DSGVO: Datenschutz-konform Diktieren und Transkription nutzen

Da uns von Kunden wiederholt Fragen zur Nutzung von Spracherkennung und Transkriptionsfunktionen gestellt werden, insbesondere in Microsoft-Tools wie Teams oder Copilot, geben wir im Folgenden einen strukturierten Überblick. Im Mittelpunkt stehen die datenschutzrechtliche Einordnung sowie die Frage, welche Anforderungen Unternehmen beachten müssen und wann eine Datenschutz-Folgenabschätzung erforderlich ist.

Viele Unternehmen möchten moderne Sprach-zu-Text-Funktionen zur Steigerung der Produktivität einsetzen. Gleichzeitig bestehen verständliche Unsicherheiten im Hinblick auf Datenschutz, insbesondere wenn cloudbasierte KI-Systeme beteiligt sind.

 

1. Ist die Stimme eines Mitarbeiters ein personenbezogenes oder biometrisches Datum?

Die Stimme eines Mitarbeiters ist grundsätzlich ein personenbezogenes Datum, da sie einer identifizierbaren Person zugeordnet werden kann.

Sie wird jedoch nicht automatisch zu einem biometrischen Datum im Sinne von Art. 9 DSGVO.

Nach Art. 4 Nr. 14 DSGVO liegen biometrische Daten nur dann vor, wenn:

  • mit speziellen technischen Verfahren
  • körperliche oder verhaltensbezogene Merkmale verarbeitet werden
  • die eindeutige Identifizierung einer Person ermöglicht wird

Einordnung in der Praxis:

  • Reine Transkription (Sprache → Text):
    → normale personenbezogene Daten (kein biometrisches Datum)
  • Speaker Recognition / Voiceprint / automatische Identifizierung eines Sprechers:
    → kann biometrische Verarbeitung darstellen, insbesondere wenn eine eindeutige Identifikation erfolgt
  • Speaker Diarization (Zuordnung von Sprechanteilen ohne Identitätsfeststellung):
    → regelmäßig noch kein biometrisches Datum im Sinne von Art. 9 DSGVO

 

2. Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich?

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Bei dem Einsatz von KI-gestützten Diktier- und Transkriptionssystemen ist dies häufig zu prüfen, insbesondere wenn:

  • neue Technologien (KI-Systeme wie Copilot) eingesetzt werden
  • personenbezogene Daten von Mitarbeitern systematisch verarbeitet werden
  • Cloud-Verarbeitung durch Dritte erfolgt
  • ggf. biometrische Verarbeitung nicht ausgeschlossen werden kann

Praxisbewertung:
In vielen Unternehmenskonstellationen ist eine DSFA naheliegend oder empfehlenswert
Im Einzelfall ist jedoch stets eine konkrete Risikoprüfung erforderlich
Dokumentierte Datenschutz-Folgenabschätzungen schaffen hier zusätzliche Rechtssicherheit

 

3. Welche Rechtsgrundlage gilt für die Verarbeitung?

Die Rechtsgrundlage hängt stark vom konkreten Einsatzszenario ab.

a) Reine Transkription ohne biometrische Verarbeitung

Hier kommen regelmäßig in Betracht:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers)
  • § 26 BDSG (Beschäftigtendatenschutz)

Voraussetzung ist insbesondere:

  • Zweckbindung
  • Transparenz gegenüber Beschäftigten
  • angemessene Schutzmaßnahmen

b) Biometrische Verarbeitung (z. B. Sprechererkennung)

Sofern eine eindeutige Identifizierung erfolgt, kann Art. 9 DSGVO einschlägig sein.

Dann gilt grundsätzlich:

  • Verarbeitung ist nur unter engen Voraussetzungen zulässig
  • häufig erforderlich: ausdrückliche Einwilligung oder andere eng begrenzte Ausnahmefälle

Hinweis zum Beschäftigtenkontext

Im Arbeitsverhältnis ist die Freiwilligkeit einer Einwilligung oft kritisch zu bewerten. Daher sind in der Praxis häufig vorzuziehen:

  • Betriebsvereinbarungen
  • technische Deaktivierungsoptionen
  • gleichwertige Alternativen ohne Nachteile

 

Resümee

Diktier- und Transkriptionsfunktionen in Microsoft Teams und Copilot können datenschutzkonform eingesetzt werden und bieten Produktivitätsvorteile, erfordern jedoch eine sorgfältige Planung und Dokumentation.

Maßgeblich ist stets die Einzelfallprüfung unter Berücksichtigung von Verarbeitungsart, Datenschutz-Folgenabschätzung, Rechtsgrundlagen und Transparenzpflichten.

 

Unsere Angebote für Sie:

  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Stellung des externen Datenschutzbeauftragten (DSB)
  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Positionspapier der Datenschutzkonferenz (DSK) zur biometrischen Analyse
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf

Datenschutzberatung mit tec4net: DSGVO, BDSG und LDSG erfolgreich umsetzen
https://www.tec4net.com/web/datenschutz/

BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)
https://www.bfdi.bund.de/DE/Buerger/Inhalte/Technik/Biometrie.html

IT-Sicherheit mit tec4net: ISO 27001, TISAX und NIS-2 erfolgreich umsetzen
https://www.tec4net.com/web/it-security/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com