KI: Automatisierte Transkription von Interviews und Meetings / 2.3.1 Maßnahmen für ein überwiegendes Interesse des Unternehmens an der Transkription

Anknüpfend an die allgemeinen Kriterien der Datenschutzaufsichtsbehörden für die Interessenabwägung^[1] sollte das Unternehmen insbesondere die nachfolgenden Maßnahmen umsetzen, um die Transkription gegebenenfalls auf seine überwiegenden berechtigten Interessen stützen zu können. Die Maßnahmen ähneln denjenigen zur Einwilligung, gehen aber teilweise darüber hinaus.

• Ausführliche Information des Beschäftigten: Das Unternehmen sollte – über die Informationen nach Art. 13, 14 DSGVO hinaus – den Beschäftigten vor Gesprächsbeginn schriftlich und mündlich darüber informieren, dass

  1. das Gespräch aufgezeichnet und transkribiert wird, sofern der Beschäftigte nicht widerspricht,
  2. der Beschäftigte jederzeit, auch während oder nach dem Gespräch, ohne Begründung widersprechen kann und
  3. dem Beschäftigten bei Widerspruch keinerlei Nachteile durch das Unternehmen drohen.

  Der softwareseitige Standardhinweis "Das Gespräch wird aufgezeichnet/transkribiert" ist damit für sich genommen keinesfalls ausreichend.

• Keine Verkettung von Daten aus anderen Zusammenhängen: Die Transkription sollte nur in Bezug auf den Beschäftigten und nur für die gesprächsbezogenen Zwecke verwendet werden. Sie sollte insbesondere nicht mit anderen Transkriptionen (desselben Beschäftigten oder anderer Beschäftigter) aus anderen Zusammenhängen verwendet werden.
• Dauer der Speicherung begrenzen: Das Unternehmen sollte die Löschfrist weder pauschal festlegen noch von einem etwaigen Widerspruch abhängig machen. Die Löschfrist sollte vielmehr an das konkrete Gespräch geknüpft sein. Das heißt: Sobald der Gesprächsinhalt veraltet ist (z. B. beim Jahresgespräch, sobald ein neues Jahresgespräch stattgefunden hat, oder beim Projektmeeting, sobald der Projektstand überholt oder das Projekt beendet ist), sollte die Transkription im Regelfall gelöscht werden – auch ohne Widerspruch des Beschäftigten.
• Kreis der Zugriffsberechtigten minimieren: Das Unternehmen sollte den Zugriff auf die Transkription entsprechend dem Verwendungszweck auf einen engen Personenkreis nach dem Need-To-Know-Prinzip begrenzen. Beispielsweise dürften bei reinen Nachweiszwecken nur die Personalabteilung, bei projektbezogenen Zwecken (z. B. eines transkribierten Projektmeetings) nur die unmittelbar Projektbeteiligten Zugriff haben.
• Sensible Daten besonders im Blick behalten: Je sensibler die Daten, desto schwieriger ist die Interessenabwägung. Das Unternehmen sollte daher z. B. gesundheitsbezogene Informationen^[2] aus dem Gespräch ausklammern.

[1] S. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe für Anbieter von Telemedien, März 2019, S. 17 ff. (abrufbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf).

[2] Vgl. Art. 9 Abs. 2 DSGVO.