Microsoft Teams bietet mit der Transkription die Möglichkeit, gesprochene Inhalte aus Meetings automatisch zu verschriftlichen. Inhalte lassen sich hierdurch leichter dokumentieren und nachbereiten. Gleichzeitig ist die Funktion datenschutzrechtlich sensibel, da gesprochene Worte automatisiert verarbeitet, gespeichert und ausgewertet werden. Verwender der Funktion sollten sich daher datenschutzkonform absichern. In den USA steht bereits ein Hersteller von KI-gestützten Transkriptions- und Notizwerkzeugen vor Gericht.
Die datenschutzrechtliche Problematik
Ein Transkript enthält regelmäßig personenbezogene Daten, etwa Name oder Position im Unternehmen. Abhängig von Art und Inhalt des Meetings können unter Umständen sogar besondere Kategorien personenbezogener Daten betroffen sein. Damit liegt in der Transkription dieser Daten eine Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO, die sich im Hinblick auf ihre Rechtmäßigkeit an Art. 6 DSGVO bzw. Art. 9 Abs. 2 DSGVO messen lassen muss.
Beachtung muss zudem der strafrechtliche Schutz des gesprochenen Wortes finden. Nach § 201 Abs. 1 Nr. 1 StGB macht sich strafbar, wer unbefugt das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt. Ein Teams-Meeting gilt in der Regel als nicht öffentlich, da es hinsichtlich Zahl und Individualität seiner Teilnehmer abschließend bestimmt ist und sich damit an einen durch persönliche Beziehungen innerlich verbundenen Kreis von Personen richtet. Über den Schutzbereich des StGB hinaus statuiert § 42 BDSG die Strafbarkeit von Datenschutzverstößen im deutschen Rechtsraum und § 27 TDDDG Verstöße gegen das Abhör- und Mitteilungsverbot.
Rechtsgrundlagen zur rechtmäßigen Verarbeitung nach der DSGVO
Um nicht in Konflikt mit der DSGVO zu geraten und strafrechtlichen Konsequenzen vorzubeugen, sollte ein Transkript in Microsoft Teams daher nur auf einer zulässigen Rechtsgrundlage erfolgen.
In der Praxis ist die Einwilligung der Teilnehmenden gemäß Art. 6 Abs. 1 lit. a DSGVO häufig der rechtssicherste Ansatz. Da durch die Transkription das gesprochene Wort dauerhaft festgehalten wird, müssen die Betroffenen vor Beginn der Verarbeitung klar und verständlich darüber informiert werden, dass ein Transkript erstellt wird, zu welchem Zweck dies geschieht, wie lange es gespeichert wird und wer Zugriff darauf erhält. Die Einwilligung muss freiwillig erfolgen und kann jederzeit widerrufen werden. Denkbar ist auch eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO, etwa aus arbeitsrechtlichen oder tariflichen Vorgaben.
Hierneben kann theoretisch auch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden, etwa zu Nachweis- und Dokumentationszwecken, um im Streitfall über Beweismaterial zu verfügen. Diese Rechtsgrundlage setzt jedoch eine sorgfältige Interessenabwägung zwischen den Interessen des Unternehmens an der Transkription und den schutzwürdigen Interessen der Teilnehmenden voraus, die oft zum Nachteil der Aufzeichnung ausfällt.
Beachtung der Datenschutzgrundsätze
Unabhängig von der gewählten Rechtsgrundlage sind stets die Grundsätze der Verarbeitung nach Art. 5 DSGVO zu beachten. Die Transkription darf nur für einen klar definierten Zweck erfolgen (Zweckbindung), muss auf das erforderliche Maß beschränkt sein (Datenminimierung) und darf nicht länger gespeichert werden als notwendig (Speicherbegrenzung).
Besonders hohe Anforderungen gelten, wenn im Rahmen des Meetings besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet werden, etwa Gesundheitsdaten. In diesen Fällen ist eine Verarbeitung nur mit ausdrücklicher Einwilligung zulässig. Andere Rechtsgrundlagen scheiden in diesen Fällen regelmäßig aus.
