In der heutigen digitalen Arbeitswelt bieten nahezu alle Videokonferenztools die Möglichkeit, Meetings aufzuzeichnen. Neuerdings bieten die Anbieter zudem die automatisierte, KI-gestützte Transkription der Meetings in Echtzeit.
Diese Funktionen erleichtern die Dokumentation von Meetings und sparen wertvolle Zeit. Doch vor der Nutzung dieser Technologien müssen einige Aspekte beachtet werden, um den datenschutzrechtlichen Anforderungen gerecht zu werden. In diesem Beitrag beleuchten wir die wichtigsten Punkte und geben praktische Tipps für den Einsatz dieser Tools.
Verarbeitung personenbezogener Daten
Bei der Aufzeichnung und Transkription von Meetings findet unweigerlich eine Verarbeitung personenbezogener Daten statt. Ein Personenbezug besteht dabei zum einen hinsichtlich der im Rahmen des Meetings standardmäßig anfallenden Daten wie dem Usernamen, der E-Mail-Adresse, mit der die Nutzenden am Meeting teilnehmen, und der technisch erhobenen Nutzungsdaten (z.B. IP-Adresse).
Hinzu kommt bei der Aufzeichnung und Transkription von Meetings die Verarbeitung der personenbezogenen Stimmdaten sowie des Inhalts des im Meeting Gesagten (das gesprochene Wort).
Verantwortlich für die Datenverarbeitung ist dabei nicht der Anbieter des Tools, sondern das Unternehmen, welches die Entscheidung trifft, das Tool im Unternehmenskontext einzusetzen.
Rechtsgrundlage für die Datenverarbeitung
Für die Datenverarbeitung ist zunächst eine passende Rechtsgrundlage zu finden. Eine „One-Size-Fits-All-Lösung“ gibt es an dieser Stelle jedoch nicht. Die datenschutzrechtliche Zulässigkeit hängt maßgeblich von den Inhalten der betroffenen Meetings ab und muss daher für jedes Unternehmen separat betrachtet werden.
Die Aufzeichnung und Transkription eines Meetings kann grundsätzlich auf Basis der Einwilligung erfolgen. Zu beachten sind dabei jedoch die hohen Anforderungen an die Wirksamkeit der Einwilligung. Insbesondere bei Aufzeichnungen und Transkriptionen im Beschäftigungskontext kann es schwierig sein, die notwendige Freiwilligkeit der Einwilligung sicherzustellen. Aufgrund des Über-/Unterordnungsverhältnisses ist eine Einwilligung von Beschäftigten nur freiwillig, wenn sie auch „Nein“ sagen können, ohne Nachteile befürchten zu müssen.
Neben der Einwilligung kann die Aufzeichnung und Transkription von Meetings in einigen Fällen zudem auf die berechtigten Interessen des Arbeitgebers bzw. Meeting-Verantwortlichen (Art. 6 Abs.1 Buchst. f DSGVO) gestützt werden. Hierbei ist jedoch im Rahmen einer sorgfältigen Interessenabwägung sicherzustellen, dass die Rechte und Freiheiten der betroffenen Person nicht überwiegen.
In begründeten Einzelfällen kann eine Aufzeichnung und Transkription gegebenenfalls auch zur Durchführung eines Beschäftigungsverhältnisses erforderlich sein und daher auf § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 Buchst. b DSGVO gestützt werden. Sofern ein Betriebsrat besteht, kann die Aufzeichnung und Transkription auch mit einer Betriebsvereinbarung legitimiert werden (Art. 88 Abs. 2 DSGVO i.V.m. § 26 Abs. 4 BDSG). Ohnehin muss daran gedacht werden, ggf. die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG einzuholen.
Download ebook KI-VO
Durch die Angabe Ihrer E-Mail-Adresse erhalten Sie unser ebook und abonnieren gleichzeitig unseren Newsletter. Die Anmeldung ist jederzeit widerruflich.
Verarbeitung besonderer Kategorien personenbezogener Daten
Sofern in einem Meeting besondere Kategorien personenbezogener Daten verarbeitet werden (z.B. Gesundheitsdaten oder Informationen zur Zugehörigkeit zu einer Gewerkschaft), müssen die zusätzlichen Anforderungen aus Art. 9 DSGVO beachtet werden. In diesen Fällen wird man daher in aller Regel nicht um eine ausdrückliche Einwilligung der betroffenen Personen herumkommen.
