Die datenschutzkonforme Verwendung der Transkriptionsfunktion in Microsoft Teams

Die Aktivierung der Transkriptionsfunktion in Teams erspart einerseits die manuelle Protokollierung von Konferenzen durch automatisierte und in Echtzeit generierte Gesprächsprotokolle. Dies ermöglicht den Teilnehmenden, sich besser auf das Gespräch zu konzentrieren und bietet auch verspäteten oder verhinderten Teilnehmenden die Nachvollziehbarkeit der Gesprächsinhalte.

Andererseits kann die direkte Anwendung der in Teams bereits integrierten Funktion anstelle von Drittdiensten einen geringeren Aufwand an Zeit, Personal und monetären Kosten ermöglichen und zusätzliche technische Hürden vermeiden.

Der Zweck der Datenverarbeitung durch die Anwendung der Transkriptionsfunktion besteht somit in der effizienten und transparenten Dokumentation, da diese automatisiert und in Echtzeit erfolgt.

Bei der Transkriptionsfunktion in Microsoft Teams werden die gesprochenen Beiträge der Teilnehmenden während der Besprechung automatisiert in Text überführt. Die Transkription erfolgt ausschließlich KI-gestützt und funktioniert lediglich mit integriertem und aktivierten Microsoft Copilot als sprachverarbeitendem KI-Dienst. Nach dem Ende des Meetings steht den Organisatoren und den berechtigten Teilnehmenden eine herunterladbare Textfassung zur Verfügung, die den Gesprächsverlauf abbildet. Das erzeugte Transkript enthält üblicherweise die Zuordnung der Wortbeiträge zu einzelnen Sprechern, den jeweiligen Inhalt sowie den zugehörigen Zeitstempel. Im Anschluss kann der Textinhalt nach Personen, Begriffen oder einzelnen Passagen durchsucht oder schwerpunktmäßig zusammengefasst werden. Die Transkripte werden im OneDrive for Business des Besprechungsorganisators gespeichert. Auf das Transkript kann über den Besprechungschat und die Registerkarte Recap in Teams zugegriffen werden, bis ein Besprechungsorganisator das Transkript löscht.

Da jede Verarbeitung personenbezogener Daten dem Grundsatz des Verbots mit Erlaubnisvorbehalt unterliegt, benötigt die Transkription eine tragfähige Rechtsgrundlage nach Art. 6 Abs. 1DSGVO.

Eine Transkription ohne rechtliche Grundlage könnte nicht nur gegen die DSGVO verstoßen, sondern hätte auch strafrechtliche Folgen. Wer eine Besprechung unbefugt mitschneidet, macht sich unter Umständen nach § 201 StGB strafbar und muss mit Geld- oder Freiheitsstrafe rechnen. Danach erfordert grundsätzlich jede Tonaufzeichnung des gesprochenen Wortes eine Einwilligung des Betroffenen. Trotz dessen, dass es sich vorliegend nicht um eine klassische Tonaufzeichnung handelt, befindet sich die automatische Transkription hier mindestens in einer Grauzone des Anwendungsbereichs. Grund dafür ist, dass die technische Umsetzung eine Spracherkennung und somit eine Zwischenspeicherung voraussetzt.

Die Erfüllung vertraglicher oder gesetzlicher Verpflichtungen sowie das berechtigte Interesse können in der Regel nicht die Rechtmäßigkeit der Transkription begründen. Somit kommt vorliegend für die rechtssichere Datenverarbeitung grundsätzlich nur die Einwilligung des Betroffenen als Rechtsgrundlage in Betracht. Für die Rechtmäßigkeit der Transkription ist also grundsätzlich eine Einwilligung der Betroffenen erforderlich. Die Einwilligung muss gem. Art. 7 i.V.m. Art. 4 Nr. 11 freiwillig und informiert abgegeben werden und sich unmissverständlich auf die spezifische Datenverarbeitung beziehen.

