Datenschutz beim KI-Meeting-Transkript – Carolin Loy im Datenschutz Talk

Moderation:

Heiko Gossen

Zu Gast:

Carolin Loy

In dieser Themenfolge des Datenschutz Talk Podcasts spricht Heiko Gossen mit Carolin Loy, Bereichsleitung Digitalwirtschaft & Rechtsfragen Künstlicher Intelligenz beim Bayerischen Landesamt für Datenschutzaufsicht, über die Herausforderungen automatisierter KI-Transkription und Zusammenfassung von Meetings – live oder nachträglich.

Im Fokus stehen zentrale datenschutz- und strafrechtliche Fragestellungen:

Welche Rechtsgrundlagen kommen für die Transkription in Frage – berechtigtes Interesse oder Einwilligung nach Art. 6 DSGVO?
Wie definiert man Zweck und Erforderlichkeit datenschutzkonform?
Welche Erwartbarkeits-, Informations- und Transparenzpflichten gelten für Teilnehmer?
Wie steht das Ganze im Verhältnis zum § 201 StGB („Verletzung der Vertraulichkeit des Wortes“)?
Was sollte man bei Speicherung, Löschfristen und Zusatzfunktionen (z. B. Zusammenfassungen, To-Dos) beachten?

Carolin Loy zeigt praxisnah auf, wie Unternehmen und Organisationen die datenschutz- und strafrechtlichen Risiken minimieren, richtige Informierungsprozesse gestalten und dokumentieren können.

Der angesprochene Beitrag von Arne Klaas und Eren Basar findet sich hier.

Praxis-Tipp: Schon bei der Einladung informieren und bei Beschäftigten interne Leitlinien/Betriebsvereinbarungen nutzen, um Transparenz und Freiwilligkeit zu sichern.

Schreibe einen Kommentar Antwort abbrechen

Transkript zur Folge:

In der heutigen Folge erfahrt ihr, wie ihr datenschutzkonform eure Termine per
KI transkribieren und zusammenfassen lassen könnt. Bleibt also dran!
Ich begrüße euch recht herzlich zu einer aus meiner Sicht sehr praxisrelevanten
Folge unserer losen Reihe der Themenfolgen.
Denn neben unseren wöchentlichen News, die ja jeden Freitag die Datenschutz-News
der Woche zusammenfassen, freue ich mich in unregelmäßigen Abständen über kompetente
Gäste, um einzelne Themen hier zu vertiefen.
Und heute geht es um eine Funktion, die, ja, ich glaube, zunehmend Verbreitung
findet und immer mehr Einzug in unsere Meetingkultur nimmt.
Die automatische Transkription von Meetings. Sie verspricht Effizienz,
bessere Dokumentation, mehr Barrierefreiheit, wirft aber natürlich auch sehr
grundlegende Datenschutz und sogar strafrechtliche Fragen auf.
Und genau damit beschäftigen wir uns heute.
Und zwar nicht oberflächlich, sondern entlang der zentralen Datenschutzfragen.
Und am Ende erfahrt ihr dann noch, welches datenschutzfreundliche Tool wir hier
bei der MikroSense gerade testen.
Also von daher bleibt auf jeden Fall bis zum Ende dran. Ich freue mich sehr,
dass ich für dieses Thema Carolin Leu heute zu Gast habe.
Sie ist Bereichsleitung Digitalwirtschaft und Rechtsfragen künstlicher Intelligenz
sowie Pressesprecherin beim Bayerischen Landesamt für Datenschutzaufsicht,
Juristin und Autorin eines aktuellen Beitrags zur KI-gestützten Transkription
von Videokonferenzen in der aktuellen Ausgabe des Datenschutzberaters.
Deswegen herzlich willkommen und schön, dass Sie da sind, Carolin Leu. Ja, hallo.
Vielen Dank für die Einladung.
Frau Loy, Sie haben einen sehr, wie ich finde, guten Artikel geschrieben,
der das Thema rechtliche Bewertung, Transkription in Meetings,
ich habe es eingangs schon gesagt,
zunehmende Funktion, die wir viele vielleicht auch schon zu schätzen gelernt haben, nutzen.
Wie ist das Thema bei Ihnen überhaupt aufgeschlagen? In welchen Fällen in der
Praxis sind Sie konfrontiert worden, dass Sie sich damit überhaupt so beschäftigt haben?
Ja, also überraschenderweise im Vergleich zu sonst ist es tatsächlich nicht
aufgrund von Beschwerden, denn das ist ja meistens der Fall,
dass wir uns aufgrund von Beschwerden mit Themen auseinandersetzen.
In diesem Kontext haben wir allerdings gar keine Beschwerden,
sondern es sind tatsächlich Beratungsanfragen. Also wir haben ganz,
ganz viele Verantwortliche, also vor allem Arbeitgeber, die nachfragen,
wie sie das denn datenschutzkonform abbilden können.
Also da merkt man auch, man möchte es tatsächlich auch richtig machen,
man möchte diese neuen Funktionen nicht einfach nutzen, sondern wirklich auch
schauen, wo sind denn hier auch die Fallstricke vielleicht und ja,
was kann man denn vornherein einfach auch richtig machen.
Jetzt ist ja, glaube ich, unter uns Datenschützer wahrscheinlich ein natürlicher
Reflex, erst mal das auf eine Einwilligung vielleicht zu stützen.
Auch etwas, was, glaube ich, an sehr vielen Stellen so gehandhabt wird.
Ich bin ganz ehrlich, bei uns, wir testen ja auch gerade verschiedene Tools
und da ist natürlich die Einwilligung erst mal ein einfacher und vermeintlich
probater Weg, um eine Rechtsgrundlage zu finden.
Insbesondere, weil wir ja auch noch einen strafrechtlichen Aspekt haben.
Da kommen wir gleich aber auch nochmal zu.
Sie haben sich jetzt insbesondere ja mit der Frage,
Ist das eventuell auch etwas, was man auf ein berechtigtes Interesse stützen kann, beschäftigt.
Und ich glaube, da sollten wir vielleicht einmal anfangen mit den Zwecken.
Also es ist ja typischerweise so, dass wir am Zweck erstmal gucken müssen,
was ist denn überhaupt eine legitime Rechtsgrundlage?
Und was sind das für Zwecke, die Ihnen da begegnet sind, warum Leute Termine
transkribieren lassen oder Gespräche transkribieren lassen möchten und dann
anschließend wahrscheinlich auch nicht selten per KI auch noch zusammenfassen lassen möchten?
Ja, also ich glaube, in dem Bereich, da liegt es ziemlich auf der Hand,
dass man meistens natürlich eine gewisse Effizienzsteigerung erwartet oder einfach
auch Fehleranfälligkeiten tatsächlich hat, wenn ein manuelles Protokoll geschrieben
wurde oder dass es vielleicht auch schwierig ist.
Also da muss ich sagen, auch aus eigener Erfahrung würde ich mir das manchmal
wünschen, wenn ich gerade an Besprechungen im Rahmen des Europäischen Datenschutzausschusses denke,
wo man eben viele verschiedene Nationalitäten hat, die alle ein bisschen unterschiedlich
auch Englisch sprechen oder man denke vielleicht an die Iren,
die manchmal einen doch etwas strengeren Dialekt haben, wo es manchmal auch
ein bisschen schwierig ist, das verstehen zu können.
Das haben wir sehr häufig, also dass wir große Unternehmen haben,
die sagen, sie haben multinationale Teams,
Wo es eben immer ein bisschen schwieriger ist oder auch gerade,
wenn es natürlich sehr große Konferenzen sind, wo man dann zwar oft jemanden
dabei hat, der mitschreibt, wo das Ganze aber auch durchaus herausfordernd ist.
Also von daher ist meistens die Effizienzsteigerung oder auch,
dass man generell Transkripte überhaupt hat.
Also das muss man ja auch ein bisschen unterscheiden. Einmal,
wie mache ich das Transkript und habe ich generell ein berechtigtes Interesse
daran, dass ich überhaupt transkribiere, egal ob manuell oder mit technischem To ist.
Und bei der manuellen Transkription ist es ja auch so, dass man da natürlich
überlegt, was möchte ich denn mit dem Transkript auch machen?
Also möchte ich das vielleicht für Schulungszwecke aufbewahren?
Möchte ich gewisse Projekte einfach nachvollziehen können, wie die geplant worden sind oder ähnliches?
Also das meiste, was wir hier tatsächlich haben, ist im beschäftigten Kontext.
Also da waren die meisten Beratungsanfragen. Und ja, ich betone aber trotzdem
auch immer ganz gerne, dass man gut beraten ist, auch hier dieses berechtigte
Interesse nicht leichtfertig irgendwie darzustellen.
