Automatisierte Meeting-Notizen: Datenschutzrechtliche Anforderungen bei der Transkription von Meetings gemäß DSGVO

In der modernen Arbeitswelt sind Online-Meetings nicht mehr wegzudenken. Sie fördern Flexibilität und Effizienz, insbesondere bei der Zusammenarbeit verteilter Teams. Mit der zunehmenden Digitalisierung und dem Einsatz künstlicher Intelligenz (KI) wird auch die automatische Transkription und Aufzeichnung von Besprechungen immer häufiger genutzt. Diese Technologie ermöglicht es, das gesprochene Wort in Gesprächen schnell und effizient in schriftliche Protokolle zu überführen und erleichtert so die Dokumentation und Informationsweitergabe. Doch neben ihren Vorteilen wirft die Nutzung von Transkriptionssoftware erhebliche Fragen zum Datenschutz und zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) auf. In diesem Artikel stellen wir Ihnen wichtige Praxistipps für den datenschutzkonformen Einsatz von Transkriptionssoftware zur automatische Transkription von Meetings dar.

Bedeutung der Transkription von virtuellen Meetings

Die Nachbereitung von Besprechungen ist in vielen Unternehmen eine zeitintensive Aufgabe. Auch wenn Aufzeichnungen existieren, erfordert die manuelle Erstellung von Protokollen erhebliche Ressourcen. Tools zur Transkription können hier Abhilfe schaffen:

• Zeitersparnis und Effizienz: Automatische Transkriptionslösungen reduzieren den Arbeitsaufwand.
• Verbesserte Dokumentation: Protokolle sind durchsuchbar und archivierungsfreundlich.
• Nachverfolgbarkeit: Eine klare Dokumentation unterstützt die Nachbereitung von Meetings.
• Kosteneffizienz: Unternehmen sparen durch den Einsatz von Software Ressourcen, die andernfalls für externe Dienste oder interne Manpower aufgewendet werden.

Transkriptionssoftware ist vielseitig einsetzbar – von der Protokollierung interner Besprechungen bis zur Dokumentation von Jours Fixes bis hin zu Daily Meetings. Bei der Transkription von Meetings gibt es einige Aspekte im Datenschutz und der IT-Sicherheit zu beachten.

Welche Rolle spielt der Datenschutz bei der Transkription von Meetings?

Unter Transkription versteht man die Umwandlung von gesprochener Sprache in schriftlichen Text. Dies kann manuell durch Personen oder automatisiert mittels spezieller Software erfolgen (Voice-to-Text-Software). In Unternehmenskontexten wird die Transkription häufig genutzt, um Meetings, Interviews oder Telefonate zu dokumentieren.

Da bei der Transkription personenbezogene Daten verarbeitet werden – beispielsweise Namen, Positionen oder das gesprochene Wort von Mitarbeitenden –, unterliegt dieser Prozess den Bestimmungen der DSGVO. Es ist daher unerlässlich, die datenschutzrechtlichen Anforderungen zu kennen und umzusetzen, um die Rechte der betroffenen Personen zu schützen und rechtliche Risiken für das Unternehmen zu minimieren.

Welche Datenschutzrisiken ergeben sich bei dem Einsatz von Transkriptionssoftware?

Der Transkriptionsprozess beinhaltet naturgemäß den Umgang mit sensiblen und oft vertraulichen Informationen. Unabhängig davon, ob es sich um eine gerichtliche Erklärung, eine Krankenakte oder eine Unternehmensstrategiebesprechung handelt, sind die in diesen Audio- und Videodateien enthaltenen. Diese umfangreiche automatisierte Verarbeitung im Kontext der KI-Nutzung und der Transkription von Meetings birgt auch Risiken im Datenschutz. Dazu gehören insbesondere:

• Streng vertrauliche Informationen oder geheime Unternehmensdaten werden transkribiert.
• KI-Betreiber haben keine ausreichenden IT-Sicherheitsmaßnahmen ergriffen.
• Die Datenbestände sind in der Transkriptionssoftware nicht adäquat geschützt.
• Hackerangriffe oder Datenpannen bei dem verursachen einen Missbrauch der Transkripte.
• Dritte verschaffen sich Zugriff auf die KI-basierten Transkripte.
• Transkripte umfassen personenbezogene Daten und diese werden vom Anbieter zu Trainingszwecken verwendet. 
• Algorithmen treffen Entscheidungen, die Personen oder Personengruppen diskriminieren.
• Die Nutzung von Transkriptionsdiensten erfolgt ohne datenschutzrechtliche Rechtsgrundlage.
• Mit dem Anbieter der Transkriptionssoftware wurde kein Auftragsverarbeitungsvertrag abgeschlossen.
• Betroffene werden nicht über die Datenverarbeitung bei der Transkription von virtuellen Meetings informiert.
• Datenverarbeitungen im Rahmen der Meeting Transkription wurden im Verzeichnis von Verarbeitungstätigkeiten nicht dokumentiert.
• Eine Datenschutz-Folgenabschätzung für die Transkription von Meetings wurde trotz der risikoreichen Datenverarbeitung im nicht durchgeführt 
• Eine Emotionserkennung und -analyse wird pauschal eingesetzt. 