Vor Beginn einer Transkription in Microsoft Teams müssen alle Teilnehmenden gem. Art. 12 ff. DSGVO darüber informiert werden, zu welchem Zweck die Textaufzeichnung erfolgt, welche Inhalte verarbeitet werden, wie lange das Transkript gespeichert bleibt und wer Zugriff darauf erhält. Die Verarbeitung darf anschließend nur für den genannten Zweck und in dem dafür notwendigen Umfang erfolgen. Microsoft stellt in Teams standardmäßig eine Benachrichtigung in Form eines Pop-Up-Hinweises bereit, die Teilnehmende darüber informieren, dass die Transkription gestartet wurde. Zugleich müssen die Betroffenen über diese Maske ihre Zustimmung erteilen; ohne Einwilligung wird für die betreffende Person keine Transkription durchgeführt. Wer nicht zustimmt, kann weiterhin zuhören, jedoch keine eigenen Wortbeiträge einbringen. Der Text dieser Hinweise erfüllt jedoch in der Regel nicht die Transparenzanforderungen der Art. 12 ff. DSGVO. Da die eingeblendeten Hinweise üblicherweise nicht durch den Organisator verändert werden können, müssen andere Wege gefunden werden, um eine informierte Einwilligung einzuholen. Naheliegend ist es, die Teilnehmenden bereits in der Einladung entsprechend zu informieren.

Hinzu kommt, dass auch der Verantwortliche selbst meist nicht vollständig über die Datenverarbeitung informiert ist. Um eine vollständige Information der Betroffenen gewährleisten zu können, müsste in Erfahrung gebracht werden, ob Sprachprofile erstellt werden, wie lange Audio- und Textdaten gespeichert bleiben und ob der Anbieter die Daten für eigene Zwecke weiterverwendet. Die Verantwortlichen sind hier allerdings auf die Informationen beschränkt, die Microsoft öffentlich bereitstellt.

Die Einholung einer Einwilligung zur Transkription kann in bestimmten Situationen unter erheblichem Druck stattfinden, sodass die Freiwilligkeit zweifelhaft wird. Das betrifft etwa Konstellationen, in denen Teilnehmende befürchten, Nachteile zu erleiden, wenn sie nicht zustimmen – zum Beispiel in Bewerbungsgesprächen oder bei wichtigen geschäftlichen Verhandlungen. Auch in der täglichen Zusammenarbeit kann es problematisch sein, wenn die Beiträge einzelner Personen in Transkripten fehlen. Unvollständige oder fehlerhafte Protokolle können zudem auch Abläufe verzögern und dadurch zusätzlichen Druck erzeugen, doch zuzustimmen.

Besonders deutlich zeigt sich dieses Spannungsfeld im Arbeitsverhältnis. Wird die Transkriptionsfunktion durch den Arbeitgeber als reguläres Arbeitsmittel eingeführt, kann dies Beschäftigte dazu veranlassen, ihre Einwilligung primär aus Angst vor Nachteilen zu erteilen. Arbeitgeber hätten rein technisch die Möglichkeit, anhand der Transkripte nachzuvollziehen, wie und in welchem Umfang Mitarbeitende sich in Besprechungen beteiligen. Wenn Beiträge fehlen, weil eine Person keine Einwilligung abgegeben hat, könnte sie befürchten, als weniger engagiert wahrgenommen zu werden.

Daher sollte vor der Einführung der Transkriptionsfunktion sorgfältig abgewogen und dokumentiert werden, welchen Nutzen die Beschäftigten konkret haben und wie sichergestellt werden kann, dass ihnen bei einer verweigerten Einwilligung keine Nachteile entstehen. Je nachvollziehbarer die Vorteile sind und je besser die Betroffenen vorher informiert werden, desto eher lässt sich eine wirksame und freiwillige Einwilligung erreichen. Um dem Druck entgegenzuwirken, sollte zudem die Zweckbindung der generierten Transkripte in der Kommunikation hervorgehoben und Auswertungen zu Mitarbeiterüberwachungs- und Leistungsbeurteilungszwecken explizit ausgeschlossen werden. Würde die KI-generierte Transkription für Zwecke der Leistungs- und Verhaltenskontrolle von Mitarbeitenden herangezogen werden, könnten zusätzlich die Pflichten für Hochrisiko-KI gem. Art. 6 ff. KI-VO einschlägig werden.

Schwieriger ist zudem die Frage, wie ein Widerruf technisch umgesetzt werden kann. Die Einwilligung muss gem. Art. 7 Abs. 3 DSGVO jederzeit und ohne Angabe von Gründen widerrufbar sein. Der Widerruf muss genauso einfach geltend gemacht werden können wie die Einwilligung. Es müsste folglich eine verlässliche technische Lösung gewährleisten, dass keine weitere Aufzeichnung einer Person mehr erfolgt, wenn diese während der aufgezeichneten Besprechung ihre Einwilligung widerruft. Auch bereits erfasste Sprachdaten währen sowohl vom Widerruf als auch vom Recht auf Löschung gem. Art. 17 DSGVO betroffen.