Also das sieht man ja ganz oft, wenn dann einfach nur dasteht Effizienz,
Optimierung oder also in der Praxis jetzt nicht in dem Kontext,
aber auch in anderen Fällen sehen wir auch oft sowas wie, das macht man so.
Das ist natürlich fraglich, wie weit man dann kommt, denn auch der EuGH sagte,
dass das berechtigte Interesse sehr, sehr weit zu verstehen ist.
Also das heißt, da haben wir ja alles, was nicht gesetzeswidrig ist,
was real ist und was tatsächlich auch gegenwärtig ist, kann ja ein berechtigtes
Interesse sein. Aber ich glaube, hier ist es auch wichtig, dass man sich vor Augen führt.
Das zeigt ja auch, wie die weitere Prüfung erfolgt. Also wenn ich die weiteren
Schritte der Interessensabwägung gehe, dann referenziere ich ja immer wieder
auf dieses berechtigte Interesse.
Und das heißt, man sollte sich schon auch wirklich überlegen,
was möchte ich denn erreichen?
Da kommen wir vielleicht auch später noch dazu, aber Sie hatten es auch schon
angesprochen mit Barrierefreiheit zum Beispiel.
Das kann natürlich auch ein berechtigtes Interesse sein, dass ich sage,
ich möchte die Möglichkeit geben, wenn ich zum Beispiel eine Live-Transkription
habe, dass die Teilnehmer auch wirklich teilnehmen können und nicht erst danach
ein Transkript haben, sondern auch währenddessen zum Beispiel.
Also da gibt es verschiedene Varianten und da sollte ich mir wirklich auch die
Mühe machen, wirklich herauszufinden, was genau ist in meinem berechtigtes Interesse
und nicht einfach nur sagen Effizienzsteigerung und Dokumentation,
sondern wirklich versuchen, so spezifisch wie möglich zu sein.
Ich glaube, das ist nochmal ein wichtiger Punkt, der nochmal,
wenn es dann wirklich auch um die Frage der Rechtsgrundlage geht,
Sie haben es schon angesprochen, das berechtigte Interesse geht grundsätzlich
auch laut EuGH-Rechtsprechung sehr weit.
Auf der anderen Seite, Stichwort EuGH, haben wir natürlich auch Urteile,
die wiederum die Erforderlichkeit vom EuGH natürlich auch sehr streng wiederum beleuchten.
Ich erinnere mich an die Folge mit Ihrem Präsidenten, Herrn Will,
letztes Jahr zum Thema Anrede zum Beispiel bei der französischen Bahn.
Ist ja ein schönes Beispiel dafür, aber wir haben noch andere Urteile ja auch gesehen,
wo der EuGH ja dann wiederum die Frage der Erforderlichkeit sehr,
sehr streng abarbeitet und natürlich auch immer wieder prüft,
ist die Einbilligung eventuell nicht die bessere Rechtsgrundlage, sage ich mal.
Und ich glaube, bevor wir da drauf gucken, ist nochmal vielleicht auch wichtig
zu verstehen, wir haben ja im Hintergrund eine Verarbeitung der Sprache,
weil es wird ja letztendlich das, was man spricht in einem Termin,
aufgezeichnet, auch wenn es je nach Tool kurz- oder längerfristig vielleicht
auch ist, aber es wird ja trotzdem erstmal technisch aufgezeichnet,
um dann durch eine entsprechende Software, meistens eine KI,
dann über die Funktion in einen Text überführen zu lassen.
Wie blicken Sie da auf die Rechtsprechung des EuGH, was die Erforderlichkeit angeht?
Und wie kommen wir jetzt bei dem Thema Transkription dahin, dass wir auch sagen
können, ja, hier ist tatsächlich auch die Erforderlichkeit dann für diese Maßnahme gegeben.
Ja, also das kommt jetzt wieder zu dem, was ich gesagt habe,
mit je nachdem, wie ich denn mein berechtigtes Interesse auch definiert habe.
Denn da merkt man dann bei der Erforderlichkeit schon, wenn ich einfach nur
Effizienzsteigerung reinschreibe oder Verbesserung der Kommunikation,
Da habe ich viele andere Möglichkeiten.
Das heißt, es kommt ganz genau darauf an, wie habe ich das denn formuliert.
Denn danach richtet sich auch mein Maßstab bei der Erforderlichkeit.
Und bei der Erforderlichkeit geht es ja darum zu sagen, gibt es denn gleich
wirksame Mittel, die weniger invasiv sind.
Das heißt, auch der EuGH sagt nicht, dass ich mich hier auf Verarbeitungstätigkeiten
zurückziehen muss, die weniger wirksam sind, die weniger effektiv sind.
Das ist allerdings etwas, was ich prüfen muss. Also das heißt,
wenn ich mir jetzt diesen Fall anschaue und schaue, ich möchte das mit einem
Videokonferenz-Tool machen, ich möchte eine automatische Transkription haben,
dann muss ich natürlich überlegen, welche...
Und Alternativen habe ich. Wäre dann zum Beispiel die manuelle Protokollierung.
Das heißt, ich muss mir dann anschauen, was passiert denn, wenn ich manuell protokolliere.
Und dann kommen die Sachen, die ich gerade schon auch gesagt habe,
dass ich zum Beispiel sage, naja, wenn relativ viele Teilnehmer sind bei einer
großen, bei einer langen Konferenz, da wird es schon schwierig,
das händisch wirklich mitzuschreiben.
Oder wenn wir eben verschiedene Nationalitäten haben, die nicht alle Muttersprachler
sind in einer Sprache, da zu sagen, das kann natürlich auch Verständnisprobleme geben.
Oder aber wenn ich sage, die Barrierefreiheit wäre vielleicht mein berechtigtes
Interesse und es geht mir darum, um diese Live-Transkription,
dann kann ich natürlich zu sagen, naja, mit manuellen Protokollen kann ich das
natürlich nicht erreichen, denn die kommen immer erst hinterher.
Das heißt, die Teilhabe kann ich dadurch nicht ermöglichen, dass ich das hinterher
nachvollziehen kann, sondern diese Menschen mit Hörbeeinträchtigungen zum Beispiel,
die sollen ja währenddessen teilhaben können.
Also das heißt, die Erforderlichkeit bemisst sich hier ganz grundlegend nach
dem berechtigten Interesse.
Darüber hinaus, das zeigt uns der EuGH auch wieder, spielt hier der Grundsatz
der Datenminimierung mit rein.
Also das heißt, ich muss schauen, wie viele Daten brauche ich denn wirklich.
Und da finde ich es immer so ein bisschen dieses Missverständnis,
Grundsatz der Datenminimierung heißt nicht Datenvermeidung um jeden Preis,
sondern es geht darum zu schauen, welche Daten sind denn tatsächlich nötig,
welche Daten sind erforderlich.
Und da habe ich in diesem ganzen Kontext natürlich auch viele Möglichkeiten,
wo ich sage, ich kann diese Erforderlichkeitsprüfung für mich als Verantwortlichen
zugunsten ausfallen lassen.
Wenn ich mir zum Beispiel anschaue, dass eben nicht jede Videokonferenz transkribiert wird.
Also wenn ich jetzt pauschal sage, wir transkribieren jetzt alles immer mit
dem Videokonferenztool, da ist natürlich dann schon die Frage,
ob das erforderlich ist für den konkreten Zweck.
Dann habe ich natürlich auch noch andere Maßnahmen, um zu sagen,
welche Maßnahmen treffe ich denn, um einfach zu schauen, ist es wirklich erforderlich.
Also wenn ich diese Audiodatei, das hatten Sie gerade auch gesagt,
es erfolgt ja immer eine Zwischenspeicherung.
Also dieses Audiosignal wird irgendwo zwischengespeichert, manchmal aber auch
längerfristig gespeichert.
Da ist natürlich dann auch die Frage bei der Erforderlichkeit,
brauche ich diese Audiodatei, wenn das Transkript erstellt ist?
Das heißt, da sollte natürlich dafür Sorge getragen werden, dass die möglichst gelöscht wird.
Automatisch am besten, wenn das Transkript erstellt ist.
Dann geht es natürlich auch darum zu sagen, was ist denn mit diesem Transkript?
Denn wenn das erstmal in dieser Rohfassung rauskommt und dann noch ein Mensch
drüber schaut und das Korrektur liest und dann freigibt, brauche ich dann die
erste Version tatsächlich noch?
Also all diese Fragen spielen bei der Erforderlichkeit natürlich mit rein,
um zu sagen, wie habe ich denn da wirklich Möglichkeiten, das auch zu begrenzen?
