Auswahl eines DSGVO-konformen Meeting-Assistenten ist eine dieser modernen Herausforderungen, die niemand wirklich haben möchte.

Man richtet einen einfachen Videoanruf ein, drückt auf „Aufzeichnen“ und plötzlich steckt man knietief in Datenschutzgesetzen, Einwilligungsregeln und Fragen darüber, wo das Meeting eigentlich gespeichert wird. Ich habe diese Panik selbst erlebt. Lange bevor die DSGVO offiziell in Kraft trat, hatte ich mich bereits mit ICO-Registrierungen nach dem alten Datenschutzgesetz befasst, und als die neue Verordnung in Kraft trat, war ich so besorgt, etwas falsch zu machen, dass ich mich vorsichtshalber als Datenverantwortlicher registrieren ließ.

Es kommt einem vor, als gäbe es die DSGVO schon seit Ewigkeiten, denn der erste Vorschlag wurde bereits 2012 vorgelegt. Das Gesetz wurde 2016 verabschiedet und 2018 in Kraft gesetzt, aber die Jahre davor waren chaotisch. Die Posteingänge füllten sich mit E-Mails mit der Bitte, den Newsletter weiterhin zu abonnieren. Unternehmen löschten ganze Mailinglisten, weil sie Angst vor Strafen hatten. Teams fügten Double-Opt-in zu allem hinzu, was sich bewegte, weil sie verwirrt waren und kein Risiko eingehen wollten.

Und ja, die Strafen waren real. H&M wurde mit einer hohen Geldstrafe belegt, weil das Unternehmen detaillierte, unangemessene Notizen über seine Mitarbeiter geführt hatte. Eine bekannte britische Eltern-Website wurde mit einer Geldstrafe belegt, weil sie während einer Wahl Daten von Müttern und Kindern an politische Gruppen verkauft hatte. Ich erinnere mich nur daran, weil ich immer noch Werbe-E-Mails von ihnen bekomme, obwohl meine Kinder mittlerweile im Teenageralter sind und die Kunst des Augenrollens perfekt beherrschen.

Dies ist in der Welt der KI-Meeting-Assistenten noch wichtiger. Diese Tools zeichnen Stimmen auf, erfassen Kundendaten und speichern Gespräche, die oft vertrauliche oder sensible Informationen enthalten. All dies sind gemäß DSGVO personenbezogene Daten. Die Aufzeichnungen. Die Transkripte. Sogar die KI-Zusammenfassungen. Wenn Sie also in Großbritannien oder der EU arbeiten oder mit Menschen zusammenarbeiten, die dies tun, benötigen Sie einen Meeting-Assistenten, der wirklich DSGVO-konform ist und Ihre Daten nicht stillschweigend in einer Region der USA speichert, mit vagen Versprechungen zur Sicherheit.

Dieser Leitfaden erklärt alles in leicht verständlicher Sprache. Was die DSGVO für Aufzeichnungen von Besprechungen bedeutet. Welche Risiken bestehen, wenn Sie sie ignorieren. Welche Besprechungsassistenten die Einhaltung der Vorschriften wirklich unterstützen und welche nicht. Keine Fachsprache, keine juristischen Floskeln. Nur praktische Einblicke, die ich mir gewünscht hätte, bevor ich mich in den ersten Jahren der DSGVO in Panik gestürzt habe.

Inhaltsübersicht

Ihre DSGVO-Checkliste für die Auswahl eines Meeting-Assistenten

DSGVO auf einen Blick

Verwenden Sie dies als kurze Checkliste, wenn Sie sich einen KI-Meeting-Assistenten oder Notiznehmer ansehen.