Transkription von Meetings: So reduzieren Sie Risiken im Datenschutz

Datenschutzerklärung für Beschäftigte aktualisieren

Mitarbeiter müssen umfassend darüber informiert werden, welche Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden und zu welchen Zwecken dies geschieht. Daher sollte die bestehende Datenschutzerklärung um den Aspekt der automatisierten Transkription erweitert werden. Dies umfasst detaillierte Informationen darüber, welche Gespräche transkribiert werden, wie die Daten verwendet, verarbeitet und gespeichert werden sowie welche Rechte die Mitarbeitenden in diesem Zusammenhang haben. Zudem sollte eine Zustimmung zur Aufzeichnung von allen Mitarbeitenden eingeholt werden. Eine transparente Kommunikation stärkt das Vertrauen und reduziert potenzielle rechtliche Risiken. Sprechen Sie Ihren externen Datenschutzbeauftragten an und aktualisieren Sie Ihre Datenschutzerklärungen.

Frühzeitige Einbeziehung des Betriebsrats 

Die Einführung von Technologien zur automatisierten Transkription ist gemäß § 87 Absatz 1 Nr. 6 Betriebsverfassungsgesetz mitbestimmungspflichtig. Daher sollte der Betriebsrat frühzeitig in den Auswahl- und Einführungsprozess einbezogen werden. Es empfiehlt sich, eine Betriebsvereinbarung (BV) zu erstellen, die den Einsatz der Transkriptionssoftware regelt. Diese Vereinbarung sollte festlegen, für welche Arten von Meetings (z. B. Projektbesprechungen, tägliche Stand-ups) die Transkription zulässig ist. Eine Betriebsvereinbarung dient als klare Rechtsgrundlage und macht individuelle Einwilligungen der Beschäftigten überflüssig, was den administrativen Aufwand erheblich reduziert.

Richtlinie für eine DSGVO-konforme Protokollerstellung 

Um Missbrauch oder Fehlanwendungen zu vermeiden, sollten klare Richtlinien für den Einsatz der Transkriptionssoftware entwickelt werden. Insbesondere bei besonders vertraulichen Meetings, in denen strategische Entscheidungen oder Geschäftsgeheimnisse besprochen werden, sollte der Einsatz untersagt sein. Als Geschäftsführer oder leitender Angestellter sollten Sie eindeutig festlegen, für welche Meetings die Transkription erlaubt oder verboten ist. Eine verbindliche Unternehmensrichtlinie oder Arbeitsanweisung hilft, diese Vorgaben umzusetzen. Darin sollten Verantwortlichkeiten klar definiert und Vorgaben zur Datenminimierung sowie zu Sicherheitsmaßnahmen festgelegt werden. In größeren Unternehmen können diese Aspekte auch im Rahmen der Betriebsvereinbarung geregelt werden.

Datensicherheit des Anbieters prüfen

Vor der Einführung einer Transkriptionssoftware muss sichergestellt werden, dass der Anbieter ausreichende technische und organisatorische Maßnahmen zum Schutz der Daten implementiert hat. Die Sicherheitsmaßnahmen sollten dokumentiert und dem Auftragsverarbeitungsvertrag (AVV) als Anlage beigefügt werden. Eine gründliche Überprüfung minimiert das Risiko von Datenpannen und stellt sicher, dass die verarbeiteten Informationen jederzeit geschützt sind.

Abschluss von Datenschutzverträgen mit dem KI-Anbieter

Ein Auftragsverarbeitungsvertrag (AVV) ist vor der Nutzung der Software zwingend erforderlich. Dieser Vertrag regelt, dass der Anbieter die personenbezogenen Daten ausschließlich im Einklang mit der DSGVO verarbeitet und angemessene Sicherheitsvorkehrungen trifft. Klare Verantwortlichkeiten und die Zusicherung, dass Daten nicht für eigene Zwecke des Anbieters genutzt werden, sind essentiell.