Hängt natürlich auch immer vom Tool ab, was ich an der Stelle machen kann,
aber da gibt es durchaus Möglichkeiten. Und wie gesagt auch immer die Dokumentation,
gerade auch im Hinblick, was haben wir denn noch für Mittel.
Der Punkt tatsächlich die Aufbewahrung von dem Audio-File als solches ist auch
ein Punkt, der mir auch sehr häufig auffällt, wo ich also auch.
Sozusagen jeden, der im Unternehmen oder bei seinem Kunden das vielleicht zur
Prüfung hat, darauf hinweisen würde, da wirklich genau hinzuschauen.
Also es gibt sehr viele Tools, Drittanbieter, die man zum Beispiel auch in Videokonferenzen
einfach mit einbinden kann,
die dann aber nicht nur das Audio sogar aufnehmen, sondern teilweise sogar das
Video mit aufzeichnen und das dann auch entsprechend lange speichern.
Und da, glaube ich, sind wir uns einig, da wird es mit den herkömmlichen Zwecken
wahrscheinlich sehr schnell sehr eng, das auf ein berechtigtes Interesse zu stützen, weil,
wie Sie schon sagen, ich muss natürlich genau wissen, was möchte ich denn erreichen
und dann auch sehr schnell die dahinterliegenden Rohdaten, sei es jetzt die
Audio-Video-Aufzeichnung, sei es das Transkript als solches,
sehr schnell löschen, sobald die Notwendigkeit dafür einfach auch entfällt,
dieses im Detail zu speichern.
Kommen wir bei der Frage vielleicht nochmal der Rechtsgrundlage auf die Alternative der Einwilligung.
Wir Datenschützer kennen das natürlich. Die Einwilligung ist gerade im Beschäftigungsverhältnis
etwas, was man sehr genau prüfen muss.
Auf der anderen Seite ist es natürlich, je nachdem mit wem ich Termine habe,
vielleicht auch ein einfaches, vielleicht aber auch ein weniger einfaches,
die einzuholen. Sie sprachen eben zum Beispiel auch von sehr großen Konferenzen.
Da wird es natürlich schon irgendwann auch einfach sehr schwierig,
die Einwilligung für alle irgendwie sauber zu dokumentieren.
Was sind andere oder was sind Ihre Überlegungen, warum man vielleicht auf die
Einwilligung nicht im ersten Schritt gehen sollte?
Also ich muss sagen, das ist vielleicht auch ein bisschen dem geschuldet,
dass ich ja auch ganz viel Datenschutz im Internet mache.
Also das heißt, ich beschäftige mich ja relativ viel mit dem Thema Cookie, Banner und Co.
Und bin daher vielleicht generell kein großer Fan der Einwilligung,
weil ich schon auch glaube, dass die Einwilligung ja gewisse Hürden hat,
die auch in diesem Kontext schwer zu umschiffen sind. Und auch wenn wir uns
anschauen, was die Organisation zum Beispiel betrifft.
Ich muss mir Fragen stellen mit, wie dokumentiere ich denn diese Einwilligung?
Dann ist die Einwilligung immer für den konkreten Fall. Also das heißt,
ich muss mir überlegen, wie formuliere ich die Einwilligung?
Muss ich sie dann für jedes Meeting neu einholen an dieser Stelle?
Und wie kann ich das dann wieder dokumentieren?
Und welche Änderungen habe ich an der Stelle? Wie gesagt, dann gerade im Beschäftigten-Kontext,
also das waren eben die Hauptfälle, die uns beschäftigt haben,
haben wir natürlich generell das Freiwilligkeitsproblem. Von daher...
Finde ich diesen Reflex, immer automatisch zur Einwilligung zu greifen,
Ein bisschen schwierig, sondern auch das etwas, was wir an vielen Stellen merken,
also nicht nur in dem Bereich, dass die Einwilligung so ein bisschen automatisch
als erster Weg genommen wird.
Und da müssen wir aber auch sagen, auch wieder, wenn wir in die EuGH-Rechtsprechung
schauen, das klingt natürlich an manchen Stellen ein bisschen an.
Aber auch der EuGH betont letztlich
dann doch immer wieder, dass die Rechtsgrundlagen gleichwertig sind.
Dass zwar die anderen B bis F restriktiv auszulegen sind, neben der Einwilligung
auch, aber grundsätzlich, dass die gleichwertig sind. Und das ist ja auch das,
was der Europäische Datenschutzausschuss ja auch in seinen Leitlinien zum berechtigten
Interesse auch gesagt hat.
Also von daher glaube ich schon, dass es sich lohnen kann, an dieser Stelle
auch zu sagen, ich prüfe auch andere Rechtsgrundlagen, die ich zwar dokumentieren
muss und auch hier natürlich nicht mit einer einmaligen Dokumentation am Ende
bin, sondern sagen muss, es ist ein Prozess, den ich immer wieder überprüfen muss.
Aber ich habe es gegebenenfalls einfacher als mit einer Einwilligung,
wo ich mir noch andere Gedanken machen muss, eben zum Beispiel,
wie speichere ich das Ganze,
wie kann ich wirklich auch schauen, dass jeder Meetingteilnehmer dann diese
Einwilligung abgibt und wie gehe ich damit um, wenn ich eben keine Einwilligung habe.
Andererseits muss man sagen, gibt es natürlich auch Fallkonstellationen,
da brauchen wir die Einwilligung.
Also gerade wenn wir im Bereich Artikel 9 Daten natürlich sind,
wenn wir uns überlegen, es gibt vielleicht auch Arten von Gespräche,
die ich vielleicht ausklammern sollte bei den Videokonferenzen.
Wenn ich sage, es geht um Personalgespräche oder Wiedereingliederungsmanagement
oder ähnliches, das sind Themen, wo ich sage, um eine Einwilligung werde ich da nicht herumkommen.
Das heißt, da ist natürlich dann zu prüfen, kann ich hier überhaupt wirksam
eine Einwilligung einholen oder eben nicht.
Auch da, glaube ich, kann man natürlich nochmal unseren Zuhörer vielleicht auch den Tipp mitgeben.
Es ist ja nicht so, dass die Transkription immer zulasten des Arbeitnehmers sein muss.
Also das heißt, wie Sie schon sagen, ich glaube, es ist sehr wichtig,
situativ genau darauf zu schauen.
Vielleicht, wenn man jetzt im Unternehmen ist, den Mitarbeitenden,
die diese Tools nutzen sollen, dürfen, dann auch entsprechende Leitplanken mitzugeben,
worauf ist dann zu achten, damit man auch von einer Freiwilligkeit zu einer
Einwilligung wirklich ausgehen kann im Beschäftigungsverhältnis.
Heißt, sie ist nicht per se ausgeschlossen, aber ich glaube,
es ist wichtig, dass man genau auf den Umstand guckt und dann auch dokumentiert,
warum man der Meinung ist, dass sie in so einer Situation zum Beispiel dann
auch entsprechend als freiwillig gelten kann.
Ein anderer Aspekt, nochmal zurück zur Interessenabwägung, ist ja auch immer
ein Stück die Erwartbarkeit.
Also das heißt, wir haben ja, wenn wir jetzt die Rechtsgrundlage 61F nehmen
möchten im Unternehmen, also das heißt, wir haben also ein entsprechendes,
konkretes berechtigtes Interesse, wir haben das jetzt abgewogen,
haben geguckt, gibt es mildere Mittel, sind vielleicht zum Ergebnis gekommen,
sehen wir hier nicht, weil es ist vielleicht für das Unternehmen viel teurer
oder unwirtschaftlich und so weiter.
Also haben wir erstmal die Voraussetzungen geschaffen.
Auf der anderen Seite, und auch das wissen wir ja aus der EuGH-Rechtsprechung,
ist natürlich dann die Erwartbarkeit des Betroffenen, die Informiertheit.
Auch hier beim berechtigten Interessen haben wir ja Hinweispflichten und auch
das, wie gesagt, wissen wir aus dem Urteil gegen die französische Bahn.
Wenn das berechtigt Interesse nicht in den Datenschutzhinweisen drinsteht,
dann gilt es auch entsprechend als unzulässig, sich darauf zu stützen.
Was ist Ihre Erfahrung?
Was sind Ihre Tipps? Wie kann ich jetzt diese Anforderungen im Businessalltag
geschickt umsetzen, um hier meinen Informationspflichten gerecht zu werden,
um vielleicht auch Widerspruchsmöglichkeiten für Betroffene abzubilden?
Ja, ich glaube, das ist ein ganz wichtiger Punkt, da uns ja der EuGH auch gesagt
hat, dass er die Information hier auch als gewisse Vorbedingung für die Rechtsgrundlage 6.1.f.
