auf und machen Nachbesserungen an Richtlinien und Verfahren für den Umgang mit personenbezogenen Daten von EU-Bürgern erforderlich.

Im Rahmen unserer Verpflichtung zur Konformität mit der DSGVO erläutert dieses Dokument, wie wir bei Nuance die wichtigsten DSGVO-Anforderungen umsetzen und unsere Kunden dabei unterstützen, ihrerseits die Compliance-Anforderungen einzuhalten.

Verantwortliche und Verarbeiter:
Gemäß der Terminologie der DSGVO agiert Nuance bei der Bereitstellung cloudbasierter Produkte und Leistungen, die personenbezogene Daten nutzen, als Verarbeiter von personenbezogenen Daten im Auftrag der Verantwortlichen, nämlich unserer Partner. Gemäß DSGVO haben sowohl Verantwortliche als auch Verarbeiter bestimmte Pflichten. Als Verarbeiter ist Nuance verpflichtet, personenbezogene Daten aus der EU nur für bestimmte Zwecke zu nutzen, die den betroffenen Personen erläutert worden sind. Weitere Informationen zur Nutzung personenbezogener Daten aus der EU für einzelne Produkte entnehmen Sie bitte Ihrer Kundenvereinbarung und der Datenschutzerklärung von Nuance. Gerne können Sie uns auch unter(privacy@nuance.com) kontaktieren.

Der Umgang mit personenbezogenen Daten bei Nuance:
Im Allgemeinen hat Nuance mit Sprachinformationen zu tun, die von Partnern für Spracherkennungsdienste bereitgestellt werden. Nach Verarbeitung einer Nachricht speichert Nuance außer der Sprachdatei selbst keine persönlichen Identifikatoren. Es werden keine Kontaktdaten, Namen von betroffenen Personen oder Partner-IDs gespeichert, nachdem die Verarbeitung der Audiodatei im ersten Schritt abgeschlossen ist.

Sprachaufnahmen werden als Snippets mit einer Länge von wenigen Sekunden erfasst und nicht in zusammenhängender oder aufeinanderfolgender Form gespeichert. Daher ist es nicht möglich, einzelne Sprachaufnahmen als Ganzes zu isolieren. In der Mehrzahl unserer Systeme lassen sich aufgrund der Kürze der Snippets weder die Einzelpersonen identifizieren, zu denen Dateien jeweils gehören, noch Dateien für bestimmte Einzelpersonen abrufen.

Nuance bietet eine Reihe von Produkten und Leistungen an, in deren Rahmen die Speicherung persönlich identifizierender Informationen erforderlich wird, wie z. B. Software und Transkriptionsleistungen für den medizinischen Bereich. Auch die Leistungen des Produktsupports und Kundendienstes, die wir in sämtlichen Geschäftsbereichen bereitstellen, beinhalten häufig die Verarbeitung personenbezogener Daten. In Fällen, in denen Nuance persönlich identifizierende Informationen speichert, unterstützen wir Kunden ggf. bei der Gewährleistung der Rechte betroffener Personen gemäß der DSGVO. Nuance verwendet keine von Kunden bereitgestellten Daten für Zwecke, die über vertragliche Services und die Produktoptimierung hinausgehen (z. B. die Aufbewahrung der Sprachaufzeichnungen eines Arztes, um die Genauigkeit zukünftiger Transkriptionen zu optimieren).

Weitere Informationen über den Umgang von Nuance mit personenbezogenen Daten finden Sie in der Datenschutzerklärung von Nuance .

Wie viele andere in der EU tätige Unternehmen hielt Nuance die Bestimmungen der EU-Datenschutzrichtlinie bereits vor ihrem Inkrafttreten ein und hatte seit vielen Jahren Funktionen zum Schutz von Daten und zur Anonymisierung in seine Produkte integriert. 2017 nahm Nuance im Rahmen einer umfassenden Prüfung der neuen DSGVO eine Evaluation der bisherigen Verfahren zu Sicherheit und Datenschutz vor, um herauszufinden, ob diese die Anforderungen der Verordnung erfüllten oder entsprechend nachgebessert werden mussten. Die Maßnahmen, die Nuance als Reaktion auf einige Hauptanforderungen der DSGVO ergriff, werden im Folgenden erläutert:

Was verlangt die DSGVO?