Vorsicht bei der Erstellung von Stimmprofilen
Vorsicht ist geboten bei Dienstleistern, die bei der Aufzeichnung und Transkription personalisierte Stimmprofile erstellen. Mit Hilfe von Stimmprofilen kann das Gesagte einer konkreten Person zugeordnet werden, selbst wenn sich diese beispielsweise gemeinsam mit anderen Personen in einem Konferenzraum befindet und dabei nicht über ihren eigenen User-Account in das Meeting eingeloggt ist.
Klingt praktisch, kann datenschutzrechtlich jedoch weitreichende Folgen haben: Wird nämlich die Stimme, ein biometrisches Datum, zur Identifikation einer konkreten Person verwendet, muss sich die Datenverarbeitung ebenfalls an den strengen Vorgaben des Art. 9 DSGVO orientieren.
Anforderungen aus § 201 StGB
Neben den datenschutzrechtlichen Aspekten müssen auch die Vorgaben zur Vertraulichkeit des gesprochenen Wortes aus § 201 StGB Beachtung finden. § 201 Abs. 1 StGB stellt die unbefugte Aufnahme des nichtöffentlich gesprochenen Wortes sowie den Gebrauch und die Zugänglichmachung dieser Aufnahme unter Strafe (Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe).
Um den Vorwurf der unbefugten Aufnahme zu vermeiden, muss vorab eine Einwilligung der aufgenommenen Personen eingeholt werden. Die Voraussetzungen an die Wirksamkeit einer strafrechtlichen Einwilligung sind dabei jedoch weniger streng als die Voraussetzungen an eine wirksame datenschutzrechtliche Einwilligung. Ausreichend ist nach Ansicht der Aufsichtsbehörde Baden-Württemberg bereits eine stillschweigende oder mutmaßliche Einwilligung, wobei dies eine transparente Information über die stattfindende Aufzeichnung und Transkription voraussetzt.
Transparenz- und Informationspflichten
Unabhängig von der Frage, auf welche Rechtsgrundlage die Gesprächsaufzeichnung und Transkription gestützt wird, müssen die betroffenen Personen über diese Datenverarbeitung nach Maßgabe von Art. 13 DSGVO informiert werden.
Die Aufsichtsbehörde Baden-Württemberg empfiehlt dabei in ihrem aktuellen Tätigkeitsbericht (Seite 135), die Teilnehmenden des Meetings bereits im Zuge der Einladung über die gewünschte Aufzeichnung und Transkription zu informieren. Zusätzlich soll dann vor Beginn der Aufzeichnung und Transkription über ein Pop-up-Fenster ein erneuter Hinweis angezeigt werden, den die Teilnehmenden aktiv wegklicken müssen.
AV-Vertrag mit dem Anbieter
In aller Regel wird der Anbieter der Aufzeichnungs- und Transkriptionsleistungen als Auftragsverarbeiter zu klassifizieren sein. Es ist daher unbedingt darauf zu achten, mit dem Dienstleister einen belastbaren AV-Vertrag abzuschließen, der die Mindestanforderungen aus Art. 28 Abs. 3 DSGVO erfüllt. Geht mit der Nutzung der Dienste eine Übermittlung personenbezogener Daten in Drittländer einher, müssen zusätzlich die Anforderungen aus Art. 44 ff. DSGVO beachtet werden.
Im AV-Vertrag muss festgelegt werden, dass der Auftragsverarbeiter die verarbeiteten personenbezogenen Daten nicht zu eigenen Zwecken verwenden darf. Wird ein KI-Tool verwendet, muss die Verwendung der Daten zu eigenen Trainingszwecken der KI unbedingt ausgeschlossen werden.
Weitere DSGVO-Pflichten
Darüber hinaus muss die Einhaltung der üblichen weiteren Datenschutzpflichten gewährleistet werden. Darunter fallen unter anderem
- Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten,
- Implementierung wirksamer technischer und organisatorischer Maßnahmen,
- Durchführung der Risikoeinschätzung und – insbesondere bei KI-basierten Diensten – ggf. Datenschutz-Folgenabschätzung,
- Festlegung wirksamer Löschfristen und -routinen für Aufzeichnungen und Transkriptionen.