Tatsächlich anzieht. Also das heißt, der EuGH hat ja auch gesagt in der SNCF-Entscheidung,
dass es eben gar nicht möglich ist, sich auf 6.1.f.
Zu berufen, wenn ich nicht über das berechtigte Interesse informiert habe.
Also das heißt, das ist natürlich ein sehr wichtiger Punkt, damit das generell
funktionieren kann. Und hier muss ich natürlich auch die Frage stellen,
wie kann ich das abbilden?
Also das heißt, ich würde auf jeden Fall sagen, bei der Meeting-Einladung das
tatsächlich auch mit senden, also auch wie wird aufgezeichnet,
was ist es denn tatsächlich, wie ist das Tool auch konfiguriert,
mit welchem Tool nehme ich auf?
Ist es eine Live-Transkription oder ist es nur ein nachträgliches Transkript?
Wird die Audio-Datei gespeichert oder wird sie nicht gespeichert?
Wie lange wird das Transkript gespeichert? Wer hat darauf Zugriff?
Also all diese Punkte, die sollten
an der Stelle schon in der Einladung tatsächlich auch genannt werden.
Oder wenn es darum geht, innerhalb eines Unternehmens das zu machen,
ist es auch durchaus möglich, das in eine Betriebsvereinbarung zu gießen und
auch vielleicht darzulegen an der Stelle schon, welche Videokonferenzen denn
generell darunter fallen, also welche können betroffen sein.
Dann natürlich auch hier wieder der Hinweis auf Artikel 9, also auch darauf
hinzuweisen, was sind denn vielleicht Artikel 9 Daten, denn das weiß vielleicht
auch nicht jeder im Unternehmen direkt,
Sondern auch zu sagen, bitte nicht darüber sprechen, wenn die Aufzeichnung beginnt,
dass der Kollege XY jetzt schon wieder krank ist oder was auch immer.
Also weder über sich selber noch über andere.
Also darauf auch wirklich hinweisen. Und das würde ich tatsächlich auch nochmal
wiederholen, wenn die Videokonferenz startet, je nachdem auch welche Möglichkeiten man beim Tool hat,
auf jeden Fall der Hinweis, dass wir eine Aufzeichnung haben,
also dass wir eine Transkription haben, aber auch
Und gegebenenfalls per Ansage am Telefon, falls man per Telefon teilnehmen kann.
Also, dass es einem auch wirklich nochmal bewusst gemacht wird.
Denn ich weiß ja nicht, wie es Ihnen geht, aber wenn so eine Einladung kommt
zu einem Meeting, irgendwie zwei Wochen vorher,
die lese ich dann vielleicht nicht nochmal kurz vorher durch und habe ich vielleicht
auch nicht in der Tiefe gemacht, sondern denke mal, ah ja, ich habe den Termin
und dann trete ich bei und dann weiß ich das vielleicht schon gar nicht mehr.
Also von daher auch auf jeden Fall zu Beginn der Videokonferenz.
Und dann kann man auch sagen, das ist durchaus etwas, was erwartbar sein kann,
dass solche Gespräche, gerade wenn es zum Beispiel um ein bestimmtes Projekt
geht, dass das irgendwo festgehalten wird. Das ist etwas, das ist nachvollziehbar.
Nicht nachvollziehbar ist hingegen zu sagen, man hat ja eine Überwachung der
Mitarbeiter, man hat ein Daueraufnehmen, vielleicht auch sogar noch mit dem Video dazu.
Das sind alles Dinge, die nicht erwartbar sind. Aber dass es rein um die Inhalte
geht, das ist etwas, wo ich auch sage, ich glaube, da kommt man auch gut mit
der Rechtsprechung des EuGH in Einklang zum Thema Erwartbarkeit.
Und wie gesagt, das ist auch, glaube ich, auch tatsächlich hilfreich,
auch wirklich zu informieren und nicht nur eine Formalität, Weil es zum einen
dazu beiträgt, natürlich auch, wie Sie es auch schon angesprochen haben,
über das Widerspruchsrecht zu informieren.
Auch das ist ja ein sehr wichtiger Bestandteil, ohne dass wir die Rechtsgrundlage
nicht datenschutzkonform abbilden können.
Und auch wirklich aufzuzeigen, welche alternativen Möglichkeiten gibt es denn.
Wie sieht es denn aus, wenn tatsächlich ein Widerspruch ausgeübt wird?
Aber auch zum Beispiel, um sich selber vielleicht auch ein bisschen aus der
Gefahrenzone zu nehmen. Denn nehmen wir wieder das Beispiel mit den Artikel 9 Daten.
Wenn dann im Gespräch doch darüber gesprochen wird, naja, dann kann ich natürlich
überlegen, ist das jetzt noch dem Verantwortlichen zuzurechnen,
wenn darüber ausdrücklich informiert wurde.
Das Thema brauchen wir dann auch, wenn wir zum Punkt des Strafrechts kommen, nochmal.
Auch da spielt natürlich die Information eine Rolle, dass ich sage,
ich weiß wirklich, was da passiert.
Thema Widerspruch, weil wir haben ja zwei Voraussetzungen für das Widerspruchsrecht
oder zwei Alternativen, sage ich mal.
Wir haben ja einmal den recht einfachen Widerspruch, den ich nicht begründen
muss, wenn es um Direktwerbung geht.
Da reicht sozusagen einfach nur den Widerspruch auszusprechen auf der anderen Seite.
Aber wären wir hier in einem Bereich, der nicht, in der Regel bei den Cases,
die mir so vor Augen sind, wahrscheinlich nicht um Direktwerbung geht.
Also das heißt, wir wären üblicherweise im Widerspruchsrecht nach 21 Absatz 1.
Also ich müsste als Betroffener das auch begründen, damit der Widerspruch entsprechend
auch durchgeführt werden muss. Und wie würden Sie das aber in der Praxis sehen?
Es ist ja natürlich etwas, wo ich jetzt, wenn ich in den Termin reinkomme und
man mich nochmal daran erinnert, der wird jetzt automatisch transkribiert,
wahrscheinlich in dem Moment Schwierigkeiten habe, da eine ausführliche Begründung für heranzuführen.
Also da muss man natürlich sagen, dass das etwas ist, wo wir empfehlen würden,
natürlich größtmögliche Sicherheit zu geben und zu sagen, okay,
wenn dieser Widerspruch kommt, auch wenn es vielleicht dann nicht rechtfertigt
ist, das trotzdem erstmal wahrzunehmen.
Denn einfach zu sagen, ich verarbeite jetzt trotzdem mal und wenn es hinterher
nicht passt, naja, dann war es halt falsch.
Das ist natürlich nicht die Art und Weise, wie es sein sollte.
Zudem, wenn man sagt, man hält die Hürde hier besonders niedrig und geht auch
hier auf einen niederschwelligen Widerspruch, ist das ja auch wieder etwas,
was in die Interessensabwägung mit einfließen kann, dass ich sage,
ich mache das bedingungslos möglich.
Darüber hinaus, finde ich, ist es aber auch hier wieder wichtig zu informieren,
wie ist es denn, wenn ich das nicht möchte? Was kann ich denn machen?
Kann man vielleicht, hat man Möglichkeiten, nur einen Teil der Videokonferenz zu transkribieren?
Vielleicht ist ein Teil wichtig, bei dem der ein oder andere Teilnehmer gar
nicht mehr dabei sein muss.
Kann ja auch sein. Es gibt die Möglichkeit, also das ist ja auch technisch immer
so eine Frage, kann ich einzelne Sprecher ausblenden?
Ist, glaube ich, bislang noch nicht wirklich möglich, das sauber zu machen.
Aber ich glaube, auch hier wird sich natürlich noch etwas entwickeln,
um zu sagen, Sprecher XY wird einfach nicht mit aufgezeichnet.
Also das heißt, das sind natürlich auch Sachen, dass ich darüber von vornherein
schon informieren kann.
Aber ich würde tatsächlich auch sagen, ich würde das erstmal niederschwellig
ausgestalten, um es auch für die Interessensabwägung zu haben.
Und dann ansonsten tatsächlich zu gucken, denn dann muss man auch sagen,
welche Gründe gäbe es denn, warum man wirklich das begründen könnte.
Für mich wäre jetzt, was mir einfallen würde, wäre zum Beispiel,
wenn jemand eben kein Muttersprachler wäre und dann sagen würde,
naja, anhand des Transkripts erkennt man,
dass ich vielleicht Schwierigkeiten habe, dass meine Sätze grammatikalisch nicht
korrekt sind oder wie auch immer.
