Die Transkription von Online-Meetings

Einleitung

Für viele Beschäftige sind Online-Meetings ein fester Bestandteil des Terminkalenders. Bislang werden zur Dokumentation und Nachbereitung der dort besprochenen Inhalte oftmals noch handschriftliche Protokolle angefertigt. Für eine vereinfachte Erledigung dieses Arbeitsschrittes kommt immer häufiger sogenannte Transkriptionssoftware zum Einsatz. Eine Transkription ist die automatische Erstellung von Gesprächsprotokollen, indem die Wortbeiträge der Teilnehmer in Echtzeit aufgezeichnet und sodann verschriftlicht werden. Dabei werden regelmäßig personenbezogene Daten der Beschäftigten, wie der Name, die Stimme und der Inhalt der Wortbeiträge, verarbeitet, sodass der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet ist. Die Verantwortung für den datenschutzkonformen Einsatz der Transkriptionssoftware trägt das Unternehmen, das sich für deren Einsatz entschieden hat. Wobei zu beachten gilt, dass der Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten ein Grundrecht darstellt (vgl. Erwägungsgrund 1 DSGVO), das den Schutz der Stimme und des eigenen Wortes umfasst. Die sprechende Person soll selbst bestimmen können, wer das gesprochene Wort zur Kenntnis nehmen darf. Wird das gesprochene Wort in Echtzeit und ohne Einflussmöglichkeiten der sprechenden Person transkribiert, ist die Eingriffsintensität als hoch zu bewerten. Erschwerend kommt das Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer hinzu. Daraus ergibt sich für Unternehmen bei dem Einsatz von Transkriptionssoftware die Frage, auf welche Rechtsgrundlage die damit verbundene Datenverarbeitung gestützt werden kann und wie die umfassenden Informationspflichten gegenüber der betroffenen Person umgesetzt werden können.

Die Einwilligung als Rechtsgrundlage 

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie auf eine Rechtsgrundlage gestützt werden kann (Verbot mit Erlaubnisvorbehalt, Art. 6 Abs. 1 DSGVO). Allein die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO deckt die Verarbeitungstätigkeiten im Rahmen einer Transkription rechtssicher ab. Dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO steht bereits bei der Aufzeichnung von Telefongesprächen das überwiegende Interesse der betroffenen Person an der Gewährleistung der Vertraulichkeit des nicht-öffentlich gesprochenen Wortes entgegen (vgl. Tätigkeitsbericht 2022 des LfD Sachsen). Dies sollte dann erst recht für die Transkription gelten. Mithin ist die Einwilligung der betroffenen Personen zwingend erforderlich. Allerdings muss das Unternehmen für eine wirksame Einwilligung verschiedene Voraussetzungen erfüllen und neben datenschutzrechtlichen auch strafrechtliche Belange in den Blick nehmen.
Den Unternehmen mit einem Betriebsrat steht es frei, auch eine Betriebsvereinbarung abzuschließen, die als Rechtsgrundlage für den Einsatz der Transkriptionssoftware fungiert (Art. 88 Abs. 2 DSGVO i. V. m. § 26 Abs. 4 BDSG). 