Datenschutz-Folgenabschätzung durchführen

Vor der Einführung der Transkriptionssoftware sollte eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Diese Bewertung dient dazu, potenzielle Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und geeignete Maßnahmen zur Risikominderung festzulegen. Eine DSFA ist insbesondere dann notwendig, wenn neue Technologien eingesetzt werden, die mit einem hohen Risiko verbunden sein könnten, wie z. B. KI-gestützte Transkriptionssoftware.

Verzeichnisses von Verarbeitungstätigkeiten ergänzen 

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) muss um den Prozess der Transkription ergänzt werden. Dieses Dokument gewährleistet Transparenz und hilft dabei, alle Datenverarbeitungsprozesse im Unternehmen nachzuvollziehen. Es sollte Informationen über den Zweck der Verarbeitung, die betroffenen Personengruppen und Daten sowie die implementierten Sicherheitsmaßnahmen enthalten. Darüber hinaus können Aufsichtsbehörden gemäß Art. 30 Absatz 4 DSGVO Einsicht in das Verarbeitungsverzeichnis verlangen.

Berücksichtigung der Informationssicherheit

Sensible oder geheime Unternehmensdaten sollten nicht durch Transkriptionssoftware verarbeitet werden, um eine missbräuchliche Nutzung, beispielsweise als Trainingsdaten für KI-Systeme, zu vermeiden. Eine enge Zusammenarbeit mit dem Informationssicherheitsbeauftragten ist ratsam. Gemeinsam können Gesprächsarten identifiziert werden, die von der Transkription ausgeschlossen werden sollten. Klare Vorgaben zur Zutrittskontrolle und ein Berechtigungskonzept schützen vertrauliche Informationen vor ungewollter Weitergabe oder Nutzung. Beziehen Sie Ihren Informationssicherheitsbeauftragten in denProzess ein und etablieren entsprechende technische und organisatorische Maßnahmen.

Beachtung der KI-Verordnung: Wichtige Aspekte für den Einsatz von KI-Systemen

Was ist ein KI-System laut KI-Verordnung?

Gemäß Art. 3 Ziff. 1 der KI-VO handelt es sich bei einem KI-System um ein maschinengestütztes System, das weitgehend autonom agieren und nach seiner Inbetriebnahme anpassungsfähig sein kann. Es verarbeitet Eingaben, leitet daraus Ziele ab und erzeugt Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen, die sowohl in physischen als auch virtuellen Umgebungen wirksam sind.

Transkription und Gesprächszusammenfassung

Tools zur Transkription sind typische Beispiele für KI-Systeme im Sinne der KI-VO. Sie arbeiten autonom, erstellen Texttranskriptionen und fassen Inhalte zusammen – oft ohne menschliches Eingreifen. Diese Funktionen können Entscheidungen und Handlungen der Nutzer direkt beeinflussen, z. B. durch die Bereitstellung relevanter Informationen oder spezifischer Empfehlungen für die Kundenkommunikation.

Autonomie und Anpassungsfähigkeit

Ein zentrales Merkmal dieser Systeme ist ihre Autonomie: Nach der initialen Konfiguration und dem Training durch Menschen operieren sie weitgehend eigenständig. Auch wenn die Anpassungsfähigkeit keine zwingende Voraussetzung der Verordnung ist, verbessern viele Systeme ihre Leistung durch maschinelles Lernen. Sie können beispielsweise neue Sprachmuster oder terminologische Präferenzen erkennen und sich daran anpassen.

Technologische Grundlagen

Die KI-Systeme für Transkription und Zusammenfassung basieren auf maschinellem Lernen und Natural Language Processing (NLP). Sie analysieren Sprache in Echtzeit, erkennen grammatikalische Strukturen und setzen diese in einen sinnvollen Kontext. Dadurch entstehen präzise Textausgaben, die Nutzern helfen, Schlüsselinformationen zu identifizieren oder kritische Inhalte zu erkennen.

Fazit

Automatisierte Transkriptionslösungen können die Arbeit in Unternehmen erheblich erleichtern. Gleichzeitig ist der Schutz personenbezogener Daten essentiell, um rechtliche Risiken zu minimieren und das Vertrauen von Mitarbeitenden und Geschäftspartnern zu erhalten. Darüber hinaus erfüllen Anwendungen zur Transkription und Zusammenfassung von Gesprächen die Kriterien eines KI-Systems nach Art. 3 Ziff. 1 KI-VO. Mit einer sorgfältigen Planung, der Wahl geeigneter Anbieter und der Einhaltung der DSGVO können Unternehmen die Vorteile dieser Technologie sicher nutzen.

FAQ: Automatisierte Transkription von Meetings – Datenschutzrechtliche Anforderungen gemäß DSGVO