Also solche Sachen würden mir natürlich einfallen, dass ich sage,
mir ist es irgendwie unangenehm, weil man dann anhand des Textes erkennt,
dass ich Schwierigkeiten habe oder sowas in diese Richtung.
Das Thema...
Aber Erwartbarkeit und auch Transparenz, glaube ich, ist auch nochmal ein sehr
wichtiges Thema, wenn es um die strafrechtlichen Aspekte geht.
Wir haben ja im 201 Strafgesetzbuch ein Verbot, das nicht öffentlich gesprochene
Wort aufzunehmen und technisch, das haben wir vorhin schon mal kurz geklärt,
erfolgt ja zumindest immer mindestens kurzfristig eine Aufnahme und danach ja
in der Regel noch eine wortwörtliche Wiedergabe.
Wie schätzen Sie hier das Verhältnis datenschutzrechtlich transparent zu sein
und auf der anderen Seite dann aber die sehr strenge Regelung des 201 StGB ein?
Also hier muss man, glaube ich, zuerst mal unterscheiden, ob man tatsächlich
auch im Anwendungsbereich ist.
Also ich betone an der Stelle, ich bin keine Strafrechtlerin und möchte an der
Stelle auch gleich mal liebe Grüße an Arne Klaas rausschicken.
Die haben nämlich einen ganz tollen Aufsatz oder Beitrag dazu geschrieben,
wie denn hier das Strafrecht und das Datenschutzrecht zusammenspielen.
Denn das finde ich tatsächlich ganz interessant, dass man sich zum einen erstmal
die Frage stellen muss, reicht diese Zwischenspeicherung, also wenn das wirklich
nur so ein On-the-Fly ist, reicht das wirklich aus, um schon von einer Speicherung
im strafrechtlichen Sinne zu sprechen?
Und darüber hinaus dann die Frage, das Unbefugte aufzeichnen,
ist an der Stelle verboten. Und da ist
momentan die Frage und das ist auch höchstrichterlich noch nicht geklärt.
Zu sagen, naja, wenn ich eine datenschutzrechtliche Grundlage habe, also wenn der 6.1.f.
Sauber durchgeht an dieser Stelle, habe ich dann eine Befugnis,
die ich auch auf das Strafrecht anwenden kann.
Denn wenn man sich die Rechtsordnung anschaut, also im Sinne der Einheitlichkeit
der Rechtsordnung muss man sagen, die Verarbeitung von personenbezogenen Daten
wird durch die DSGVO geregelt.
Also das heißt, eigentlich wäre es ja widersinnig zu sagen, ich habe hier eine
Befugnis nach der DSGVO und über die Hintertiere strafrechtlich geht es dann doch wieder nicht.
Also das fände ich schon ein bisschen schwierig auch zu sagen und wird wohl
auch verbreitet so gesehen.
Andererseits muss man natürlich auch überlegen, was möchte denn das Strafrecht?
Das Strafrecht möchte eine Einwilligung. Und hierbei dürfen wir aber auch nicht
vergessen, das ist nicht gleichzusetzen mit einer datenschutzrechtlichen Einwilligung.
Also die Anforderungen im Strafrecht sind durchaus niederschwelliger,
als wir das im Datenschutzrecht haben. Das heißt, hier haben wir zum Beispiel
auch die Möglichkeit einer Konkludenteneinwilligung.
Das heißt, ich kann hier auch überlegen und das ist das, was ich vorhin auch
schon meinte, im Sinne der Information.
Also das heißt, wenn ich hierüber wirklich informiert bin, was tatsächlich passiert
und ich gehe trotzdem in diese Videokonferenz, also das, was im Datenschutzrecht
natürlich niemals gehen würde,
aber im Strafrecht kann ich natürlich sagen, naja, da wird mir angezeigt,
dass aufgezeichnet wird und ich gehe trotzdem rein und ich spreche trotzdem.
Da kann ich dann natürlich auch von einem Konkludentenrechtsverzicht möglicherweise ausgehen.
Also da gibt es schon auch Punkte, wo ich sagen kann, auch hierfür brauche ich
nicht zwingend eine Einwilligung im datenschutzrechtlichen Sinne.
Gut, also das heißt, wir verlinken den Beitrag, den Sie eben erwähnt haben,
auf jeden Fall auch nochmal in den Shownotes.
Den kann ich auch empfehlen, weil er genau das Thema nochmal ein bisschen beleuchtet
aus einer strafrechtlichen Perspektive.
Ich nehme aber auch mit, grundsätzlich als Unternehmen,
wenn ich datenschutzrechtlich transparent bin, wenn ich das alles sauber informiert
habe, dann kann ich erstmal davon ausgehen, es ist keine unbefugte Aufzeichnung
und damit müsste ich aus dem Strafrecht wahrscheinlich erstmal raus sein.
Da Sie auch schon sagten, Sie hatten noch gar keine Beschwerden in dem Bereich,
dann gehe ich davon aus, war das auch noch nicht irgendwie Bestandteil von irgendwelchen
Vorgängen bei Ihnen als Behörde, wo Sie diese strafrechtlichen Themen dann irgendwie mit beachten mussten.
Also den strafrechtlichen Bezug generell bei Aufzeichnungstätigkeiten,
das kommt schon öfter mal vor, aber an der Stelle hatten wir das tatsächlich
noch nicht. Wobei ich auch glaube, das liegt daran, dass man sich oft dessen
gar nicht so bewusst ist.
Also dass hier vielleicht eine Transkription, eine automatisierte Transkription stattfindet.
Oder, und das ist vielleicht auch noch ein ganz wichtiger Punkt,
dass die Beschwerde sich nicht generell gegen diese Aufzeichnung richtet,
sondern Beschwerden richten sich dann oft gegen den Einsatz generell von Tools.
Denn wenn wir überlegen, diese automatisierte Transkription, wo haben wir die denn?
In den meisten Fällen ist es ja durch das Videokonferenz-Tool selbst.
Und wenn wir uns die großen Tools hier anschauen, dann haben wir natürlich hier
genau die gleichen Probleme, die wir generell beim Einsatz dieser großen Tools haben.
Also all das, was wir uns sonst auch anschauen, Auftragsverarbeitung ja oder
nein, Verarbeitung zu eigenen Zwecken, Telemetrie da, Drittlandsübermittlungen
oder ähnliches, das kommt natürlich alles noch on top.
Also so einfach wie jetzt vielleicht auch die Prüfung des berechtigten Interesses
klingen mag oder praktikabel handhabbar, müssen wir natürlich auch bedenken,
dass wir hier oftmals bei großen Videokonferenz-Tours sind, die natürlich noch
ein paar andere Punkte mitbringen.
Und meistens richten sich dann Beschwerden
nicht konkret auf das eine Einsatzszenario, sondern eher generell.
Dieses oder jenes Tool wird bei uns im Unternehmen genutzt und ich habe gelesen,
das ist doch datenschutzwidrig oder sowas in der Art.
Und da versucht man das dann natürlich auch ein bisschen ganzheitlicher zu lösen.
Also das wäre eine Erklärung. Und das andere ist vielleicht auch dieses,
Ja, was Sie vorhin auch schon gesagt haben, es muss ja nicht immer gegen den
Mitarbeiter sein oder den Teilnehmer einer Videokonferenz, sondern viele profitieren
natürlich auch davon, dass sauber dokumentiert wird.
Dass man vielleicht am Ende auch durchsuchbare Dokumente hat,
die man auch wieder nutzen kann.
Dass man sich auch vielleicht selber das nochmal nachlesen kann oder ähnliches.
Also wenn das nur um das reine Transkript geht, glaube ich, haben viele davon
auch einen positiven Nutzen und einen Mehrwert.
Und ja, ich glaube, da ist dann auch weniger, dass man sich dadurch so sehr
beeinträchtigt fühlt, dass man nur deswegen eine Beschwerde einreicht.
Ich würde nochmal versuchen, das so ein bisschen zu rekapitulieren und sie ergänzen,
wenn ich irgendwas Wichtiges noch aus ihrer Sicht vergessen habe.
Also wir sollten, wenn wir transkribieren wollen, grundsätzlich,
und das gilt ja sowohl für Einwilligung als auch für berechtigtes Interesse, transparent sein.
Bei einer Einwilligung muss sie sowieso informiert sein, sie muss freiwillig sein.
Aber wenn ich auf ein Rechtsinteresse gehen möchte, dann sollte ich mir vorher
sehr genau Gedanken machen darüber, was die Erforderlichkeit angeht.
Es wird wahrscheinlich nicht funktionieren, eine pauschale Legitimation dafür
zu finden, sondern ich muss da schon sehr genaue Leitplanken definieren,
welche Termine mit welchen vielleicht auch Beteiligten kann ich darauf stützen,
was sind die Rahmenparameter.
