Seit Veröffentlichung der vorangegangenen Beiträge aus der Reihe „Smarte Aufzeichnungsgeräte“ haben wir im Rahmen konkreter Kundenanfragen eine Vielzahl smarter Aufzeichnungs- und Transkriptionslösungen geprüft, die mit einer einfachen und schnellen Dokumentation von Gesprächen werben. Im Mittelpunkt dieser Prüfungen stand insbesondere die Frage, welche datenschutzrechtlich relevanten Unterlagen Unternehmen von den jeweiligen Anbietern tatsächlich erhalten, um die Verarbeitung personenbezogener Daten rechtssicher bewerten und dokumentieren zu können.
Was haben wir geprüft?
Hierzu haben wir die von den Anbietern bereitgestellten Datenschutzinformationen, vertraglichen Grundlagen und sonstigen Nachweise zu technischen und organisatorischen Maßnahmen gesichtet. Wo Unterlagen fehlten oder unklar waren, haben wir gezielt nachgefragt. Die dabei gewonnenen Erkenntnisse waren in vielen Fällen ernüchternd und haben deutlich gemacht, dass wesentliche Voraussetzungen für einen datenschutzkonformen Einsatz im Unternehmensumfeld häufig nicht vorliegen. Vor diesem Hintergrund zeigt sich aus heutiger Sicht ein deutlich differenzierteres Bild, als es zum Zeitpunkt der ursprünglichen Veröffentlichung absehbar war. Aus der aktuellen Beratungspraxis ergeben sich mittlerweile erhebliche datenschutzrechtliche Risiken, die Unternehmen bei der Bewertung und dem Einsatz solcher Lösungen zwingend berücksichtigen müssen.
Grundsätzlich stellen wir fest, dass der Einsatz smarter Aufzeichnungs- und Transkriptionslösungen datenschutzrechtlich nicht in jedem Fall per se ausgeschlossen sein muss. In der praktischen Umsetzung scheitert ein datenschutzkonformer Einsatz im Unternehmensumfeld jedoch häufig daran, dass zentrale rechtliche und organisatorische Voraussetzungen nicht oder nicht ausreichend erfüllt werden können. Diese Defizite liegen dabei weniger auf Seiten der nutzenden Unternehmen, sondern vor allem in der Art und Weise, wie viele Anbieter ihre Dienste aktuell strukturieren und datenschutzrechtlich einordnen.
Was ist das Problem?
Aus unserer aktuellen Erfahrung sollten Unternehmen insbesondere darauf achten, ob der Anbieter eine klare datenschutzrechtliche Rollenverteilung ermöglicht. Für einen Business-Einsatz muss nachvollziehbar sein, ob der Anbieter als Auftragsverarbeiter tätig wird oder lediglich eine Plattform bereitstellt – und wie ggf. weitere eingebundene Dienste (z. B. KI-Modelle zur Transkription oder Zusammenfassung) rechtlich einzuordnen sind. Fehlt diese Klarheit, lässt sich die Verantwortung gegenüber Betroffenen kaum sauber abbilden.
Entscheidend ist, ob der Anbieter die für den Unternehmenseinsatz üblichen Datenschutzunterlagen bereitstellt. Dazu gehören insbesondere ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sowie transparente Angaben zu eingesetzten Unterauftragsverarbeitern. In der Beratungspraxis zeigt sich, dass solche Unterlagen bei vielen Lösungen entweder gar nicht oder nur sehr eingeschränkt verfügbar sind.
Ein weiterer kritischer Punkt betrifft die Verarbeitung und Speicherung von Daten außerhalb der EU. Erfolgen Übermittlungen in Drittländer, müssen diese rechtlich abgesichert und für das einsetzende Unternehmen nachvollziehbar dokumentiert sein. Pauschale Hinweise auf „DSGVO-Konformität“ oder allgemeine Verweise auf Standardvertragsklauseln ersetzen dabei keine prüfbaren Informationen zu Speicherorten, Übermittlungswegen und Risikobewertungen.
Schließlich stellt sich regelmäßig die Frage, ob Unternehmen ihre Informationspflichten gegenüber Gesprächsteilnehmenden überhaupt erfüllen können. Eine informierte Einwilligung setzt voraus, dass Betroffene verständlich darüber aufgeklärt werden können, was mit ihren Daten geschieht, wer Zugriff erhält und wo diese verarbeitet werden. Ist dies mangels transparenter Anbieterinformationen nicht möglich, sollte der Einsatz solcher Lösungen kritisch hinterfragt werden.