Auch bei den Betroffenenrechten, insbesondere Löschung und Berichtigung, zeigen sich ähnliche Schwierigkeiten wie bei den Informationspflichten. Um diese Rechte umzusetzen, ist der Organisator darauf angewiesen, dass Microsoft als Anbieter überhaupt technische Möglichkeiten zur Entfernung oder Korrektur einzelner Sprach- oder Textdaten bereitstellt. Ob eine Berichtigung etwa durch ein erneutes Training der Modelle möglich ist, hängt vollständig vom Anbieter ab.

Gleiches gilt für Auskunftsansprüche. Bei einem Auskunftsersuchen muss zunächst geklärt werden, ob und in welchem Umfang Microsoft mitteilen kann, welche personenbezogenen Daten über eine bestimmte Person im Rahmen der Transkription verarbeitet wurden. Richtet sich der Auskunftsanspruch eines Mitarbeiters gegen den Arbeitgeber, kann dieser verpflichtet sein, Transkripte vorzulegen, sofern sie zur nachvollziehbaren Darstellung der über die betroffene Person gespeicherten Informationen erforderlich sind. Die Herausgabe kann umfangreiche Gesprächsinhalte betreffen – sowohl interne als auch externe Besprechungen. In solchen Fällen wäre zu prüfen, inwieweit personenbezogene Daten anderer Personen sowie vertrauliche Informationen oder Geschäftsgeheimnisse geschwärzt werden dürfen. Je nach Menge der vorhandenen Transkripte kann dies einen erheblichen Aufwand verursachen.

Die Übermittlung der Daten an Microsoft Server in den USA ist dahingehend unproblematisch, da ein EU-Angemessenheitsbeschluss gem. Art. 45 DSGVO für nach dem „EU-U.S. Data Privacy Framework“ zertifizierte Unternehmen gilt, wovon die Microsoft Corporation erfasst ist. Zudem kommt die Transkriptionsfunktion in Teams sowieso nur für Anwender in Frage, die sowieso sowie Microsoft-Kunde sind und auch andere Anwendungen von Microsoft 365 wie Teams, Outlook und Copilot verwenden. Ferner umfasst das durch das „Microsoft Product and Services Data Protection Addendum (WW)“ (DPA) garantierte Datenschutzniveau auch die Transkriptionsfunktion in Teams.

Wie bei jeder Verarbeitung personenbezogener Daten, sind bestimmte technische und organisatorische Maßnahmen (TOMs) zu konfigurieren, um das Risiko insbesondere für die Vertraulichkeit und Integrität der Daten zu minimieren.

• Ein technisches Risiko tut sich dadurch auf, dass die Transkriptionsfunktion von Microsoft Teams nicht aktiviert werden kann, ohne vorherige Aufhebung der Ende-zu-Ende Verschlüsselung. Hier müssten also andere Mechanismen kompensierend wirken.
• Die Einstellungen der Teams-Umgebung wären genau zu prüfen. Administratoren können beispielsweise festlegen, dass nur bestimmte Benutzergruppen die Transkriptfunktion nutzen dürfen.
• Es sollte eine schriftlich dokumentierte Weisung der Mitarbeiter mit Zugriff auf die Transkriptionsfunktion erstellt werden. Hierin muss insbesondere geregelt sein,
  • welche Gespräche transkribiert werden dürfen,
  • wie die Betroffenen zu informieren sind,
  • wie mit den Transkripten verfahren wird, insbesondere deren Speicherung und Löschung
  • wer jeweils zuständig ist.
• Die Information der Teilnehmenden muss, wenn möglich im Zuge der Einladung stattfinden, um eine freiwillige und informierte Einwilligung gewährleisten zu können.
• Bei externen Teilnehmern ist außerdem besondere Vorsicht dahingehend geboten, dass diese Teilnehmer eventuell anderen internationalen Datenschutzgesetzen oder unternehmensinternen Richtlinien unterliegen können. Hierauf sollte der externe Teilnehmer explizit hingewiesen werden.
• Zu berücksichtigen ist außerdem, dass Personen, die sich nachträglich in eine Besprechung einwählen, das Transkript nicht anzeigen können. Folglich müsste diesen Teilnehmern, wenn diese von der Transkription betroffen sind, das Transkript manuell zur Verfügung gestellt werden.
• Durchführung und Dokumentation einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO
• Die aktuelle Version des Microsoft Product and Services Data Protection Addendum (WW) und weitere von Microsoft zur Verfügung gestellte Informationen sind einzuholen und in den Dokumentations- und Informationspflichten miteinzubeziehen.
  • Zur Bearbeitung oder Löschung des Transkripts (Link)