Aber dann muss ich natürlich mir genau Gedanken machen, wie lange wird was gespeichert,
insbesondere wenn ich Video und vielleicht sogar Video aufzeichne, so rum.
Das muss ich mir natürlich genau angucken.
Da greift natürlich dann schon der Grundsatz der Datenminimierung,
sprich also Speicherdauer immer möglichst auch kurz halten.
Und wenn ich sie länger definiere, dann natürlich auch gucken, was sind die Gründe?
Also wie kann ich das auch rechtfertigen?
Transparenz dann natürlich auch beim berechtigten Interessen spätestens beim
Termin nochmal darauf hinweisen, aber im besten Fall schon bei der Einladung
vielleicht auch die Datenschutzhinweise also einen Link zu den Datenschutzhinweisen
mitschicken, würde ich da natürlich grundsätzlich sehen.
Und strafrechtlich muss ich mir dann nicht allzu viel Gedanken machen,
weil ich durch die entsprechende Transparenz und die Rechtsgrundlage auch von
einer befugten Transkription und auch Aufzeichnung in dem Fall dann ausgehen kann.
Habe ich was Wichtiges vergessen aus Ihrer Sicht?
Ja, ich würde gerne gleich zwei Punkte ergänzen.
Zum einen war es jetzt das Thema Videoaufzeichnung. noch dazu gesagt haben.
Also da würde ich davon ausgehen, dass wir das wahrscheinlich nicht über das
berechtigte Interesse abbilden können.
Einfach, weil es mir da schwerfällt, auch zu sagen, wo ist denn da die Erforderlichkeit?
Also in welchen Fällen brauche ich tatsächlich auch das Bild noch dazu?
Und zum anderen, weil ich hier die Artikel 9 Problematik natürlich habe.
Also ich müsste dann schon sagen, also bitte keine Brillenträger in den Videokonferenzen
oder was auch immer man noch so sehen kann in Videokonferenzen.
Also von daher bei Bildaufzeichnungen Deswegen würde mir jetzt zum Beispiel
spontan nicht einfallen, wie wir da in den Bereich des berechtigten Interesses kommen.
Ansonsten würde ich vielleicht gerne auch noch das Thema Artikel 9 Daten generell
ansprechen, denn das fand ich tatsächlich sehr interessant.
Das Thema Transkription von Videokonferenzen hatte ich auch bei einer Veranstaltung
als Vortrag und war dann auch so ein bisschen überrascht, weil ganz viele erstmal
dabei sind, naja, sie holen ja Einwilligung ein für diese Verarbeitungstätigkeit,
weil wir haben ja da automatisch Artikel 9 Daten, denn die Stimme wird ja aufgezeichnet.
Und deswegen ist das was, was ich auch immer nochmal betonen möchte,
Dass wenn wir in den Artikel 9 reinschauen, ja, biometrische Daten,
die Stimme ist ein biometrisches Datum.
Allerdings umfasst der Artikel 9 ja nur, wenn es dazu benutzt wird,
eine Person zu identifizieren.
Und das ist etwas, was wir dann auch in der Diskussion hatten,
wo es dann darum geht, naja, aber es wird ja dann erkannt von dem Tool.
Das ist jetzt Sprecher 1, das ist Sprecher 2 an der Stelle.
Und das ist nicht das, was wir unter Identifizierung verstehen an der Stelle,
sondern das ist die reine Sprechertrennung.
Und die erfolgt nicht dadurch, dass hier das Tool versucht, die Person zu identifizieren,
sondern die Person versucht anhand von sogenannten Voice Embeddings diese Personen zu unterscheiden.
Und letztlich all das, was das Tool dann auch weiß, das weiß es durch Zusatzinformationen,
durch Kontextinformationen.
Also das heißt, hier wird zum
Beispiel festgestellt, welches Mikrofon ist gerade an, wer spricht gerade.
Oder wenn ich bei einem Videokonferenztool vielleicht angemeldet bin,
dann sehe ich den Namen ja und dann verknüpft die KI den Namen mit dieser Stimme.
Das heißt aber nicht, dass sie die Stimme zur Identifizierung nutzt.
Also das ist, finde ich, auch ein ganz wichtiger Punkt, der oftmals auch dazu
führt, dass man vielleicht zur Einwilligung greifen möchte als erstes,
weil man da vielleicht ein bisschen in diesem Fehlglauben ist zu sagen,
naja, ich verarbeite ja irgendwo die Stimme, also bin ich im Bereich Artikel 9.
Aber das haben wir an der Stelle zumindest bei den meisten Fällen nicht.
Kann natürlich anders sein, wenn dann wirklich hier ein Profil angelegt wird
und die Stimme erkannt wird oder vielleicht eine Tonanalyse stattfindet oder ähnliches.
Und das führt mich noch zum zweiten Punkt, den ich noch gerne ergänzen möchte,
was ich auch sehr wichtig finde für die Erforderlichkeit und ja auch generell
dann auch bei der Interessensabwägung Zusatzfunktionen. Denn auch das hatten
Sie, glaube ich, eingangs mal gesagt.
Es gibt ja ganz viele tolle Möglichkeiten, die wir mittlerweile mit diesen Videokonferenz-Tools haben.
Also wir können uns ja nicht nur ein Transkript erstellen lassen.
Wir können das ja auch zusammenfassen lassen.
Wir können To-Do-Listen daraus erstellen lassen. Und da wäre mir wichtig...
Das ist erstens meistens schon mal ein eigenes berechtigtes Interesse.
Also das ist ein neuer Zweck dann auch an der Stelle. Und ich brauche für jeden
Zweck eine eigene Rechtsgrundlage.
Also das heißt, ich kann nicht pauschal sagen, na, das gehört ja da alles irgendwie
dazu, das nehme ich mit dazu. und hier habe ich natürlich einen ganz anderen
Prüfungsmaßstab im Zweifel.
Also das, was ich eingangs auch sagte, das berechtigte Interesse zeigt mir auf,
wie der meine Prüfung zu laufen hat und woran ich mich denn orientiere.
Wenn ich natürlich Zusatzfunktionen, also da gibt es ja auch alles Mögliche
dann eben, oder auch generell so Meeting Insights oder sowas noch dazu nehme,
dann muss ich natürlich auch schauen, ist das erforderlich?
Passt das dann tatsächlich auch noch dazu, mein berechtigtes Interesse zu erfüllen?
Denn daran orientiert sich ja die Erforderlichkeit. und wie groß ist denn der Eingriff dadurch.
Also das ist vielleicht noch ein wichtiger Punkt, weil das leider etwas ist,
was wir zwar nicht in dem Bereich bisher haben, aber durchaus bei anderen Bereichen,
Gerade auch im Internetbereich, wo es darum geht, dass Tools zum Beispiel zur
Reichweitenmessung eingesetzt werden und da halt einfach mal alles aktiviert ist, was geht.
Und man dann sagt, ich mache doch nur eine Reichweitenmessung.
Und da habe ich immer so ein bisschen die Sorge, dass die Techniker ja auch
gerne mal alles einstellen.
Und man sagt, ach, das ist ja super praktisch. Und die Rechtsgrundlage deckt
aber nur die eigentliche Transkription ab.
Daher vielleicht das noch ergänzend dazu.
Ja, vielen Dank. Ich glaube zu dem Punkt getrennte Verarbeitung oder kann ich
das vielleicht über eine Interessenabwägung abbilden,
wäre jetzt mein Ansatz natürlich auch zu gucken, wie ist genau mein Zweck definiert,
wenn natürlich der Zweck die Zusammenfassung oder die Erstellung von Meeting
Minutes ist oder die Erstellung von Meeting Minutes plus Aufgaben,
Übersichten ist.
Und das Ganze halt natürlich durch entsprechende KI unterstützen lassen möchte.
Würde ich jetzt aus dem Bauch heraus sagen, ich könnte das schon auch aus der
Perspektive heraus natürlich dann ausweiten und sagen, naja,
um das tun zu müssen, brauche ich natürlich etwas an Input für das Tool und
das ist dann typischerweise das Transkript,
damit das natürlich passieren kann.
Also würden Sie das so streng trennen wollen oder sehen Sie auch Chancen,
dass man das in eine Verarbeitungstätigkeit packt, wenn die auch entsprechend
natürlich dann definiert ist?
Also die Möglichkeit sehe ich durchaus, dass man das in eine Verarbeitungstätigkeit packen kann.
Wie gesagt, mir geht es nur eher darum, dass es nicht einfach mitläuft,
weil wir dann natürlich auch wieder das Informationsproblem haben.
