Autor:

Dr. Lukas Fleischer
Associate

Zum Autor

[Data Economy] [Datenrecht] [Datenschutz-Litigation] [Digital Marketing]

Datenschutzrechtliche Zulässigkeit von Transkriptionen bei Web-Meetings

Share:
PDF Download

Kurz gelesen:

Die automatisierte Transkription von Web-Meetings ist ein mittlerweile beliebtes Business-Gadget, bringt aber auch datenschutzrechtliche Herausforderungen mit sich. Während die datenschutzrechtliche Einwilligung als Rechtsgrundlage für die Transkription per se möglich ist, sich in Bezug auf ihre Umsetzung aber häufig als unpraktikabel erweist, bietet sich für viele Fallgestaltungen das berechtigte Interesse als Rechtsgrundlage an. Dass aber auch das berechtigte Interesse nicht das datenschutzrechtliche „Allheilmittel“ sein kann, illustriert der folgende Beitrag.

1. Transkriptionen bei Web-Meetings

Die datenschutzrechtliche Bewertung von Transkriptionen erfolgt allgemein nach der DSGVO. Diese findet Anwendung, wenn personenbezogene Daten verarbeitet werden. Bei der Transkription werden durch software- und/oder KI-gestützte Systeme gesprochene Inhalte in Textform umgewandelt. Im Zuge der Aufzeichnung der Audiodaten, deren Analyse durch eine Spracherkennungssoftware und der Erstellung des finalen Transkripts werden jeweils personenbezogene Daten unterschiedlicher Kategorien verarbeitet. Zu diesen Datenkategorien gehören insbesondere:

  • Identifikationsdaten: Namen der Teilnehmer, E-Mail-Adressen, Nutzernamen und andere Identifikatoren, die bei der Anmeldung zum Meeting erfasst werden. Hierzu zählen auch biometrische Daten, die entstehen, wenn eine Transkriptionssoftware biometrische Verfahren zur Spracherkennung nutzt. Moderne Transkriptionssoftware kann Stimmen einzelnen Personen zuordnen und dadurch die Erstellung von Stimmprofilen ermöglichen.
  • Inhaltsdaten: Der gesprochene Inhalt eines Meetings, der neben Geschäftsinformationen auch (sensible) personenbezogene Daten enthalten kann (bspw. Gesundheitsdaten bei Krankmeldungen).
  • Metadaten: Technische Informationen wie IP-Adressen, Verbindungszeiten, verwendete Endgeräte und Standortdaten der Teilnehmer.
  • Verhaltensdaten: Informationen über die Nutzung verschiedener Meeting-Funktionen, Aufmerksamkeitsanzeigen oder Abstimmungsverhalten.

2. Mögliche Rechtsgrundlagen

Die DSGVO sieht in den Art. 6 und 9 DSGVO verschiedene Rechtsgrundlagen vor, welche die Verarbeitung (sensibler) personenbezogener Daten erlauben. Eine datenschutzrechtliche Besonderheit bei der Transkription von Web-Meetings ist, dass die Auswahl der passenden Rechtsgrundlage maßgeblich vom Zweck des Online-Meetings sowie von den am Gespräch beteiligten Personen abhängt. Möchte ein Arbeitgeber als datenschutzrechtlich Verantwortlicher in seinem Betrieb eine Transkriptionssoftware einsetzen, kann es daher sein, dass die Transkription bei seinen Angestellten auf eine andere Rechtsgrundlage gestützt wird (z.B. auf Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO) als bei externen Kunden (z.B. auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO).