Die strafrechtlichen Anforderungen des § 201 StGB

Das gesprochene Wort wird in der deutschen Rechtsordnung als besonders schützenswert angesehen. Die unberechtigte Aufnahme des nichtöffentlichen gesprochenen Wortes einer anderen Person auf einem Tonträger kann eine Strafbarkeit wegen Verletzung der Vertraulichkeit des Wortes gem. § 201 StGB begründen. Die Transkription – also die Verschriftlichung des gesprochenen Wortes – erfüllt diese Voraussetzungen für sich genommen nicht. Gleichwohl erfolgt bei der Erstellung des Transkripts oftmals eine Zwischenspeicherung (auf den Servern des Softwareanbieters) und somit eine Aufnahme im Sinne des § 201 StGB. Eine Aufnahme ist unberechtigt, sofern sie ohne oder gegen den Willen der betroffenen Person erfolgt – heißt ohne eine Einwilligung. Der entscheidende Unterschied zwischen der strafrechtlichen und datenschutzrechtlichen Bewertung liegt in den Anforderungen an die Wirksamkeit der Einwilligung. Im Strafrecht genüge bereits eine stillschweigende oder mutmaßliche Einwilligung (vgl. Tätigkeitsbericht 2024 des LfDI BW). Eine stillschweigende Einwilligung bedeutet, dass die betroffene Person in Kenntnis der Aufzeichnung dieser bewusst nicht widerspricht. Folglich sollten Unternehmen ihre Beschäftigten auf eine mögliche Strafbarkeit gem. § 201 StGB durch das (heimliche) Mitschneiden von Audiodateien sowie das Speichern und das Verbreiten dieser hinweisen.

Die datenschutzrechtlichen Anforderungen des Art. 6 Abs. 1 lit. a) DSGVO

Im Verhältnis zum Strafrecht statuiert die DSGVO für das Datenschutzrecht höhere Anforderungen an eine wirksame Einwilligung hinsichtlich der Transkription von Online-Meetings. Die Wirksamkeit einer Einwilligung setzt voraus, dass die betroffene Person diese in informierter Weise, freiwillig und auf einen bestimmten Fall bezogen in Form einer ausdrücklichen Erklärung oder einer eindeutig bestätigenden Handlung abgibt (vgl. Erwägungsgrund 32 DSGVO).

Das Unternehmen hat die betroffene Person umfassend über den Datenverarbeitungsprozess zu informieren (Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO). Umfasst sind unter anderem Informationen über den mit der Transkription verfolgten Zweck, die erhobenen Datenkategorien, Empfänger der Daten, die Speicherdauer und bei automatisierter Verarbeitung die involvierte Logik. Bei dem Einsatz externer Transkriptionssoftware ist das Unternehmen zunächst auf die von dem Softwareanbieter zur Verfügung gestellten Informationen angewiesen. Wenngleich dessen Informationen unzureichend sein sollten, wird das Unternehmen nicht von der Informationspflicht entbunden und sollte den Softwareanbieter sorgfältig auswählen. Die Informationen müssen der betroffenen Person bei Erhebung ihrer personenbezogenen Daten mitgeteilt werden, also bereits im Vorfeld der Transkription des Online-Meetings. Das LfDI BW empfiehlt in seinem Tätigkeitsbericht aus 2024 (Seite 135) die Informationen nach Art. 13 DSGVO über die Datenverarbeitung bereits mit der Einladung zu dem Online-Meeting zu erteilen. Zusätzlich solle im Meeting unmittelbar vor Beginn der Aufzeichnung ein Pop-up-Fenster angezeigt werden, welches aktiv durch die betroffene Person weggeklickt werden muss.

Darüber hinaus muss die Einwilligung freiwillig, also ohne äußeren Zwang, erklärt werden. Die DSGVO ist eine Verordnung der Europäischen Union, wobei die Mitgliedsstaaten für die Datenverarbeitung im Beschäftigungskontext konkretisierende Regelungen erlassen dürfen (sogenannte Öffnungsklausel). In Deutschland wurde im Beschäftigungskontext mit § 26 BDSG von der Konkretisierungsbefugnis aus Art. 88 Abs. 1 DSGVO Gebrauch gemacht. Neben den Umständen der Einwilligungserteilung berücksichtigt § 26 Abs. 2 BDSG die bestehende Abhängigkeit zwischen Arbeitgeber und Arbeitnehmer. Freiwilligkeit kann demnach insbesondere dann vorliegen, wenn für Beschäftigte ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Sobald sich die sprechende Person beeinflusst, gedrängt, bestimmt oder gezwungen sieht, ohne dass es einer tatsächlichen Zwangsausübung bedarf, sei die Freiwilligkeit ausgeschlossen (vgl. DSK Kurzpapier Nr. 14). Hier sind verschiedene Sachverhalte denkbar, in denen ein Gruppenzwang entsteht und zu einer unfreiwilligen Einwilligungserklärung führt. So etwa, wenn die Einwilligung während eines bereits stattfindenden Meetings oder in Anwesenheit weiterer Mitarbeiter abgefragt wird. In Bewerbungsgesprächen könnte ein Bewerber Nachteile befürchten, die ihn zu einer Einwilligung verleiten. Auch Drucksituationen, wie beispielsweise Vertragsverhandlungen, können die sprechende Person zu einer Einwilligung drängen.