Datenschutzüberwachung
Organisationen, die personenbezogene Daten in der EU erfassen, sollten damit rechnen, dass Regulierungsbehörden immer aktiver werden. Sie sollten außerdem in der Lage sein, ihre Einhaltung der DSGVO zu nachzuweisen. Die Strafen fallen seit Inkrafttreten der DSGVO erheblich höher aus.

Maßnahmen von Nuance
Nuance verfügt über ein Team aus Datenschutzexperten, die für die Überwachung und Betreuung des Datenschutzprogramms zuständig sind, sowie über Richtlinien zum Schutz personenbezogener Daten aus der EU entsprechend den Anforderungen der DSGVO. Außerdem hat Nuance einen leitenden Chief Privacy Officer/ Datenschutzbeauftragten ernannt, der die DSGVO überwacht.

Darüber hinaus führen wir routinemäßige Datenschutz-Audits durch, die DSGVO-Compliance-Checks enthalten. Außerdem nehmen alle Mitarbeiter bei Nuance, die mit personenbezogenen Daten aus der EU zu tun haben, an einschlägigen Schulungen zu den Inhalten der DSGVO teil.

Sicherheit der Daten
Alle Daten müssen mithilfe geeigneter technischer Mittel geschützt werden, um ein dem jeweiligen Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Maßnahmen von Nuance
Nuance hat eine Reihe von stabilen Sicherheitskontrollen implementiert, die im Einklang mit verschiedenen Branchenstandards stehen. Technische, physische und administrative Kontrollen wurden auf Anwendungs- und Server-Ebene implementiert, um Sicherheit, Vertraulichkeit, Verfügbarkeit, Integrität bei der Verarbeitung und Datenschutzkontrolle zu gewährleisten. So verfügt Nuance beispielsweise über technische Sicherheitskontrollen und beschränkt den Zugriff auf personenbezogene Daten auf Personen mit berechtigtem wirtschaftlichen Interesse. Außerdem werden Informationen nur für einen bestimmten befristeten Zeitraum aufbewahrt. Bei vielen Produkten werden Daten nach Abschluss der Verarbeitung anonymisiert.

Sicherheitsverletzungen
Die DSGVO verlangt, dass die entsprechende Aufsichtsbehörde bei Datenverletzungen innerhalb von 72 Stunden benachrichtigt wird, nachdem der Verantwortliche Kenntnis darüber erlangt. Darüber hinaus muss eine Mitteilung an die betroffenen Personen erfolgen, wenn dies durch das Risiko gerechtfertigt ist.

Maßnahmen von Nuance
Nuance hat Reporting-Prozesse für kritische Vorfälle und Sicherheitsverletzungen eingeführt und prüft seine Prozesse regelmäßig auf Konformität mit rechtlichen Anforderungen. Durch seine jahrelange Erfahrung als Verarbeiter medizinischer Daten für Gesundheitsorganisationen in den USA im Einklang mit der HIPAA ist Nuance mit den Reporting-Anforderungen im Falle von Verletzungen vertraut. Wir haben auch Prozesse implementiert, mit denen sich die notwendigen Informationen bereitstellen lassen, um eine kompletten Bericht über die Verletzung für Partner zu erstellen. Diese Prozesse können in Verbindung mit bestimmten Partnern gemeinsam mit einem spezifischen externen Prozess zur Verwaltung von Sicherheitsverletzungen sowie einem Kommunikationsplan verwendet werden.

Datenschutzbeauftragter
Verantwortliche und Verarbeiter müssen unter bestimmten Umständen einen Datenschutzbeauftragten ernennen, zum Beispiel wenn sie in großem Umfang Daten verarbeiten.

Maßnahmen von Nuance
Nuance hat einen Datenschutzbeauftragten für Nuance Communications, Inc. und seine angegliederten Unternehmen ernannt. Die Kontaktdaten des Datenschutzbeauftragten entnehmen Sie bitte unserer Datenschutzerklärung.

Governance personenbezogener Daten und Datenschutz durch Technik (Privacy by Design)
Zur Einhaltung verschiedener Anforderungen im Rahmen der DSGVO, darunter Datenschutz durch Technik und die Durchführung von Datenschutz-Folgenabschätzungen, ist eine stabile Daten-Governance-Struktur erforderlich.