a. Einwilligung nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO

Eine mögliche Rechtsgrundlage zur datenschutzrechtlichen Rechtfertigung von Transkriptionen ist die Einwilligung, welche sich in Bezug auf ihre wirksame Einholung im Unternehmensalltag aber häufig als problematisch erweist. Grundproblem dabei ist, dass im Anwendungsbereich der DSGVO jede Person, deren personenbezogene Daten im Zuge eines Web-Meetings verarbeitet werden, also ganz regelmäßig jeder Gesprächsteilnehmer, in die Transkription einwilligen muss („All-Party-Consent“-Prinzip). Dies ist ohne weiteres etwa dann der Fall, wenn ein in der EU niedergelassener Verantwortlicher ein Web-Meeting transkribiert, an dem ausschließlich in Europa ansässige Personen teilnehmen. Komplexer ist die Situation, wenn der Verantwortliche oder einzelne am Web-Meeting teilnehmende Personen in einem Drittland (außerhalb der EU und des EWR) niedergelassen sind und daher originär einer anderen Rechtsordnung unterliegen. Diese anderen Rechtsordnungen sehen das All-Party-Consent-Prinzip z.T. nicht vor. So gibt es etwa in den USA einige Bundesstaaten, welche das „One-Party-Consent"-Prinzip anwenden. Danach reicht bereits die Zustimmung einer Gesprächspartei aus, um (nach amerikanischem Recht) eine Transkription vornehmen zu dürfen. Dies kann dazu führen, dass einzelne sich in einem Drittland aufhaltende Personen nicht einwilligen müssen, wohingegen für die in Europa ansässigen Gesprächsteilnehmer die DSGVO– wohl über Art. 3 Abs. 2 Buchst. b DSGVO – und damit die Einwilligungspflicht gilt.

Bei diesen Sachverhalten „vorsichtshalber“ Einwilligungen von sämtlichen in- und ausländischen Gesprächsteilnehmern einzuholen, ist im Hinblick auf das Widerrufsrecht der Betroffenen nur bedingt empfehlenswert. Nach Art. 7 Abs. 3 S. 1 DSGVO muss der Teilnehmer eines Web-Meetings seine Einwilligung jederzeit und ohne Angabe von Gründen widerrufen können. Nach einem erfolgten Widerruf müsste eine Transkription – u.U. während der noch laufenden Aufnahme – sofort gelöscht werden. Für Unternehmen ist dies nicht nur technisch, sondern vor allem auch im Hinblick auf die mit der Transkription verfolgte Nachweisfunktion problematisch. Diese Funktion geht verloren, wenn die Gesprächsdokumentation nachträglich gelöscht oder zumindest so weit unkenntlich gemacht werden muss, dass sie als Nachweis nicht mehr taugt.

Daneben muss der Verantwortliche die recht hohen Anforderungen der DSGVO an eine wirksame Einwilligung erfüllen. Nach Art. 4 Nr. 11 DSGVO muss eine Einwilligung freiwillig, spezifisch, informiert und unmissverständlich erfolgen. Ersteres ist vor allem im Beschäftigungskontext schwer umzusetzen, wenn ein Arbeitnehmer die Anfertigung von durch den Arbeitgeber angeordneten Transkriptionen in geschäftlichen Meetings ablehnen möchte, da eine gleichwohl erteilte Einwilligung nicht freiwillig erfolgt. Die nach der DSGVO vorgeschriebene Informiertheit der Gesprächsteilnehmer (Zwecke der Transkription, voraussichtlich verarbeitete Datenkategorien etc.) kann ein Unternehmen gegenüber den vorab bekannten Gesprächsteilnehmern unmittelbar vor einem Web-Meeting oder im Rahmen der Meeting-Einladung erfüllen. Schwieriger wird es jedoch, wenn weitere Personen dem Web-Meeting kurzfristig beiwohnen und deswegen vom Meeting-Veranstalter nicht rechtzeitig und vor allem nicht in nachweisbarer Form über die Transkription informiert werden können.

b. Vertragliche Erforderlichkeit nach Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO

Für die datenschutzrechtliche Rechtfertigung von Transkriptionen ebenfalls denkbar, ist die Rechtsgrundlage der Vertragserfüllung. Nach Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO ist eine Datenverarbeitung erlaubt, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Die Erforderlichkeit legt der europäische Gerichtshof in seiner aktuellen Rechtsprechung allerdings sehr eng aus und bejaht diese nur, wenn die Datenverarbeitung für die Vertragserfüllung unbedingt notwendig ist. Nicht ausreichend ist, wenn die Datenverarbeitung für den Verantwortlichen lediglich nützlich wäre. Dass die Transkription eines Online-Meetings zu Dokumentationszwecken insbesondere im Kontext der Durchführung eines Arbeitsverhältnisses unbedingt erforderlich sein kann, ist möglich, erfordert aber besonderer Umstände und einen erhöhten Begründungsaufwand.

c. Berechtigtes Interesse nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO

Praktikabler, weil rechtlich flexibler, ist die Rechtsgrundlage des berechtigten Interesses. Das berechtigte Interesse erfordert weder die unbedingte Notwendigkeit der Datenverarbeitung noch ist sie jederzeit frei widerrufbar. Stattdessen erfordert Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO eine dreistufige Prüfung:

  • Vorliegen eines berechtigten Interesses beim Verantwortlichen: Der Verantwortliche muss die Datenverarbeitung auf ein rechtliches, wirtschaftliches oder ideelles Interesse stützen können. Dies können etwa die Dokumentation geschäftlicher Vereinbarungen (z.B. über einen mündlich vereinbarten partiellen Haftungsausschluss) als Nachweis für die getroffene Absprache, die Erfüllung von Compliance- und Nachweispflichten, die unternehmerische Effizienzsteigerung (z.B. eine Workflow-Optimierung infolge der vollständigen Durchsuchbarkeit des aufgezeichneten Gesprächs) oder auch die Schulung von Mitarbeitern sowie die Qualitätssicherung sein.
  • Erforderlichkeit der Datenverarbeitung: Es darf kein milderes Mittel zur Verfügung stehen, welches die Transkription entbehrlich macht. An der Erforderlichkeit kann es beispielsweise dann fehlen, wenn der Zweck der Datenverarbeitung (z.B. die Dokumentation einer vertraglichen Vereinbarung) auch durch die händische Mitschrift erfüllt werden könnte. Gerade bei komplexen Sachverhalten, die eine wortlautgetreue und umfangreiche Mitschrift erfordern, kann eine automatische Transkription aber notwendig sein.
  • Kein Überwiegen der Interessen/Grundrechte und Grundfreiheiten der betroffenen Personen (Interessenabwägung): Zu guter Letzt muss der Verantwortliche bei der Interessenabwägung die Interessen und Grundrechte der Teilnehmer berücksichtigen, insbesondere das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Vor allem die Sensibilität der besprochenen Themen (z.B. enthält eine Krankmeldung per Online-Call u.U. sensible Daten des Arbeitnehmers), der Kreis der Teilnehmer (z.B. sind Arbeitnehmer und Kinder besonders schutzbedürftig) und die geplante Verwendung der Transkription (z.B. bedingt die Verwendung einer Transkription zu Dokumentations-zwecken aufgrund gesetzlicher Archivierungspflichten im Regelfall keine besondere Beeinträchtigung der Rechte des Betroffenen) bestimmen über das Ergebnis der Interessenabwägung.

Dass das berechtigte Interesse aber nicht als „Standardrechtsgrundlage“ für die Transkription genutzt werden kann, zeigt sich daran, dass sie dann an ihre Grenzen kommt, wenn der Verantwortliche sensible Daten, wie z.B. die Stimme im Rahmen der Erstellung von Stimmprofilen verarbeitet. Die Verarbeitung dieser Daten richtet sich nach Art. 9 DSGVO, der das berechtigte Interesse als Rechtfertigungsgrund nicht nennt. Daher muss bei diesen Sachverhalten auf die Einwilligung (Art. 9 Abs. 2 Buchst. a DSGVO) oder einen anderen Erlaubnistatbestand des Art. 9 DSGVO zurückgegriffen werden.

3. Key Take Aways

  • Das berechtigte Interesse nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO bietet gegenüber der Einwilligung für viele Fallgestaltungen eine flexiblere Alternative, da es nicht von einer (jederzeit widerrufbaren) ausdrücklichen Zustimmung der Betroffenen abhängt, sondern eine Abwägung zwischen den Unternehmensinteressen (z.B. Dokumentation, Compliance, Effizienzsteigerung) und den Grundrechten der Betroffenen zulässt.
  • Bei der Verarbeitung sensibler Daten, insbesondere bei der Erstellung von Stimmprofilen durch moderne Transkriptionssoftware, stößt auch das berechtigte Interesse an seine rechtlichen Grenzen und macht eine Einwilligung nach Art. 9 DSGVO erforderlich. Unternehmen sollten ein differenziertes „Rechtsgrundlagenmanagement“ vorhalten, das je nach Transkriptionszweck den Rückgriff auf eine wirksame Rechtsgrundlage zulässt.
Zurück zur Übersicht

Zurück zur Newsübersicht