Im Gegensatz zum Strafrecht wird im Datenschutzrecht für eine wirksame Einwilligung ein aktives Tätigwerden der betroffenen Person gefordert. Eine stillschweigende Einwilligung der betroffenen Person oder bereits vorangekreuzte Checkboxen stellen keine wirksame Einwilligung dar. Im Beschäftigungsverhältnis wird das Selbstbestimmungsrecht zusätzlich dadurch abgesichert, dass eine Einwilligung die Einhaltung der schriftlichen oder elektronischen Form voraussetzt.

Ferner steht der sprechenden Person ein Widerrufsrecht zu. Die Einwilligungserklärung kann von der sprechenden Person jederzeit mit Wirkung für die Zukunft widerrufen werden, wodurch die weitere Transkription der Wortbeiträge der widerrufenden Person unrechtmäßig wird. Dies kann nicht nur für die Software mit technischen Herausforderungen verbunden sein, sondern Unternehmen auch dann herausfordern, wenn betroffene Personen während eines laufenden Online-Meetings den Widerruf erklären. 

Infolge der hohen datenschutzrechtlichen Anforderungen sollten Unternehmen bei der Abfrage der Einwilligung daher sicherstellen, dass die Beschäftigten umfassend informiert sind und bei Verweigerung ihrer Einwilligung keine Nachteile zu befürchten haben. Darüber hinaus müssen Unternehmen den Einsatz der Transkriptionssoftware in ihr Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Datenschutz-Folgenabschätzung vornehmen, um den datenschutzrechtlichen Dokumentationspflichten nachzukommen.  

Die besonderen Datenkategorien

Während eines Online-Meetings kann es vorkommen, dass besonders sensible Daten besprochen werden und weitere Schutzmechanismen erforderlich sind. Sobald die gesprochenen Inhalte beispielsweise Informationen über Gesundheitszustände, politische Meinungen oder die Gewerkschaftszugehörigkeit enthalten, verschärft Art. 9 DSGVO die Anforderungen. Die Einwilligung muss nunmehr ausdrücklich erklärt worden sein. Das bedeutet, es dürfen keine Zweifel daran bestehen, dass die sprechende Person in die Transkription eingewilligt hat.

Gelegentlich werden bei der Transkription personalisierte Stimmprofile zur Trennung von einzelnen Wortbeiträgen der verschiedenen Personen erstellt. Dadurch, dass die Stimme als ein physisches Merkmal die eindeutige Identifizierung der einzelnen Personen ermöglicht, handelt es sich um ein biometrisches Datum nach Art. 4 Nr. 14 DSGVO und erfordert ebenfalls einen besonderen Schutz. Die Erstellung von Stimmprofilen betrifft jedoch überwiegend Präsenz-Meetings, in denen zur Trennung der Wortbeiträge keine (User-)Namen verwendet werden können. Für die Verarbeitung biometrischer Daten ist auch denkbar, dass mit der Transkriptionssoftware Profile über das Abstimmungsverhalten der einzelnen Personen erstellt werden. In diesen Fällen wird ebenso eine ausdrückliche Einwilligung gefordert.

Im Übrigen dürfte für besonders sensible Datenkategorien – unter Ausnahme von speziellen Fallgestaltungen – ein Rückgriff auf die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO ausgeschlossen sein. Vor allem hat die sprechende Person ihre Wortbeiträge nicht offensichtlich öffentlich gemacht, Art. 9 Abs. 2 lit. e) DSGVO. Hierfür ist der Personenkreis, der die Wortbeiträge der sprechenden Person im Rahmen eines Online-Meetings zur Kenntnis nimmt, zu begrenzt.