Maßnahmen von Nuance
Nuance hat ein Datenschutzteam unter Leitung seines Chief Privacy Officers zusammengestellt, dem ein Beauftragter für das Datenschutzprogramm und Datenschutzanwälte für die entsprechenden Geschäftsbereiche und Abteilungen von Nuance (einschließlich Healthcare, Enterprise und Automotive) und andere Aufgaben wie Marketing und Human Resources angehören.

Nuance hat ein dediziertes Datenschutzteam, das alle Phasen der Produktentwicklung unterstützt. Wir haben die wichtigsten Anforderungen der DSGVO identifiziert, die in Form von bestimmten Designanforderungen umgesetzt wurden. Die resultierenden Designkontrollen sind in die entsprechenden Phasen der Produktentwicklung integriert.

Das Datenschutzteam führt Datenschutz-Folgenabschätzungen durch, berät bei vertraglichen Fragen, wenn es um die Nutzung und den Schutz von Daten geht, und steht beratend für eine breite Palette von Datenschutzaspekten zur Verfügung.

Datenminimierung und begrenzte Aufbewahrung
Datenminimierung muss in allen Phasen der Verarbeitung gewährleistet werden:

Zum Zeitpunkt der Erfassung: Die Erfassung personenbezogener Daten soll (in Art und Umfang) auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Bei der Generierung personenbezogener Daten: Wenn personenbezogene Daten vom System überwacht, abgeleitet oder geschlussfolgert werden, sollen diese auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Außerdem dürfen personenbezogene Daten nicht länger verarbeitet und aufbewahrt werden, als es zur Erfüllung der Zwecke, für die sie erfasst wurden, notwendig ist.

Maßnahmen von Nuance
Zwar liegt die Verantwortung für die erfassten Daten primär beim jeweiligen Verantwortlichen. Davon unbesehen kommt bei Nuance ein Verfahren zur Überprüfung der Erfassung und Nutzung von Daten gemäß den datenschutzrechtlichen Vorschriften zur Anwendung.

Aufzeichnungen der Verarbeitung
Als Datenverarbeiter im Auftrag unserer Kunden sind wir bei Nuance gemäß der DSGVO verpflichtet, Aufzeichnungen über unsere Datenverarbeitungsaktivitäten aufzubewahren, einschließlich dem Zweck der Verarbeitung, der Kategorien betroffener Personen und Übertragungen ins Ausland.

Maßnahmen von Nuance
Nuance dokumentiert alle wichtigen Datenverarbeitungsaktivitäten in Bezug auf personenbezogene Daten aus der EU, wodurch entsprechende Aufzeichnungen über die Datenverarbeitung von Nuance verfügbar sind.

Wenn Partner weitere Informationen von Nuance benötigen, um Daten-Mapping- und Verarbeitungsbibliotheken zu vervollständigen, sorgen wir dafür, dass alle von Nuance benötigten Daten zur Verfügung gestellt werden.

Rechte der betroffenen Person
Die DSGVO gewährt betroffenen Personen umfassendere Rechte zur Kontrolle ihrer Daten, darunter das Recht auf Zugriff auf die Daten, das Recht auf Berichtigung falscher Daten und unter bestimmten Umständen das Recht auf Löschung von Daten.

Maßnahmen von Nuance
Nuance verpflichtet sich, alle Anfragen betroffener Personen im Rahmen der Ausübung ihrer Rechte gemäß der DSGVO unverzüglich zu beantworten. Kunden werden darauf hingewiesen, dass viele der bei uns hinterlegten Daten nicht mit bestimmten Einzelpersonen in Verbindung gebracht werden können.

In Fällen, in denen Nuance persönlich identifizierende Informationen speichert, unterstützen wir Kunden ggf. bei der Gewährleistung der Rechte betroffener Personen gemäß der DSGVO.

Dritte
Es gelten zusätzliche Anforderungen für Verträge zwischen Nuance und seinen Kunden, da Artikel 28 der DSGVO verlangt, dass in Verträgen zwischen Verantwortlichen und Verarbeitern bestimmte Bedingungen für die Datenverarbeitung eingehalten werden.

Maßnahmen von Nuance
Wenn personenbezogene Daten bei einem Drittanbieter gehostet werden, prüft Nuance die Richtlinien, Verfahren und Kontrollen dieses Anbieters, um zu gewährleisten, dass ein angemessenes Sicherheitsmaß eingehalten wird.