  • Die Teilnehmer wissen, dass sie aufgezeichnet werden
    Die Teilnehmer werden darüber informiert, dass das Meeting aufgezeichnet oder transkribiert wird, und sie verstehen den Zweck dieser Maßnahme.
  • Es gibt einen rechtmäßigen Grund für die Aufzeichnung von
    Das Unternehmen verfügt über eine gültige Rechtsgrundlage, wie beispielsweise eine Einwilligung oder einen klaren, dokumentierten geschäftlichen Bedarf.
  • Es werden nur die Mindestdaten gespeichert
    Aufzeichnungen und Transkripte beschränken sich auf das tatsächlich Notwendige, anstatt standardmäßig alles zu speichern.
  • Daten werden in geeigneten Regionen gespeichert
    Personenbezogene Daten von Personen aus der EU oder dem Vereinigten Königreich werden an Standorten und bei Anbietern gespeichert, die den DSGVO-Standards entsprechen.
  • Personen können auf ihre Daten zugreifen oder diese löschen
    Es gibt einen klaren Prozess zur Bearbeitung von Anfragen bezüglich Zugriff, Korrektur und Löschung von Meeting-Inhalten.
  • Anbieter erklären, wie KI die Daten nutzt
    Das Tool gibt an, ob Aufzeichnungen oder Transkripte für das KI-Training verwendet werden, und ermöglicht es Kunden, dies zu kontrollieren.

Diese Checkliste dient nur zu allgemeinen Informationszwecken und ersetzt keine Rechtsberatung.

tl;dr: DSGVO und Meeting-Assistenten

  • Aufzeichnungen von Besprechungen gelten als personenbezogene Daten, daher benötigen Sie ein Tool, das in Bezug auf Speicherung, Aufbewahrung, Unterauftragsverarbeiter, KI-Verhalten und regionale Verarbeitung transparent ist.
  • Aus den öffentlich zugänglichen Informationen der Anbieter geht hervor, dass tl;dv, Sembly und Jamie die klarsten DSGVO-relevanten Unterlagen bereitstellen. Andere Tools können ebenfalls geeignet sein, erfordern jedoch in der Regel zusätzliche Überprüfungen durch den Anbieter.
  • Viele andere Tools machen weitreichende Versprechungen, lassen jedoch Lücken in Bezug auf Hosting-Regionen, Modelltraining und Datenfluss, was für EU-First-Organisationen mehr Arbeit bedeutet.
  • Die sicherste Wahl ist ein Meeting-Assistent, der Ihnen die vollständige Kontrolle über Aufbewahrung, Löschung, Datenhoheit und KI-Verarbeitung gibt und eine ordnungsgemäße DPA veröffentlicht.

Was ist die DSGVO und warum ist sie für Meeting-Assistenten wichtig?

Die DSGVO ist das Datenschutzgesetz der EU und des Vereinigten Königreichs, das im Kern darauf ausgelegt ist, reale Personen zu schützen, selbst wenn diese Personen an etwas beteiligt sind, das rein beruflicher Natur erscheint. Ein geschäftlicher Kontext hebt die Rechte einer Person über ihre eigenen Daten nicht auf. Wenn ein Meeting-Assistent ein Gespräch aufzeichnet, in dem die Stimme einer Person, ihr Name, ihre Funktion oder irgendetwas anderes zu hören ist, das einen Rückschluss auf diese Person zulässt, dann gilt die DSGVO.

Meeting-Assistenten sitzen in einem ungewöhnlichen Raum. Sie bearbeiten Geschäftsdaten, verarbeiten diese jedoch über identifizierbare Personen. Ein Projekt-Update, ein Kundengespräch oder ein Verkaufsgespräch mögen unpersönlich wirken, aber die Informationen gehören dennoch zu tatsächlichen Mitarbeitern, Auftragnehmern oder Kunden. Deshalb ist die Regulierung hier so wichtig. Diese Tools erfassen die Details von Entscheidungen, Diskussionen, Ideen und Reaktionen auf eine Weise, die plötzlich die Person hinter der Berufsbezeichnung sichtbar macht.

Wenn man es aus dieser Perspektive betrachtet, wird die DSGVO für die tägliche Arbeit viel relevanter, als viele Teams erwarten.

Was gilt als personenbezogene Daten in einer Aufzeichnung eines Geschäftstreffens?