Pflichten nach der KI-Verordnung
Sofern für die Aufzeichnung und/oder Transkription KI-Systeme verwendet werden, gelten zusätzliche Anforderungen aus der KI-Verordnung. Neben dem Aufbau einer angemessenen KI-Kompetenz muss im Rahmen der KI-Governance sichergestellt werden, dass alle anwendbaren Pflichten der KI-Verordnung erfüllt werden. Je nach Einsatzzweck muss beachtet werden, dass KI-Systeme zur Aufzeichnung und/oder Transkription auch als verbotene Praktik nach Art. 5 KI-VO oder als Hochrisiko-KI nach Art. 6 Abs. 2 KI-VO eingestuft werden können. Etwa wenn Gespräche zur Erkennung von Emotionen aufgezeichnet werden, z.B. um die Stimmungslage der Beschäftigten oder eines Anrufers zu analysieren. In jedem Fall müssen Anbieter von KI-Systemen zur Aufzeichnung und/oder Transkription dafür sorgen, dass Nutzer bei der ersten Interaktion erkennen können, dass sie es mit einem KI-System zu tun haben.
Best Practices für Aufzeichnungen und Transkriptionen
Sobald Sie die oben beschriebenen Anforderungen geprüft und umgesetzt haben, muss sichergestellt werden, dass die Vorgaben auch in der Praxis von allen Beschäftigten beachtet und umgesetzt werden. Vor dem Einsatz von Aufzeichnungs- und Transkriptionstools sollten daher folgende Maßnahmen umgesetzt werden:
- Legen Sie fest, welche Voraussetzungen (insb. in Bezug auf die Zustimmung und Information) Ihre Beschäftigten beachten müssen, bevor sie eine Aufzeichnung und Transkription starten. Idealerweise erstellen Sie eine entsprechende Prozessbeschreibung oder Arbeitsanweisung;
- Schaffen Sie unternehmensinterne Regelungen zur Nutzung der Aufzeichnungs- und Transkriptionsdienste. Legen Sie dabei konkret fest, für welche Meeting-Arten eine Aufzeichnung und Transkription stattfinden darf und bei welchen Meetings die Nutzung der Tools verboten ist;
- Prüfen Sie die Voreinstellungen in den verwendeten Diensten. Sofern die Aufzeichnung und Transkription standardmäßig aktiviert ist, deaktivieren Sie dies, um sicherzustellen, dass Meetings nur nach aktivem Tun aufgezeichnet und transkribiert werden;
- Legen Sie unter Beachtung des Need-to-know-Prinzips die Speicherorte fest, an denen die Aufzeichnungen und Transkriptionen nach Meetingende gespeichert werden;
- Legen Sie konkrete Löschfristen für Aufzeichnungen und Transkriptionen fest und implementieren Sie nach Möglichkeit automatisierte Löschroutinen für diese Dateien;
- Bestimmen Sie konkret, wer im Anschluss eines Meetings dafür zuständig ist, die Transkription im Hinblick auf die Richtigkeit der Angaben zu prüfen und bei Bedarf zu korrigieren.
Sie brauchen rechtliche Unterstützung beim Einsatz von KI-Systemen in Ihrem Unternehmen? Melden Sie sich gerne hier.
Fazit
Aufzeichnungs- und Transkriptionsdienste bieten zahlreiche Effizienz-Vorteile. Um diese Vorteile voll ausschöpfen zu können, ist es jedoch unerlässlich, die rechtlichen Vorgaben sorgfältig zu beachten. Eine gründliche Prüfung der Dienste ist notwendig, um sicherzustellen, dass sowohl personenbezogene Daten als auch Geschäftsgeheimnisse im Unternehmenskontext bleiben und nicht unbefugt offengelegt werden. Durch die Einhaltung der Datenschutzbestimmungen und die Festlegung konkreter interner Maßnahmen können Unternehmen die Vorteile dieser Technologien nutzen, ohne die Sicherheit und Vertraulichkeit ihrer Daten zu gefährden.
Franziska Mauritz berät als Rechtsanwältin zu Datenschutz, Künstlicher intelligenz, Wettbewerbsrecht und Datenrecht.
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.