Nuance hat seine Standardverträge für europäische Kunden überarbeitet, um neue Datenverarbeitungsbestimmungen aufzunehmen, die die nach Artikel 28 notwendigen Punkte berücksichtigen, darunter die Kontrolle der Unterverarbeitung, die Unterstützung zur Durchsetzung der Rechte von betroffenen Personen, Audits und Inspektionen.

Rechtmäßigkeit der Verarbeitung
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn einer der sechs in der DSGVO aufgeführten Faktoren vorliegt (zum Beispiel, wenn ein legitimes Interesse daran besteht, wenn es notwendig ist, um einen Vertrag einzugehen, oder wenn es notwendig ist, um eine andere regulatorische Anforderung einzuhalten, oder wenn es aus rechtlichen Gründen notwendig ist). Unter die sechs Faktoren fällt Einwilligung, wobei die DSGVO die einschlägigen Anforderungen verschärft hat. Unter anderem wurde das Recht der betroffenen Personen erweitert, eine bereist erteilte Einwilligung zu widerrufen.

Maßnahmen von Nuance
Die Bestimmung der Rechtmäßigkeit der Datenverarbeitung liegt in der Verantwortung unserer Kunden, da diese Verantwortliche der Daten sind. Als Datenverarbeiter ist Nuance verpflichtet, die gesetzlichen Bestimmungen des Kunden einzuhalten und die Daten gemäß den vertraglichen Anforderungen zu verarbeiten.

Übertragung ins Ausland
Die Übertragung personenbezogener Daten in Länder außerhalb des EWR ist generell gestattet, wenn (a) die Übertragung in Länder erfolgt, in denen gemäß der Europäischen Kommission ein „angemessenes“ Datenschutzniveau gewährleistet ist, (b) wenn die Übertragung unter Anwendung von Standardvertragsklauseln erfolgt, (c) wenn die Übertragung mittels verbindlicher Unternehmensregeln erfolgt, oder (d) wenn die Übertragung im Einklang mit dem Privacy-Shield-Framework erfolgt.

Maßnahmen von Nuance
Nuance verfügt über standardmäßige Datenschutzvereinbarungen, die Mustervertragsklauseln enthalten, welche die Übertragung von Daten aus der EU in die USA erlauben. Wir verfügen zudem über Zertifizierung nach Privacy-Shield-Richtlinien. Außerdem sind wir bereit, für Kunden, die verbindliche Unternehmensregeln haben, Datenverarbeitervereinbarungen zu unterzeichnen, die Nuance an die Bedingungen dieser Regeln binden.

Nuance bietet zahlreiche Produkte an, die Daten in der Cloud speichern. Bei diesen Produkten hat Nuance Zugriff auf die Daten und fungiert als Datenverarbeiter. Darüber hinaus bietet Nuance einige vor Ort installierte Produkte an, die Daten lokal auf Servern speichern, die unseren Kunden gehören und von ihnen betrieben werden. Bei diesen Produkten hat Nuance keinen Zugriff auf die Daten, fungiert nicht als Datenverarbeiter und ist nicht an Aktivitäten im Zusammenhang mit der Einhaltung der DSGVO beteiligt. Jedoch erbringt Nuance Kundendienstleistungen für vor Ort betriebene Produkte und hat im Rahmen dieser Leistungen gelegentlich Zugriff auf personenbezogene Daten. Sofern Nuance bei der Bereitstellung von Kundendienstleistungen personenbezogene Daten aus der EU erhält, erfüllen wir vollumfänglich die Vorschriften der DSGVO.

Es ist davon auszugehen, dass die Vorschriften der DSGVO durch ihre behördliche Umsetzung sowie die entsprechenden Handlungsempfehlungen weiter an Deutlichkeit gewinnen werden. Im Zuge der weiteren Optimierung des DSGVO-Programms für unsere Kunden werden wir diesen Leitfaden aktualisieren und weitere Details hinzufügen.

Wenn Sie konkrete Fragen dazu haben, wie Nuance Sie bei Ihren Verpflichtungen in Hinblick auf die DSGVO unterstützt, schicken Sie bitte eine E-Mail an privacy@nuance.com.