Und da ist dann auch wieder die Frage, was ist denn erwartbar und was wird denn
auch alles genutzt? Ist es denn dann erwartbar, dass daraus To-Dos erstellt
werden und vielleicht auch eine Liste generiert wird, wer was nicht gemacht
hat bislang oder wie auch immer.
Also das sind so Punkte, wo ich einfach nur sage, es geht mir darum,
das auch dann wirklich ganzheitlich zu denken.
Und wenn ich die Prüfung sauber mache, denn wenn ich sage, ich möchte eine Transkription
für Effizienzsteigerung oder ich möchte eine Live-Transkription auch haben,
um Teilhabe zu stärken, um für Barrierefreiheit zu sorgen, wenn das mein berechtigtes Interesse ist.
Und dann habe ich aber Zusatzfunktionen an, wie To-Dos, Meeting Insights,
was auch immer, dann komme ich bei der Erforderlichkeit natürlich nicht weiter.
Dann muss ich sagen, sind diese Zusatzfunktionen für mein berechtigtes Interesse erforderlich?
Nein, sind sie nicht. Das heißt, ich muss wieder eine Stufe zurück und so schauen,
wie definiere ich denn das berechtigte Interesse?
Und dann kann ich damit schon weiterkommen. Aber das ist das,
was ich meinte, mit einfach pauschal das berechtigte Interesse zu formulieren.
Das ist halt an der Stelle nicht richtig, sondern man muss wirklich schauen,
Und was möchte ich denn wirklich damit machen?
Und dann kann ich auch wirklich das sauverprüfen und auch bei der Interessensabwägung
natürlich alle Auswirkungen, die sich ergeben.
Mit einbeziehen. Also das kann ja unterschiedliche Auswirkungen haben,
ob ich sage, ich mache jetzt ein reines Transkript oder ich habe eine KI,
die daraus nochmal etwas anderes macht, die dafür To-Do-Listen erstellt,
die vielleicht auch eben eine Tonlagenanalyse erstellt, also die vielleicht
auch noch schaut, wie ist denn die Tonlage?
Ist da jemand wütend in dem Gespräch oder nicht? Da kommen wir dann vielleicht
auch in die KI-Verordnung mit rein.
Aber es ist ja alles denkbar und von daher ist mir einfach wichtig zu betonen,
nicht automatisch jede Zusatzfunktion mitzunehmen und zu sagen,
das wird bei Transkription angeboten und ich schalte das mal ein.
Sondern zu prüfen, passt das auch wirklich noch zu meinem berechtigten Interesse?
Wenn nein, kann ich das anpassen? Geht dann am Ende meine Interessensabwägung
immer noch auf oder eben nicht? Das war eher der wichtige Punkt.
Aber durchaus gibt es Zusatzfunktionen, die man sicherlich auch damit runterbringen
kann. Aber wie gesagt, man sollte sich eben darüber Gedanken machen.
Ja, das ist absolut nachvollziehbar. Würde ich auch 100 Prozent zustimmen.
Also gerade, was Sie schon sagen, es gibt natürlich noch viele denkbare Dinge,
die heute KI kann und die man natürlich auch einsetzen könnte.
Aber ich glaube, das wird dann auch etwas den Rahmen hier sprengen.
Natürlich entstehen ohnehin ja auch beim Einsatz von KI die ganzen Pflichten
aus der KI-Verordnung, aber das können wir und schaffen wir heute natürlich
nicht alles abzuarbeiten.
Ich glaube, da ist nochmal ein ganz wichtiger Punkt, auch natürlich im Rahmen
der Interessenabwägung und vielleicht auch der Richtlinien, die man Mitarbeitenden
vielleicht mitgibt, wenn man diese automatische Zusammenfassung macht,
ist natürlich auch das immer ein ganz wichtiger Aspekt, dass sowas nicht immer fehlerfrei sein muss.
Also aus eigener Erfahrung heraus weiß ich auch, dass das sehr,
sehr sinnvoll ist, da immer nochmal drüber zu gucken, weil sehr schnell so eine
KI dann aus so einem Transkript und gerade wenn mal vielleicht auch zwei,
drei Leute überlappend gesprochen haben,
dann kann das schon sein, dass man dann auch irgendwas Falsches plötzlich im
Protokoll wiederfindet.
Und da ist auf jeden Fall, glaube ich, auch ratsam, das sowohl in der Interessenabwägung
schon berücksichtigen und aber auch in den Guidelines für die Mitarbeiter unterzubringen,
dass man da immer nochmal drüber schaut,
bevor man sowas dann dauerhaft irgendwo als Protokoll ablegt.
Also ich denke grundsätzlich bei allem, was KI so tut, glaube ich,
ist ja auch der Sinn und Zweck der KI-Kompetenz in Artikel 4 KI-Verordnung,
dass man ja auch versteht, dass man KI nicht ungeprüft übernehmen sollte, Erzeugnisse von KI.
Aber auch gerade in dem Bereich würde ich das auch als technische und organisatorische
Maßnahme sehen, zu sagen, da muss auch nochmal jemand drüber schauen.
Also nicht nur, um zu schauen, stimmt auch der Text, sondern im Zweifel auch,
wenn ich gegebenenfalls noch Widerspruchsrechte auch danach habe,
die ausgeübt worden sind, stimmt vielleicht auch die Zuordnung.
Denn auch dadurch würde ich ja mein berechtigtes Interesse unterlaufen,
wenn dann die Zuordnungen nicht mehr stimmen würden und die Sprecher irgendwie
vertauscht wären oder was auch immer.
Und da muss man sagen, deswegen war ich am Anfang auch ein bisschen vorsichtig
bei, ja, mein berechtigtes Interesse ist Effizienzsteigerung,
denn ich habe mich neulich mit einer Kollegin unterhalten,
wo wir auch so ein bisschen vor uns hingeschmunzelt haben, ob man durch diese
automatische Transkription aktuell tatsächlich schon eine Effizienzsteigerung
hat, sind wir uns nicht so sicher.
Denn das, was da manchmal so rauskommt, so gut ist das oft nicht.
Also da muss man schon noch einiges drüber lesen, wo man sich dann auch fragen
kann, ja, ist das jetzt wirklich so viel besser als eine manuelle Transkription?
Also ich glaube, das wird zunehmend besser.
Aber letztlich, also das sollte auf jeden Fall eine Anforderung sein zu sagen,
da muss noch mal jemand drüber gucken, bevor das irgendwo abgelegt wird.
Also da bin ich völlig bei Ihnen. Das ist auch meine Erfahrung,
dass man Effizienzsteigerungen da tatsächlich sich sehr genau angucken muss.
In dem Moment, wo ich, also eigene Erfahrung tatsächlich, wenn ich in Terminen
bisher, wir machen ja viel Beratung und da protokolliert man natürlich immer
auch ein bisschen was mit, Und wenn ich das während des Termins mache,
dann ist das nach dem Termin fertig und dann schicke ich das raus.
Und heute, wenn ich das transkribieren und automatisch zusammenfassen lasse,
muss ich dann nach dem Termin aber nochmal drüber lesen, korrigieren.
Also ich brauche sogar etwas mehr Zeit, wenn ich das alles selber in Personalunion tue.
Eine Effizienzsteigerung habe ich aber in dem Moment, wo ich natürlich eine
gewisse Detailtiefe und Ausführlichkeit erreichen möchte.
Und die schaffe ich natürlich mit meinen eigenen Notizen, weil ich keinen Steno
beherrsche und auch so nicht unwahrscheinlich schnell tippe,
erreiche ich das natürlich wiederum nicht. Also das heißt, es ist dann auch
genau den Punkt, glaube ich, den wir eingangs schon besprochen haben.
Was ist genau der Fall und was brauche ich auch? Und wenn ich sage, naja,
ich habe sonst vielleicht extra einen Protokollanten, den ich mitnehme,
also einen Mitarbeiter,
der im Termin sitzt, nur um zu protokollieren, um die gleiche Güte an Protokoll
zu erreichen und den kann ich mir jetzt einsparen, weil ich nach einem Stundenmeeting
selber nochmal vielleicht fünf Minuten sitze und nicht eine ganze Stunde von
einem anderen Mitarbeiter benötige.
Also ich glaube, da wird es tatsächlich eine echte Effizienzsteigerung für Termine,
die, wie gesagt, da sind wir genau an dem Punkt, der Erforderlichkeit.
In dem Moment, wo ich das, wie gesagt, in zwei Sätzen während des Termins selber
mitschreiben kann, was sind die nächsten Schritte oder wer hat welche Aufgabe, brauche ich es nicht.
Ja, aber das ist auch genau der Punkt letztlich auch, da muss ich jetzt auch
sagen, aus der Erfahrung, was die Interessensabwägungen so anbelangt,
das ist ja auch sehr unterschiedlich, was man so als Aufsichtsbehörde zu lesen bekommt.
