Situation
In Unternehmen oder auch Behörden wie etwa Hochschulen gehört das Protokollieren von Meetings meist zu den weniger beliebten Aufgaben. Daher liegt es nahe, dies mithilfe technischer Lösungen umzusetzen, z. B. mittels KI-basierter Dienste, die in die Videokonferenztools integriert sind. Beispiele hierfür sind u. a. Copilot im Rahmen von MS Teams sowie Zoom. In Betracht kommen auch eigens hierfür angebotene Dienste, die in Online-Meetings integrierbar sind. Aber ist dies auch zulässig? Das Vorgehen tangiert gleich mehrere Rechte bzw. Rechtsgebiete: in erster Linie das Datenschutzrecht, aber auch das Strafrecht, Persönlichkeitsrechte und, je nach Einzelfall, auch Vorgaben gemäß KI-Verordnung.
Nachfolgend ein Überblick zu den wichtigsten Anforderungen:
Datenschutz
Werden Meetings automatisiert protokolliert, wird hierbei eine Reihe personenbezogener Daten verarbeitet: die Namen der Teilnehmenden, deren gesprochene Wortbeiträge (Inhalte), deren Stimme, die IP des Rechners der zugeschalteten Personen, ggf. Tätigkeiten und Qualifikationen sowie eventuell auch vertrauliche Inhalte, Gesundheitsdaten oder Ähnliches.
Rechtsgrundlage
Möchten Behörden oder Unternehmen automatisierte Transkriptionen oder Zusammenfassungen von Onlinemeetings bei sich einführen, muss daher zuallererst geprüft werden, ob überhaupt eine Rechtsgrundlage vorliegt. In Ermangelung einer gesetzlichen Rechtsgrundlage kommen nur eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) oder das sog. berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO) in Betracht. Eine Einwilligung ist nur wirksam, wenn sie informiert und freiwillig erteilt wird. Insbesondere im Verhältnis von Mitarbeitenden zu Vorgesetzten ist aufgrund des Über-/Unterordnungsverhältnisses von Beschäftigten eine Freiwilligkeit allerdings nur sehr selten anzunehmen. Mitarbeitende müssen „Nein sagen“ können, ohne etwaige Nachteile befürchten zu müssen. Hinzu kommt, dass, wenn in einem Meeting besondere Kategorien personenbezogener Daten verarbeitet werden, z. B. Gesundheitsdaten oder Informationen zur Gewerkschaftsaktivitäten, die besonderen Anforderungen aus Art. 9 DSGVO beachtet werden müssen, herfür ist eine ausdrückliche Einwilligung unerlässlich.
Insgesamt sind nur wenige Situationen denkbar, in denen im Arbeitskontext eine Einwilligung als tragfähige Rechtsgrundlage überhaupt in Frage kommt. (Dies gilt insbesondere für KI-Tools, die personalisierte Stimmprofile erstellen. Durch diese kann eine Wortmeldung einer teilnehmenden Person zugeordnet werden, auch wenn diese nicht über einen eigenen Account zugeschaltet ist. Hintergrund ist, dass die Stimme dann als biometrisches Datum gilt.) Auf die Rechtsgrundlage „berechtigtes Interesse“ wiederum können sich laut DSGVO nur Unternehmen stützen, nicht hingegen öffentliche Stellen wie Behörden, d. h. auch staatliche Hochschulen etc. Zudem erfordert diese Rechtsgrundlage eine sorgfältige Interessenabwägung, die auch zu dokumentieren ist.
Datenschutzprüfung
Ist die Hürde ‚Erfordernis einer Rechtsgrundlage‘ gleichwohl genommen, ist eine reguläre Datenschutzprüfung für dieses Verfahren inkl. Datenschutz-Folgeabschätzung vorzunehmen und im Verzeichnis der Verarbeitungstätigkeiten (VVT) zu dokumentieren. Ebenfalls sind notwendige Auftragsverarbeitungsverträge, die die Funktionalität Transkription bzw. Zusammenfassung beinhalten, mit den Anbietern der Dienste zu schließen und zu dokumentieren.
Wichtige Punkte der Datenschutzprüfung: Welche Daten werden zu welchem Zweck gespeichert? Wie lange werden etwaige Audioaufnahmen gespeichert? Welche Aufbewahrungsfristen sind für die Transkriptionen erforderlich? Entsprechend sollten darauf abgestimmte Löschpflichten und -fristen festgelegt werden (Löschkonzept). Wer sind die Empfänger der Daten? Wohin werden diese übermittelt (häufig die USA); gibt es auch hierfür eine rechtliche Grundlage? Und wie können die Betroffenenrechte, z. B. der Anspruch auf Auskunft und Löschung, gewährleistet werden? Gibt es hierfür geeignete Prozesse?
Datenschutz-Einstellungen
Auf operativer Ebene sind die Default-Einstellungen der Dienste zu überprüfen und, soweit erforderlich, datenschutzkonform zu konfigurieren. Dazu zählt auch technisch auszuschließen, dass übermittelte Meeting-Inhalte von den KI-Anbietern zu Trainingszwecken verwendet werden – und auch dies sollte vertraglich vereinbart werden. Liegt in Ausnahmefällen eine Rechtsgrundlage zur Verwendung übermittelter Daten zu Trainingszwecken vor, wie dies etwa in § 11a LGSG Baden-Württemberg der Fall ist, sollte das Vorliegen von deren Voraussetzungen sorgfältig geprüft werden.