Videokonferenz-Tools mit integrierter Transkriptions­funktion

Einige Videokonferenz-Tools haben bereits eine Transkriptionsfunktion integriert, darunter Zoom und Microsoft Teams. Die Funktion ist technisch so ausgestaltet, dass den Teilnehmern auf ihren Bildschirmen eine Benachrichtigung in Form eines Pop-up-Fensters angezeigt wird, sobald das Transkript durch Aufzeichnung der Wortbeiträge erstellt wird. Die Benachrichtigung fordert den Teilnehmer auf, seine Zustimmung zu geben, indem er auf die Schaltfläche „Zustimmen“ klickt. Für eine wirksame Einwilligung genügt nach Art. 4 Nr. 11 DSGVO allerdings nicht jede Willensbekundung der betroffenen Person, sondern nur eine solche, die freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben wird. In der Praxis scheitert die Einwilligung also hier schon daran, dass die Informationspflichten nach Art. 13 DSGVO nicht umgesetzt sind. Auch Drucksituationen können so nicht ausgeschlossen werden, wodurch die Freiwilligkeit der Erklärung ebenso fraglich bleibt. Im Ergebnis erfüllen die von Videokonferenzanbietern verwendeten Benachrichtigungs-Popups daher nicht die datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung. Unabhängig von technisch voreingestellten Benachrichtigungen obliegt es daher weiterhin den Unternehmen, die vorherige Einwilligung der Teilnehmer einzuholen und ihren Informationspflichten nachzukommen.

Fazit

Die automatische Erstellung von Gesprächsprotokollen in Echtzeit kann für Unternehmen von Vorteil sein, stellt jedoch auch einen erheblichen Eingriff in den Persönlichkeitsschutz der sprechenden Person dar, zu denen auch der Schutz ihrer Stimme und ihrer eigenen Worte gehört. Aus datenschutzrechtlicher Sicht kann dies – abgesehen von Betriebsvereinbarungen – nur auf der Grundlage der Einwilligung der sprechenden Person erfolgen. In diesem Kontext muss zwischen den datenschutzrechtlichen Anforderungen an eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO und den strafrechtlichen Anforderungen nach § 201 StGB unterschieden werden. 

Im Strafrecht kann die Tathandlung, die in der für die Erstellung des Transkripts erfolgten Zwischenspeicherung (auf den Server des Softwareanbieters) liegt, bereits durch eine stillschweigende Einwilligung gerechtfertigt werden. Demgegenüber kann die Transkription im Datenschutzrecht nur durch eine Einwilligung gerechtfertigt werden, die von der sprechenden Person in informierter Weise, freiwillig und auf einen bestimmten Fall bezogen in Form einer ausdrücklichen Erklärung oder einer eindeutig bestätigenden Handlung abgegeben worden ist. Das Datenschutzrecht ist hier also strenger als das Strafrecht. Das bedeutet, dass Unternehmen bzw. die jeweiligen verantwortlichen Personen sich in der Regel zwar nicht strafbar machen, wenn sie nur die von bekannten Videokonferenzanbietern – wie Zoom oder Microsoft Teams – zu diesem Zweck bereitgestellten Benachrichtigungs-Pop-ups verwenden, um die Einwilligung ihrer Beschäftigten zur Transkription von Online-Meetings einzuholen, aber dennoch regelmäßig gegen das Datenschutzrecht verstoßen. Unternehmen sind daher angehalten, eigene Einwilligungserklärungen und Datenschutzhinweise – nach Maßgabe von Art. 13 DSGVO – zu entwerfen und diese ihren Beschäftigten transparent und ordnungsgemäß vorzulegen, um deren wirksame Einwilligung in die Transkription von Online-Meetings einzuholen. Hierbei dürfen neben den Informationspflichten auch die Dokumentationspflichten nicht vernachlässigt werden.