Personenbezogene Daten im geschäftlichen Kontext sind umfassender, als man gemeinhin annimmt. Sie umfassen alles, was eine Person direkt identifizieren oder mit ihr in Verbindung bringen kann, auch wenn die Informationen eher mit ihrem Beruf als mit ihrem Privatleben zu tun haben.

Dies kann die Stimme einer Person sein, die während eines Telefonats spricht. Es kann ihr Name oder ihre Funktion sein, wenn sie sich vorstellt. Es kann eine auf einem Bildschirm angezeigte E-Mail-Adresse sein oder eine Bemerkung zu ihrer Arbeitsbelastung, Leistung, Anwesenheit oder Verfügbarkeit. Es kann eine Finanzkennzahl sein, die mit einem bestimmten Kundenbetreuer in Verbindung steht. Es können sogar von KI erstellte Notizen sein, wenn diese Notizen eine identifizierbare Person zusammenfassen oder auf sie Bezug nehmen.

Eine Besprechungsaufzeichnung enthält oft all dies innerhalb weniger Minuten, manchmal ohne dass es jemand bemerkt. Die Überschneidung zwischen „Geschäftsinformationen“ und „persönlichen Informationen im geschäftlichen Umfeld“ ist der Punkt, an dem viele Unternehmen ins Straucheln geraten.

DSGVO-Grundsätze in einfacher Sprache für vielbeschäftigte Teams

Die DSGVO mag schwerfällig klingen, aber die zugrunde liegenden Ideen sind einfach. Sie müssen gegenüber anderen offen legen, was Sie aufzeichnen und warum. Sie sollten nur das sammeln, was Sie benötigen, und vermeiden, Aufzeichnungen lange nach Erreichen ihres Zwecks aufzubewahren. Sie sollten alles sicher speichern und Systeme vermeiden, die Ihre Daten über unbekannte Regionen verstreuen. Sie sollten anderen die Möglichkeit geben, ihre eigenen Informationen zu überprüfen oder zu entfernen, wenn dies angemessen ist. Sie benötigen außerdem einen triftigen Grund für die Aufzeichnung, was in einem Geschäftstreffen in der Regel eine klare Zustimmung der beteiligten Personen bedeutet.

Diese Grundsätze gelten für eine Besprechung am Montagmorgen genauso wie für eine Kundenpräsentation. Die Umgebung ändert sich, die Rechte jedoch nicht.

 

Warum die DSGVO auch dann gilt, wenn Ihr Unternehmen seinen Sitz in den USA oder anderswo hat

Viele Menschen außerhalb Europas gehen davon aus, dass die DSGVO nur gilt, wenn ihr Unternehmen seinen physischen Sitz im Vereinigten Königreich oder in der EU hat. Tatsächlich gilt das Gesetz jedoch auch für alle Organisationen, die personenbezogene Daten von Personen in diesen Regionen verarbeiten, wenn diese Verarbeitung mit der Erbringung einer Dienstleistung für diese Personen in Verbindung steht.

Wenn Ihr Unternehmen mit europäischen Kunden zusammenarbeitet oder wenn Sie Teammitglieder in Europa haben, die an aufgezeichneten Besprechungen teilnehmen, dann fällt die DSGVO in Ihren Verantwortungsbereich, auch wenn sich Ihr Hauptsitz an einem anderen Ort befindet.

Das kann Menschen überraschen, da Besprechungsassistenten still im Hintergrund sitzen, Stimmen aufzeichnen und das speichern, was sich wie alltägliches Geschäftsgeplauder anfühlt. Diese Aufzeichnungen können Namen, Funktionen, Meinungen, Kundendaten, Finanzgespräche und alle Informationen enthalten, die eine Person in ihrer beruflichen Welt identifizierbar machen. Sobald ein europäischer Teilnehmer an der Telefonkonferenz teilnimmt, werden seine Informationen nach europäischem Recht zu personenbezogenen Daten, was bedeutet, dass Sie ein Tool benötigen, das diese Daten ordnungsgemäß behandelt.

