Der Einsatz von künstlicher Intelligenz (KI) bietet enormes Potenzial für Erleichterungen in unseren Arbeitsprozessen. Darunter zählt bspw. auch der Einsatz von KI-Systemen zur Videotranskription und -analyse von Online-Meetings. Durch solch Tools kann die Erstellung bspw. von Dokumentationen, Zusammenfassungen und ToDo-Listen der Meetings durch die KI übernommen werden. Was bei dem Einsatz von KI-Tools zur Videotranskription aus datenschutzrechtlicher Sicht und aus der KI-VO zu beachten ist, erfahren Sie in diesem Artikel.
1. Datenschutzrechtliche Anforderungen
Personenbezogene Daten & Verantwortlichkeit
Durch die KI-Tools werden die besprochenen Inhalte in Echtzeit aufgezeichnet und transkribiert. Hierbei werden auch personenbezogene Daten, bspw. Namen und E-Mail-Adressen der Teilnehmenden, technisch erhobene Nutzungsdaten (bspw. IP-Adressen oder Geräteinformationen) und Informationen über die Teilnehmenden und das gesprochene Wort verarbeitet. Je nach Anwendung werden aber ggf. auch weitere Daten analysiert und bspw. Informationen über die Stimme, die Beteilung im Meeting oder die Gefühlslage dokumentiert und interpretiert.
Das Unternehmen, das das KI-Tool einsetzt, gilt als datenschutzrechtlich verantwortlich für die Verarbeitung der personenbezogenen Daten. Anbieter dieser Tools agieren überwiegend als Auftragsverarbeiter.
Rechtsgrundlage
Als Verantwortlicher benötigen wir eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Diese kann je nach Kontext variieren. Nach Ansicht der Aufsichtbehörde Baden-Württemberg kommt in der Praxis neben der Wahrung berechtigter Interessen nach Art. 6 Abs.1 f) DSGVO häufig eine Einwilligung nach Art. 6 Abs.1 a) DSGVO in Betracht.
Sollten bspw. auch sensible Daten (z.B. Gesundheitsdaten) enthalten sein oder Teilnehmende diese preisgeben, müssen zusätzliche Anforderungen nach Art. 9 DSGVO beachtet werden und eine ausdrückliche Einwilligung für die Verarbeitung dieser Daten eingeholt werden.
Darüber hinaus ist in Deutschland nach § 201 StGB das gesprochene Wort besonders geschützt und darf nur mit Einverständnis aufgenommen werden. Dadurch kann eine Einwilligung auch erforderlich sein.
Zusätzliche DSGVO-Pflichten
Darüber hinaus bestehen u.a. weitere Pflichten aus der DSGVO:
- Transparenz und Informationspflichten:
Bereitstellung von Information für die Teilnehmenden über die Datenverarbeitung bereits vor dem Einsatz der Videotranskription und -analyse, bspw. direkt mit der Einladung zum Meeting. Zusätzlich sollte auch unmittelbar vor der Aufzeichnung nochmals darauf hingewiesen werden, bspw. durch ein Pop-Up Fenster und die Möglichkeit zum Widerspruch/Widerruf gegeben werden.
- Verarbeitungsverträge:
ggf. ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Anbieter des KI-Tools notwendig. Hierbei muss überprüft werden, ob die Anbieter die Daten nicht auch für eigene Zwecke (bspw. für das Training der KI) verarbeiten und eine gemeinsame Verantwortlichkeit in Betracht kommt und ein Vertrag über die gemeinsame Verantwortlichkeit abgeschlossen werden muss (JCA).
- Aufnahme der Verarbeitung in das Verarbeitungsverzeichnis (VVT)
- Erstellung eines Löschkonzepts
- Implementierung technischer und organisatorischer Maßnahmen (TOM)
- Durchführung einer Schwellwertanalyse und ggf. einer Datenschutzfolgenabschätzung (DSFA)
2. Anforderungen durch die KI-Verordnung
Wir für die Aufzeichnung von Meetings ein KI-System verwendet, ist die KI-Verordnung grundsätzlich zu beachten. Als Unternehmen, das ein solches KI-Tool einsetzt gilt nach der KI-VO als Betreiber eines KI-Systems. Welche konkreten Verpflichtungen bestehen, hängt vom konkreten Einsatzweck und den entsprechenden Risikoklassen der KI-VO ab. Sollten mit dem KI-Tools bspw. Emotionen der Teilnehmenden erkannt oder die Stimmungslage analysiert werden, könnte der Einsatz ggf. unter die verbotenen Praktiken nach Art. 5 KI-VO fallen oder mindestens als Hochrisiko-KI-System gelten.
Nach der KI-VO bestehen bestimme Transparenzpflichten nach Art. 50 KI-VO und es muss über die Interaktion mit einem KI-System informiert werden und die Ausgaben als künstlich erzeugt gekennzeichnet sein. Zusätzlich gelten für den Einsatz bei allen KI-Systemen die Anforderung zu Aufbau von KI-Kompetenz im Unternehmen nach Art. 4 KI-VO.
Der Einsatz von Videotranskription und -analyse von Online-Meetings bietet klare Vorteile. Jedoch sollten die rechtlichen Risiken in Bezug auf personenbezogene Daten, aber auch vertraulichen Informationen über das Unternehmen in der Entscheidungsfindung mit einbezogen werden. Gerne unterstützen wir Sie bei der datenschutzrechtlichen Bewertung im Einzelfall und prüfen die Anforderungen nach der KI-VO.