Ebenfalls ist ein Berechtigungskonzept zu erstellen und zu dokumentieren, d. h. eine Festlegung, wer überhaupt Zugriff auf das Protokollierte bekommen soll. Betroffene Mitarbeitende - und eventuell auch mögliche externe Gesprächspartner*innen sind im Sinne der Transparenz gemäß Art. 13 DSGVO über die mit den KI-Transkriptionen oder -Zusammenfassungen verbundenen Datenverarbeitungen frühzeitig zu informieren.
Lokale Lösungen?
Nicht zuletzt ist zu prüfen, ob lokale Lösungen zur Erreichung der intendierten Zwecke realisierbar sind. Ist dies der Fall, kann es für cloudbasierte Dienste an der Erforderlichkeit des Einsatzes mangeln.
Strafrecht
In strafrechtlicher Hinsicht zu ist beachten, dass § 201 StGB die Verletzung der Vertraulichkeit des Wortes unter Strafe stellt. Werden also in Meetings unbefugt Aufnahmen nicht-öffentlich gesprochener Wortbeiträge gemacht oder diese anderen ohne Kenntnis oder Absprache zugänglich gemacht, kann dies strafrechtlich relevant sein.
Es ist zu berücksichtigen, dass nicht jede gewählte technische Lösung zwangsläufig mit einer Aufzeichnung verbunden ist; dies gilt es ebenfalls sorgfältig zu prüfen. Sofern die Implementierung insgesamt datenschutzkonform, insb. insbesondere transparent, ausgestaltet ist, sollte es kein Problem mit § 201 StGB geben.
Persönlichkeitsrechte
KI-basierte Transkriptionen oder Aufzeichnungen von Meetings greifen in die Persönlichkeitsrechte der Teilnehmenden ein, insbesondere deren Recht am gesprochenen Wort, an der Stimme und deren Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG). Sie bedürfen insoweit einer besonderen Rechtfertigung.
KI-Verordnung
In Sachen KI-Recht ist ferner zu beachten: Sollten Audioaufzeichnungen oder Transkriptionen von Vorgesetzten bzw. Leitungspersonal zwecks Leistungsüberwachung der Mitarbeitenden eingesetzt werden, führt dies dazu, dass das genutzte System als sog. Hochrisiko-KI-System gemäß Anhang III der KI-Verordnung eingestuft wird, wodurch die hierfür geltenden besonderen Anforderungen Anwendung finden.
Fazit und Praxisempfehlungen
Die automatisierte bzw. KI-basierte Transkription bzw. Zusammenfassung von Onlinemeetings ist, insbesondere in Behörden, ist (nur) unter sehr engen Voraussetzungen zulässig.
Erwägen Unternehmen oder Behörden, automatisierte Transkriptionen oder Zusammenfassungen bei sich einzuführen, sind die verantwortlichen Stellen gehalten, frühzeitig unter Einbindung von Betriebs- bzw. Personalrat (soweit vorhanden) die rechtlichen Anforderungen zu prüfen und das Ergebnis zu dokumentieren sowie im Falle der Einführung die erforderlichen sich hierauf erstreckenden Verträge zu schließen bzw. anzupassen und vor allem die betroffenen Mitarbeitenden zu informieren.
Dies schließt ein, dass sowohl diese Personen als auch gegebenenfalls an den Meetings teilnehmende Externe rechtzeitig Gelegenheit bekommen, die Datenschutzhinweise zur Kenntnis zu nehmen, um eine informierte Einwilligung abgeben zu können. Hilfreich hierzu ist ein Hinweis auf den eingesetzten Dienst nebst Bereitstellung eines Links zu den gemäß DSGVO notwendigen Informationen, idealerweise bereits in der Meeting-Einladung, aber zusätzlich auch zu Meeting-Beginn.
Die Default-Einstellungen der Dienste sind zu überprüfen und soweit erforderlich datenschutzkonform zu konfigurieren. Sofern logistisch bzw. personell umsetzbar, sind lokale Dienste zu bevorzugen.
Quellen
Reflexion
Wie erfolgt die Protokollierung von Meetings an deinem Arbeitsplatz: rotierend „händisch“ oder KI-basiert, also technisch? Falls Letzteres: Erfolgte die Umstellung für die Betroffenen transparent und unter Berücksichtigung von DSGVO und KI-VO? Überzeugt die technische Lösung, und werden die automatisierten Transkriptionen im Nachgang tatsächlich genutzt, so dass diese Lösung erforderlich erscheint? Gab es Widerstände bei der Einführung oder wurde die technische Lösung durch die Betroffenen weitgehend akzeptiert? Wirkt sich die automatisierte Lösung auf Inhalt und Verlauf der Online-Meetings aus? Welche Art der Protokollierung erscheint dir am geeignetsten?
Leseempfehlungen
Hinweise zu den Beitragenden, zur Lizenz des Beitrags und ggf. verwendeten Medien
- Beitrag: Andrea Schlotfeldt | HOOU@HAW Hamburg, CC BY-SA 4.0.
- Headerbild: "Rechtshäppchen_Datenschutzrecht", Ronja Fischer | HOOU@HAW Hamburg, CC BY-SA 4.0.