Komplizierter wird es, wenn Ihr Meeting-Assistent Aufzeichnungen außerhalb Europas speichert. Sobald personenbezogene Daten das Vereinigte Königreich oder die EU verlassen, muss das Unternehmen, das diese Daten verarbeitet, auf genehmigte Sicherheitsvorkehrungen zurückgreifen und klare Informationen darüber bereitstellen, wohin die Daten gelangen, wie lange sie dort gespeichert bleiben und wer Zugriff darauf hat. Dazu gehört auch, offen darüber zu informieren, ob Meeting-Daten zur Entwicklung von KI-Funktionen verwendet werden, da die Menschen ein Recht darauf haben, zu erfahren, wie ihre Daten verwendet werden.

Das bedeutet nicht, dass Sie keinen nicht-europäischen Meeting-Assistenten einsetzen können. Es bedeutet lediglich, dass Sie mehr Zeit für die Due Diligence aufwenden müssen. Sie müssen die Speicherorte der Daten des Unternehmens, die Aufbewahrungsregeln und die Schulungspraktiken kennen, bevor Sie entscheiden können, ob es Ihre DSGVO-Verpflichtungen erfüllt.

Auch die Datenschutzgesetze anderer Länder spiegeln dies wider. Brasilien hat die LGPD, Japan hat die APPI und Kalifornien hat seine eigenen strengen Vorschriften (CCPA), darunter strengere Anforderungen an die Einwilligung für Aufzeichnungen. Die DSGVO bleibt für viele globale Unternehmen der Anker, aber das übergeordnete Thema ist dasselbe. Wenn Sie mit Informationen von realen Personen über Grenzen hinweg umgehen, benötigen Sie einen Meeting-Assistenten, der verantwortungsbewusst mit diesen Informationen umgeht.

Europäische Meeting-Assistants erleichtern dies oft, da ihre Datenresidenz, Einwilligungsaufforderungen und Aufbewahrungsoptionen bereits mit der Verordnung übereinstimmen. Das macht sie zwar nicht zur einzigen Option, verschafft ihnen aber eine stabilere Grundlage für alle, die mit europäischen Kunden arbeiten.

Auf dem Weg zur DSGVO
Ein Beispiel für eine „DSGVO“, die noch nicht vollständig konform ist

DSGVO-konform vs. „Auf dem Weg zur Konformität“

Die meisten Meeting-Assistenten lassen sich in zwei Lager einteilen. Es gibt Unternehmen, die die DSGVO tatsächlich unterstützen, und es gibt Unternehmen, die hoffnungsvoll darüber sprechen, ohne etwas Konkretes zu bestätigen. Der Unterschied ist wichtig, denn die DSGVO ist kein Label, das man durch Marketingtexte für sich beanspruchen kann. Es handelt sich um einen rechtlichen Rahmen mit spezifischen Anforderungen, die in das Produkt integriert werden müssen und nicht nachträglich hinzugefügt werden können.

Ein Meeting-Assistent, der die Compliance wirklich unterstützt, zeigt Ihnen auf einfache Weise, wie er mit Ihren Daten umgeht. Ein Unternehmen, das noch „auf Compliance hinarbeitet“, wird versuchen, hilfreich zu klingen, ohne Ihnen die Details zu nennen, die Sie für eine verantwortungsvolle Entscheidung benötigen. Sobald Sie wissen, worauf Sie achten müssen, wird der Unterschied offensichtlich.

Wie man echte DSGVO-Konformität in einem Meeting-Assistenten erkennt

Wenn ein Unternehmen die DSGVO ernst nimmt, zeigt sich dies daran, wie es seine Informationen präsentiert. Es erklärt, wo Ihre Daten gespeichert werden und wie lange sie dort verbleiben. Es gibt Ihnen die Kontrolle über die Aufbewahrung, Löschung und den Zugriff. Es nennt seine Unterauftragsverarbeiter. Es teilt Ihnen mit, ob es Aufzeichnungen von Besprechungen zur Schulung von KI-Funktionen verwendet. Es beschreibt seine Sicherheitsmaßnahmen so ausführlich, dass sie fundiert und nicht nur dekorativ wirken.