Also ich hatte auch schon den Fall, dass ich nach der Interessensabwägung gefragt
habe und eine Frist von zwei Wochen gesetzt habe.
Und dann wurde ich erst mal angerufen und es kam, ja, die müssen wir erst machen,
da brauchen wir schon ein bisschen länger.
Und ich dachte, okay, das ist jetzt vielleicht die falsche Antwort gewesen,
ja, das sollte schon vorher vorliegen.
Aber manchmal kommt das auch sehr, sehr ausführlich. Also das,
wie gesagt, ist auch immer ein bisschen unterschiedlich.
Aber Sie merken eben, wenn ich dann einfach nur so ein pauschales berechtigtes
Interesse angebe und sage,
Effizienzsteigerung erforderlich, ja, weil es besser als menschliche Protokollierung,
Interessensabwägung, Grundrechte und Grundfreiheiten der betroffenen Personen
nicht berührt oder sowas.
Wird natürlich schwierig. Also deswegen, da geht es ja auch immer so ein bisschen
darum, dass man sich ja wirklich Gedanken macht.
Also ich finde, das ist ja auch der Punkt, den wir da im Datenschutzrecht auch
wieder haben, was oft verkannt wird.
Es geht ja gar nicht darum, alles zu verbieten oder alles irgendwo einzuschränken,
sondern einfach, dass man sich Gedanken macht, wie ja auch bei einer Datenschutzfolgeabschätzung,
die man ja vielleicht gegebenenfalls auch braucht, sich wirklich anzuschauen,
wo habe ich denn hier vielleicht Risiken?
Denn über manches denkt man vielleicht gar nicht nach. Also gerade auch,
wenn man eben zum Beispiel sagen würde, man setzt irgendwann mal fest,
wir transkribieren jetzt alle Videokonferenzen.
Ob da jeder nach einem halben Jahr noch nachdenkt und wenn er dann gerade erzählt,
dass jetzt die Frau schwanger ist oder was auch immer und dass neulich die Kollegin
das und das gesagt hat, bevor der Vorgesetzte mit in das Meeting kommt oder
was auch immer. ob da jeder dann so dran denkt.
Das ist ja ein Risiko, das möchte ja keiner haben. Also weder der Arbeitgeber
noch die Mitarbeitenden oder auch wenn es Meetings mit Externen sind oder außerhalb
des beruflichen Kontexts. Und man dann sagen muss,
Das kann ja auch durchaus helfen. Und dass man sich dessen einfach bewusst ist,
dafür ist es, glaube ich, schon wichtig, das auch sauber zu machen und auch
wirklich zu überprüfen.
Also, dass es auch wirklich ein Prozess ist und nicht einmal so,
jetzt habe ich meine Interessensabwägung, jetzt passt das.
Sondern auch zu gucken, wie verändert sich vielleicht das Tool,
gibt es da jetzt irgendwas Neues,
in welchen Abständen informiere ich darüber, müssen wir vielleicht bei manchen
Videokonferenzen merken, oh, das ist vielleicht doch nicht so geeignet oder
hier brauchen wir es vielleicht auch nicht, werden die Transkripte denn überhaupt
genutzt oder schaut da sowieso niemand rein.
Also all das sind natürlich Fragen, die man sich stellen muss,
deswegen ich da auch finde, das ist natürlich auch immer ein Prozess zu sagen,
auch das muss ich immer wieder überprüfen und gegebenenfalls auch nachbessern.
Also Stichwort Interessenabwägung, ich glaube, sehen Sie wahrscheinlich noch
mehr als wir, aber auch in der Beratung kriegen wir da natürlich das eine oder andere zu sehen.
Also von daher teile ich den Schmerz und ich weiß, an den Zuhörern bluten da
vielleicht schon die Ohren, weil ich in den Newsfolgen bei uns auch so oft dafür plädiere.
Schreibt das wirklich auf und macht vor allen Dingen auch die Abwägung am Ende.
Also es nutzt ja nichts nur das eine und vielleicht dann auch noch die betroffenen
Interessen irgendwie aufzuschreiben, aber sie nicht irgendwie in einen Bezug zueinander zu bringen.
Also von daher, da kann ich gut verstehen, wovon sie sprechen.
Und vielleicht auch noch ein ganz praxisrelevanter Hinweis, den man auch,
glaube ich, in der Sensibilisierung der Mitarbeitenden nicht vergessen sollte,
ist, gerade wenn die Transkripte im Bewusstsein zurückfallen.
Also das heißt, wir uns alle sehr daran gewöhnen. Und jeder kennt das wahrscheinlich
auch schon mal aus beruflichen Meetings.
Man ist in einer großen Runde und dann heißt es, du bleib doch nochmal kurz
drin. Wir müssten dann nochmal über was sprechen.
Und wenn man dann nicht das Transkript beendet, Dann hat man natürlich nachher
im Protokoll oder auch im Transkript im Zweifelsfall alle vielleicht sehr kritischen
Details, die man vielleicht mit dem Mitarbeiter eigentlich unter vier Augen
vermeintlich besprochen hat, drin.
Also da lauert auch eine kleine Gefahr, auf die ich gerne nochmal hinweise,
dass man dafür auch sensibilisieren möchte im Unternehmen.
Definitiv.
Gut, ich habe es eingangs schon versprochen. Wir testen das natürlich auch.
Wie gesagt, auch in der Beratung ist es natürlich ein Thema,
was durchaus zu detaillierteren und auch qualitativ wertvolleren Protokollen
führt zum Beispiel, wenn man Kundenmeetings hat.
Und gleichermaßen auch natürlich für bestimmte interne Meetings,
fachlichen Austausch und so natürlich gut detaillierter dokumentieren kann, was besprochen wurde.
Und wir haben tatsächlich auch eine Zeit lang das mit Microsoft Teams gemacht.
Das hat natürlich den charmanten Vorteil, dass wenn man das in einem Meeting
macht, Microsoft Teams natürlich auch abfragt und man muss das bestätigen.
Es ist also sehr sichtbar für die Teilnehmer.
Aktuell testen wir ein Tool, das ist tatsächlich auf eine andere Art und Weise
sehr datenschutzfreundlich, nennt sich Quill Meetings. Und der charmante Vorteil
ist hier, es läuft komplett lokal. Also ich brauche keine Cloud.
Ich brauche dafür natürlich einen halbwegs aktuellen Rechner,
damit die CPU-Leistung dafür auch ausreicht.
Aber es läuft komplett lokal.
Also inklusive auch einer Zusammenfassung, die ich danach mit einer kleinen
lokalen KI dann ausführen kann. Und das, finde ich, ist etwas,
was durchaus datenschutzfreundlich ist.
Der einzige Nachteil ist, dass es für andere Teilnehmer eines Meetings nicht sichtbar ist.
Ich muss tatsächlich organisatorisch einiges lösen, was ich jetzt vielleicht
bei einem reinen Videokonferenz-Tool, wenn ich das Tool eigene Transkript-Möglichkeiten
nutze, dann vielleicht nicht habe.
Vorteil ist aber, warum andererseits auch, ich kann es für Offline-Meetings
nutzen und es wird auch tatsächlich, wie Sie das schon eben beschrieben haben,
Frau Loy, auch anhand der Datenverarbeitung eine Sprechererkennung durchgeführt.
Also ich kann es zuordnen.
Ich habe dann Speaker 123, denen kann ich auch Namen geben und dadurch habe
ich natürlich selbst für Offline-Meetings grundsätzlich eine Möglichkeit,
diese auf diese Art und Weise zu erfassen. Damit sind wir für heute durch.
Frau Loy, ganz ganz herzlichen Dank für den Austausch, für Ihre Sicht der Dinge,
für insbesondere Ihre Einschätzungen.
Mir hat es viel Spaß gemacht und hoffe, wir sehen und hören uns irgendwann auch
mal wieder in diesem Format.
Ja, mir auch. Vielen lieben Dank.
Wir packen den Link noch in die Shownotes zu dem strafrechtlichen Teil,
zu dem Beitrag und ansonsten freuen wir uns natürlich auch auf eure Erfahrungen
und vielleicht habt ihr auch noch Aspekte oder Learnings aus der Praxis,
die ihr gerne in die Kommentare schreiben dürft.
In den Shownotes findet ihr einen Link zur Folgenseite.
Wir freuen uns über jeden Kommentar und ansonsten freuen wir uns natürlich auch
grundsätzlich über jedes Feedback gerne auch an der datenschutz-talk at migusense.de.
In diesem Sinne bleibt uns gewogen und auf bald.