Der KINAST „KI-Beauftragte“
Ihre Lösung für rechtssichere KI-Compliance
Schutz vor Strafe
Eine rechtskonforme Verarbeitung nach der DSGVO wirkt sich regelmäßig auch auf die strafrechtliche Bewertung des Transkripts aus. § 201 StGB knüpft daran an, ob eine Handlung „unbefugt“ erfolgt. Das Merkmal wird nach dem BGH durch die gesamte Rechtsordnung mitgeprägt. Besteht also eine tragfähige datenschutzrechtliche Rechtsgrundlage, insbesondere eine wirksame Einwilligung oder eine rechtliche Verpflichtung, spricht dies regelmäßig gegen die Annahme eines unbefugten Handelns. An dieser Stelle greifen DSGVO und Strafrecht ineinander.
Eine Einwilligung kann darüber hinaus auch strafrechtlich rechtfertigend wirken. Dabei ist zu beachten, dass die Anforderungen an eine Einwilligung im Strafrecht grundsätzlich niedriger sind als im Datenschutzrecht. Während die DSGVO detaillierte Vorgaben zu Freiwilligkeit, Transparenz, Widerruflichkeit und Dokumentation stellt, genügt im Strafrecht regelmäßig ein tatsächliches, bewusstes Einverständnis der betroffenen Person. Dennoch bietet eine sauber dokumentierte datenschutzrechtliche Einwilligung in der Praxis den größtmöglichen Schutz. Dies gilt besonders vor dem Hintergrund des § 42 BDSG.
TOMs
Eine datenschutzkonforme Nutzung der Transkriptionsfunktion in Microsoft Teams setzt voraus, dass Zugriff, Löschung und Kontrolle technisch und organisatorisch klar geregelt sind. Zunächst sollte die Transkription nicht standardmäßig, sondern nur gezielt und anlassbezogen aktiviert werden. Eine dauerhafte oder automatische Transkription widerspricht dem Grundsatz der Datenminimierung, da regelmäßig auch Inhalte erfasst werden, die für den eigentlichen Zweck des Meetings nicht erforderlich sind.
Zentral ist zudem die Zugriffskontrolle. Über die Admin-Richtlinien in Microsoft Teams kann etwa festgelegt werden, wer überhaupt berechtigt ist, eine Transkription zu starten oder auf bestehende Transkripte zuzugreifen. Damit lässt sich verhindern, dass sensible Inhalte unkontrolliert erfasst oder weiterverarbeitet werden. Solche Rollen- und Berechtigungskonzepte sind zugleich Ausdruck der datenschutzrechtlich geforderten technischen und organisatorischen Maßnahmen.
Regelmäßige Löschung der Transkripte
Ein weiterer wesentlicher Punkt ist die Löschung der Transkripte. Nach dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist.
Fazit
Die Transkription in Microsoft Teams ist kein Selbstläufer. Mit klarer Einwilligung, transparenter Information und restriktiven Einstellungen lässt sie sich jedoch datenschutzkonform und praxistauglich einsetzen. Schließlich ist zu prüfen, ob eine Transkription überhaupt erforderlich ist. Geht es lediglich um Barrierefreiheit, etwa für hörgeschädigte Teilnehmende, können Liveuntertitel eine datenschutzfreundlichere Alternative darstellen. Diese werden in Echtzeit angezeigt, aber nicht gespeichert, sodass kein dauerhaftes Protokoll entsteht. Auch dies trägt dazu bei, Risiken zu reduzieren und den Grundsatz der Datenminimierung konsequent umzusetzen.
Mit diesen 5 Schritten zur datenschutzkonformen Nutzung der Transkriptionsfunktion in Microsoft Teams:
- Zweck definieren – Warum wird transkribiert?
- Rechtsgrundlage festlegen – meist Einwilligung
- Teilnehmende informieren – transparent & verständlich
- Technik begrenzen – nur wenn nötig, mit klaren Rechten
- Fristen einhalten – Transkripte regelmäßig löschen
KINAST unterstützt Sie bei der rechtssicheren Implementierung von KI-Anwendungen – von der DSGVO-konformen Einführung bis zur Erstellung unternehmensspezifischer Richtlinien.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