Sie stellen auch eine ordnungsgemäße Datenverarbeitungsvereinbarung zur Verfügung. Diese sollte leicht zu finden sein und nicht hinter einem Verkaufsgespräch versteckt sein. Die Vereinbarung sollte die Verantwortlichkeiten beider Seiten umreißen, die tatsächliche Funktionsweise des Dienstes widerspiegeln und für einen Nicht-Fachmann, der seine Verpflichtungen erfüllen möchte, verständlich sein.

Echte DSGVO-orientierte Unternehmen gestalten ihre Tools in der Regel so, dass die Einhaltung der Vorschriften der Standard ist und nicht etwas, das Sie umgehen müssen. Sie müssen sie nicht zur Transparenz zwingen, da sie bereits verstehen, warum dies wichtig ist.

Warnsignale in Datenschutzrichtlinien und auf Sicherheitsseiten

Warnsignale treten normalerweise auf, wenn ein Unternehmen die Glaubwürdigkeit der DSGVO ohne den damit verbundenen Aufwand für sich nutzen möchte. Das erste Anzeichen ist eine vage Formulierung hinsichtlich der Speicherorte. Wenn es heißt, dass „Ihre Daten in mehreren sicheren Regionen gespeichert werden können“, ohne dass Ihnen mitgeteilt wird, um welche Regionen es sich dabei handelt, können Sie nur raten, wo Ihre Besprechungsaufzeichnungen tatsächlich gespeichert sind.

Ein weiteres Warnsignal ist, wenn ein Unternehmen nicht klar angibt, ob es Kundendaten zur Entwicklung seiner KI-Funktionen verwendet. Einige verschleiern dies mit allgemeinen Formulierungen wie „Verbesserung des Service“, was nicht dasselbe ist wie Ihnen mitzuteilen, dass Ihre aufgezeichneten Besprechungen möglicherweise für interne Schulungszwecke verwendet werden.

Sie sollten auch innehalten, wenn das Unternehmen viel über allgemeine Sicherheit spricht, aber konkrete Angaben vermeidet. Formulierungen wie „Best Practices“ und „Branchenstandards“ sagen nichts darüber aus, ob der Dienst Ihnen Kontrollmöglichkeiten zur Aufbewahrung von Daten bietet oder Ihre Löschanfragen respektiert.

Das größte Warnsignal ist Verwirrung. Wenn Sie nach dem Lesen der Richtlinien des Unternehmens nicht nachvollziehen können, wie dieses mit Ihren Besprechungsdaten umgeht, gibt es wahrscheinlich einen Grund dafür.

Warum vage Aussagen wie „Unsere Kunden sagen, dass wir DSGVO-konform sind“ nicht ausreichen

Einige Meeting-Assistants versuchen, die Leute zu beruhigen, indem sie sagen, dass ihre Kunden sie für DSGVO-konform halten. Das klingt beruhigend, bis man merkt, dass es nichts bestätigt. Die DSGVO basiert nicht auf der Meinung der Kunden. Sie basiert auf klaren Verpflichtungen und Verantwortlichkeiten, die durch Dokumentation, technische Entscheidungen und nachvollziehbare Prozesse nachgewiesen werden können.

Ein Unternehmen kann seine Compliance nicht an die Kundenstimmung auslagern. Es kann auch nicht unterstellen, dass Compliance durch Popularität erreicht wird. Wenn als einziger Beweis angeführt wird, dass „viele Kunden unser Produkt in Europa nutzen“, sagt dies nichts darüber aus, ob das Unternehmen selbst die Anforderungen der Verordnung erfüllt hat.

Sie brauchen Gewissheit, keine vagen Vermutungen. Sie müssen wissen, wohin Ihre Aufzeichnungen gehen, wer Zugriff darauf hat, wie lange sie aufbewahrt werden und ob jemand sie für das Modelltraining verwendet. Das sind sachliche Fragen mit sachlichen Antworten. Wenn ein Unternehmen Ihnen diese Antworten nicht geben kann, können Sie sich nicht auf die Sicherheit eines Kundenangebots verlassen.

Was passiert, wenn Sie die DSGVO ignorieren?

