KI-gestützte Transkriptions-Tools wie Otter.ai versprechen Effizienz und präzise Dokumentation – doch der Datenschutz hinkt oft hinterher. In den USA steht Otter.ai, einen Hersteller von KI-gestützten Transkriptions- und Notizwerkzeugen, nun vor Gericht. Das Unternehmen soll private Gespräche ohne Zustimmung aufgezeichnet und zur Verbesserung seiner KI genutzt haben.
Otter.ai‘s KI-gestützter Meeting-Assistent
Das Unternehmen Otter.ai sieht sich jedoch mit einer Klage in Kalifornien konfrontiert. Es ist bekannt für seine KI-gestützten Transkriptions- und Notizwerkzeuge in Zoom, Google Meet oder Microsoft Teams. Die Klage wurde von Justin Brewer eingereicht, der kein Otter-Kontoinhaber ist, aber an einem virtuellen Meeting teilnahm, bei dem die Software Otter Notetaker oder OtterPilot lief. Der Kern der Klage ist, dass Otter.ai private Gespräche ohne die Zustimmung aller Teilnehmer aufzeichnen. Des Weiteren sollen diese Aufzeichnungen anschließend zum Training seiner KI-Modelle verwenden worden sein.
Aufzeichnung ohne Zustimmung aller Meetingteilnehmer
Der Kläger argumentiert, er habe nicht gewusst, dass der Dienst seine Daten erfassen, speichern und insbesondere zur Schulung von Otters Spracherkennungs- (ASR) und Machine-Learning-Modellen nutzen würde. Die Klageschrift wirft Otter vor, die vorherige Zustimmung der Personen, die an Meetings teilnehmen, aber keine Otter-Kontoinhaber sind, nicht einzuholen.
Darüber hinaus fehle die Transparenz über die Art und Weise, wie Otter die Daten für sein Geschäft nutzt, nämlich zur finanziellen Bereicherung durch die Verbesserung seiner KI-Modelle. Otter versuche, seine rechtlichen Pflichten auf die Kontoinhaber abzuwälzen, anstatt selbst die erforderlichen Einwilligungen von den aufgezeichneten Personen einzuholen.
Datenschutzgesetze in Kalifornien und auf Bundesebene
Die Klage stützt sich auf eine Vielzahl von Verstößen gegen US-Bundesgesetze und die Gesetze Kaliforniens. Auf Bundesebene wird der Electronic Communications Privacy Act (ECPA), auch bekannt als Federal Wiretap Act, angeführt. Dieser verbietet das vorsätzliche Abfangen von Inhalten drahtgebundener, mündlicher oder elektronischer Kommunikation mittels eines Geräts. Ferner wird der Computer Fraud and Abuse Act (CFAA) geltend gemacht, der den unbefugten Zugriff auf einen geschützten Computer mit betrügerischer Absicht zur Erlangung von Informationen verbietet.
In Kalifornien spielt der California Invasion of Privacy Act (CIPA) eine zentrale Rolle. Dieser verbietet das Abhören und Aufzeichnen vertraulicher Kommunikation ohne die Zustimmung aller Parteien. Zudem werden zivilrechtliche Vergehen (Common Law Torts) wie die Intrusion Upon Seclusion (Eingriff in die Abgeschiedenheit/Privatsphäre) und Conversion (unrechtmäßige Aneignung von Eigentum – hier: an Gesprächsdaten und der Stimme) geltend gemacht. Die Kläger fordern die Rückerstattung und Abschöpfung aller Gewinne, die Otter durch die unrechtmäßige Datennutzung erzielt hat. Zudem die Löschung der unrechtmäßig erworbenen Daten.
AI Notetaker auch nach der DSGVO schwierig
Auf Europa und die Datenschutz-Grundverordnung (DSGVO) übertragen, sind zwei zentrale Prinzipien betroffen. Zum einen die Transparenz gegenüber den Betroffenen und zum anderen die Identifizierung einer gültigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Die DSGVO stellt höhere Anforderungen an die Einwilligung als viele US- oder lateinamerikanische Jurisdiktionen. Eine Einwilligung ist nur gültig, wenn sie freiwillig, spezifisch, informiert und eindeutig erteilt wurde. Insbesondere in Arbeitsverhältnissen, wo ein Machtgefälle besteht, ist das Element der „freiwilligen“ Einwilligung oft gefährdet, da die Verweigerung als unkooperativ angesehen werden und berufliche Nachteile mit sich bringen kann.
Ein häufiges Problem bei der KI Transkription ist der Mangel an angemessener Transparenz. Nach DSGVO müssen die Teilnehmer nicht nur über die stattfindende Transkription informiert werden, sondern auch über deren Zweck, die Speicherfristen und die Empfänger der Daten. Die Klage gegen Otter.ai zeigt genau diesen Mangel auf, da Nicht-Kontoinhaber – der Klageschrift zufolge – nicht über die Nutzung ihrer Konversationen zur Schulung der KI informiert wurden. Unternehmen im Geltungsbereich der DSGVO müssen zudem stets prüfen, ob das Prinzip der Datenminimierung eingehalten wird, da nicht jedes Meeting eine vollständige Transkription erfordert.
Schlussfolgerungen für Unternehmen
Die Klage gegen Otter.ai verdeutlicht, dass die leichtfertige Implementierung von KI-Transkriptionswerkzeugen, die auf Effizienz ausgelegt sind, schnell zu erheblichen Haftungsrisiken führen kann. Unternehmen sollten die Bequemlichkeit der automatischen Transkription gegen das strategische Risiko abwägen, da jede beiläufige Bemerkung zu einem dauerhaften Dokument wird.
Zudem ist die Gültigkeit der Rechtsgrundlage stark vom Kontext abhängig. Unternehmen müssen für jeden Anwendungsfall die passende Rechtsgrundlage (z. B. berechtigtes Interesse) prüfen und beispielsweise die Freiwilligkeit bei einer Einwilligung gewährleisten. Des Weiteren muss sichergestellt werden, dass alle Teilnehmer, auch externe Geschäftspartner oder Kunden, klar, zugänglich und im Voraus darüber informiert werden. Dies umfasst die Transkription an sich, aber auch wie die Daten genutzt werden und welche Aufbewahrungsfristen gelten.
Ebenso nicht zu vernachlässigen ist das Risiko, dass Transkripte Geschäftsgeheimnisse enthalten können. Denn KI-Tools stammen weiterhin oftmals von US-Anbietern, welche deren Daten auf US-Clouds speichern. Unternehmen sollten mit ihrer KI-Strategie klare interne Regeln definieren. Beispielsweise, wann Transkriptionen zulässig sind und wie lange diese sensiblen Aufzeichnungen aufbewahrt werden dürfen.
Fazit
KI-gestützte Meeting-Transkription verändert die Natur der Kommunikation, indem sie gesprochene Worte in permanente Aufzeichnungen umwandelt. Die Klage gegen Otter.ai dient als warnendes Beispiel dafür, dass Unternehmen eine disziplinierte KI-Governance einführen müssen. Diese sollte die Zwecke der Transkription definieren, die korrekte Rechtsgrundlage wählen, transparent informieren und strenge Zugriffs- und Aufbewahrungsfristen festlegen. Ohne diese Sorgfalt riskieren Unternehmen unnötige Rechtsstreitigkeiten und die Gefährdung der Informationssicherheit.
KINAST unterstützt Sie bei der rechtssicheren Implementierung von KI-Anwendungen – von der DSGVO-konformen Einführung bis zur Erstellung unternehmensspezifischer Richtlinien.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