Unser Fazit aus aktueller Beratungspraxis:
Unternehmen können smarte Aufzeichnungs- und Transkriptionslösungen nur dann verantwortungsvoll einsetzen, wenn der jeweilige Anbieter diese Punkte vollständig und nachvollziehbar erfüllt. Fehlen diese Voraussetzungen, liegt das datenschutzrechtliche Risiko regelmäßig beim einsetzenden Unternehmen – unabhängig von Marketingaussagen zur „DSGVO-Konformität“.
Dringender Warnhinweis zur organisatorischen Verantwortung des Unternehmens
Ergänzend ist aus aktueller Beratungspraxis ausdrücklich darauf hinzuweisen, dass der Einsatz smarter Aufzeichnungs- und Transkriptionslösungen im Unternehmen keine Bagatelle darstellt. Sobald Beschäftigte solche Tools im Rahmen ihrer beruflichen Tätigkeit nutzen, handeln sie nicht als Privatpersonen, sondern als Teil des Verantwortlichen. Das Unternehmen muss sich dieses Handeln datenschutzrechtlich zurechnen lassen und ist verantwortlich.
Daraus folgt zwingend, dass Mitarbeitende klar und verbindlich darüber belehrt werden müssen, dass der Einsatz entsprechender Tools nur dann zulässig ist, wenn deren Nutzung zuvor vollständig datenschutzrechtlich geprüft und freigegeben wurde. Eine Nutzung „nur kurz“, „testweise“ oder „aus praktischem Anlass“ ist datenschutzrechtlich nicht anders zu bewerten als ein dauerhafter Einsatz.
Fehlt eine solche Freigabe oder ist die DSGVO-Konformität des eingesetzten Dienstes nicht zweifelsfrei abgesichert, trägt das Unternehmen das volle Risiko für daraus resultierende Datenschutzverstöße. Dieses Risiko lässt sich weder auf den Toolanbieter noch auf einzelne Mitarbeitende verlagern. Gerade in Beschwerde- oder Prüfverfahren ist regelmäßig entscheidend, ob das Unternehmen den Einsatz organisatorisch geregelt, kontrolliert und rechtlich abgesichert hat.
In der Praxis ist ein solcher Fall regelmäßig als schwerwiegender Datenschutzverstoß zu bewerten, da das Unternehmen weder eine wirksame vertragliche Grundlage (z. B. Auftragsverarbeitungsvertrag) noch belastbare Nachweise zu Datenübermittlungen, Speicherorten oder eingesetzten Dienstleistern vorlegen kann und damit seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommt.
Was muss mindestens getan werden?
Unternehmen müssen sich darüber im Klaren sein, dass pauschale Aussagen eines Anbieters zur „DSGVO-Konformität“ keinerlei rechtliche Absicherung ersetzen. Für einen zulässigen Einsatz ist zwingend erforderlich, dass konkrete vertragliche Grundlagen vorliegen und bekannt sind. Kann ein Unternehmen weder einen Auftragsverarbeitungsvertrag vorlegen noch die eingesetzten Standardvertragsklauseln benennen, kennt es die tatsächlichen Speicher- und Verarbeitungsorte der Daten nicht und kann es auch nicht nachvollziehbar darlegen, welche weiteren Dienstleister Zugriff auf die Daten erhalten, befindet es sich datenschutzrechtlich in einer hochgradig angreifbaren Situation. Allgemeine Angaben wie „Datenverarbeitung in den USA“ oder unverbindliche Verweise auf interne Compliance-Reports genügen hierfür ausdrücklich nicht. In solchen Fällen ist das Unternehmen regelmäßig nicht in der Lage, seine Rechenschaftspflichten zu erfüllen – mit entsprechend gravierenden rechtlichen und organisatorischen Konsequenzen.
Better safe than sorry.
Rechtlicher Hinweis & Haftungsausschluss
Die Inhalte dieses Beitrags dienen der allgemeinen Information. Sie stellen keine Rechtsberatung im Einzelfall dar und können eine individuelle Prüfung nicht ersetzen. Rechtliche Anforderungen können je nach Sachverhalt, Branche und Zuständigkeit (insb. DSGVO, BDSG, StGB, Arbeitsrecht) variieren und sich kurzfristig ändern. Trotz sorgfältiger Erstellung übernehmen wir keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität. Durch das Lesen entsteht kein Mandats- oder Beratungsverhältnis.Bitte lassen Sie Ihren konkreten Fall individuell prüfen – gerne unterstützen wir Sie dabei.