Die meisten Unternehmen haben gute Absichten. Sie zeichnen Besprechungen auf, um Zeit zu sparen und Missverständnisse zu vermeiden. Das Problem ist, dass die DSGVO nicht auf die Absicht abzielt. Sie konzentriert sich darauf, was tatsächlich mit personenbezogenen Daten geschieht, sobald sie erfasst wurden. Wenn ein Unternehmen die DSGVO übersieht, selbst wenn dies versehentlich geschieht, können die Folgen schwerwiegend sein und noch lange nach der Besprechung auftreten.

Das Risiko besteht nicht nur in hohen Geldstrafen, obwohl diese real sind und die Herangehensweise der Aufsichtsbehörden an Daten am Arbeitsplatz geprägt haben. Das tiefere Problem besteht darin, dass Aufzeichnungen von Besprechungen weit mehr personenbezogene Daten enthalten, als den Menschen bewusst ist. Eine unbedachte Entscheidung zur Speicherung kann zu einer Datenschutzverletzung führen. Eine unklare Herangehensweise an die Einwilligung kann zu einer Beschwerde führen. Eine Unachtsamkeit bei der Aufbewahrung kann dazu führen, dass jahrelange Aufzeichnungen auf einem Server verbleiben.

Beispiele, die zeigen, wie streng Regulierungsbehörden sein können

Ich habe diese Fälle bereits zuvor angesprochen, aber es lohnt sich, sie genauer zu betrachten, da sie genau zeigen, wie Regulierungsbehörden Situationen beurteilen, in denen Unternehmen ohne klaren Grund Informationen über Personen sammeln oder speichern.

H&M wurde von der Hamburger Datenschutzbehörde mit einer Geldstrafe in Höhe von 35,3 Millionen Euro belegt, nachdem Führungskräfte detaillierte Akten über Mitarbeiter angelegt hatten. Diese Akten enthielten private Familienangelegenheiten, Gesundheitsprobleme und persönliche Beobachtungen, die über lange Zeiträume hinweg heimlich gesammelt worden waren. Die Informationen wurden dann für Personalentscheidungen herangezogen. Die Aufsichtsbehörde betrachtete dies als eine aufdringliche Überwachung, die weit über das hinausging, was Mitarbeiter jemals erwarten würden.

Emma’s Diary, betrieben von Lifecycle Marketing, wurde von der ICO mit einer Geldstrafe von 140.000 £ belegt. Das Unternehmen sammelte Daten von jungen Müttern, die glaubten, sich für Schwangerschafts- und Babyberatung anzumelden. Diese Informationen wurden später während einer Wahl an eine politische Organisation weitergegeben, ohne dass dies in der Datenschutzerklärung erklärt worden wäre. Die Eltern hatten keinen Grund zu der Annahme, dass ihre Daten in diesem Zusammenhang verwendet werden würden.

Obwohl diese Fälle außerhalb der Welt der Meeting-Assistenten liegen, ist das Muster dasselbe. Die Aufsichtsbehörden schreiten ein, wenn Unternehmen personenbezogene Daten auf eine Weise sammeln oder verwenden, der die Betroffenen nicht zugestimmt haben und die sie vernünftigerweise nicht erwarten würden. Meeting-Aufzeichnungen enthalten oft dieselben Kategorien von Informationen, ohne dass dies zum Zeitpunkt der Aufzeichnung jemandem auffällt. Eine Bemerkung zur Gesundheit, ein Hinweis auf die Leistung, ein Kundendetail, das mit einer identifizierbaren Person in Verbindung steht, oder eine vertrauliche Information, die beiläufig in einem Telefonat erwähnt wird. All dies wird zu personenbezogenen Daten, sobald es erfasst wurde.

Wenn diese Aufzeichnungen länger als nötig in einem System verbleiben oder in Regionen übertragen werden, über die die Betroffenen nie informiert wurden, ähnelt die Situation den Szenarien, die bereits von den Aufsichtsbehörden sanktioniert wurden. Die Technologie ist zwar eine andere, aber die zugrunde liegende Sorge ist dieselbe. Es geht um den Umgang mit personenbezogenen Daten ohne Klarheit oder Zweck.

Bislang gab es noch keinen öffentlichen Fall im Zusammenhang mit der DSGVO, der sich auf KI-Assistenten konzentrierte. Das bedeutet jedoch nicht, dass Unternehmen, die diese einsetzen, davon ausgenommen sind. Es bedeutet lediglich, dass das Thema noch nicht Gegenstand einer öffentlichkeitswirksamen behördlichen Untersuchung war. Die Geschichte anderer Bußgelder zeigt genau, wie solche Fälle wahrscheinlich bewertet werden, wenn es irgendwann dazu kommt.

Die 3 besten GDPR-konformen Meeting-Assistenten

Ich wollte eine übersichtliche Liste mit fünf Einträgen erstellen. Das wollte ich wirklich!!! Ich habe viel zu viel Zeit damit verbracht, Datenschutzseiten und Sicherheitsdokumente zu durchforsten, nur um festzustellen, dass die meisten Meeting-Assistenten entweder stark auf US-Rechenzentren angewiesen sind oder vage Behauptungen aufstellen, die sich beim Lesen des Kleingedruckten als unhaltbar erweisen. Letztendlich boten nur drei Tools klare, fundierte und öffentliche DSGVO-Verpflichtungen, die mir stark genug erschienen, um sie weiterzugeben.

Diese drei Anbieter verfügen über transparente Hosting-Lösungen, praktikable Aufbewahrungskontrollen, ordnungsgemäße Dokumentation und Datenschutzrichtlinien, die den Anforderungen europäischer Unternehmen entsprechen.

1) tl;dv

In Europa unter Berücksichtigung der DSGVO hergestellt

tl;dv

Ich arbeite mit tl;dv, daher weiß ich genau, wie das Produkt hinter den Kulissen mit Besprechungsdaten umgeht. Es wurde mit großer Sorgfalt entwickelt, was sich in der Art und Weise zeigt, wie es mit DSGVO, Sicherheit und Transparenz umgeht. Die Plattform hat ihren Sitz in Europa, das Hosting erfolgt in Europa, und das gesamte System ist so eingerichtet, dass Kunden, insbesondere diejenigen, die mit personenbezogenen Daten aus Großbritannien oder der EU umgehen, ein klares Verständnis davon haben, was mit ihren Aufzeichnungen geschieht.

tl;dv Datenschutz als oberste Priorität, anstatt zu versuchen, eine Struktur, die nie dafür ausgelegt war, mit den Anforderungen der DSGVO in Einklang zu bringen. Daten werden sowohl im Ruhezustand als auch während der Übertragung verschlüsselt. Aufzeichnungen und Transkripte verbleiben in europäischen Rechenzentren. Das Team führt interne Aufzeichnungen über Verarbeitungsaktivitäten, sodass es genau nachweisen kann, wie personenbezogene Daten durch das System fließen. Das mag nach Kleinigkeiten klingen, ist jedoch die Grundlage für Vertrauen. So können Kunden ihre Entscheidungen bei Bedarf erklären und begründen.

Sie haben die volle Kontrolle über Ihre Besprechungsdaten.

Einer der Gründe, warum ich tl;dv vertraue, tl;dv die Auswahl, die es den Kunden bietet. Sie können festlegen, wie lange Ihre Aufzeichnungen aufbewahrt werden sollen. Sie können jederzeit alles löschen. Sie können alles herunterladen. Sie können entscheiden, wo Ihre KI gehostet wird. Wenn Ihr Unternehmen verlangt, dass Ihre KI-Verarbeitung in Europa bleibt, können Sie sie auf Europa beschränken. Wenn Ihre Organisation mehrere Kontinente umfasst und ein Hosting in den USA bevorzugt, können Sie sich dafür entscheiden. Der Punkt ist, dass die Entscheidung bei Ihnen liegt.

tl;dv gibt Kunden tl;dv klare Informationen darüber, wie KI von Drittanbietern eingebunden ist. Wenn die Plattform Anthropic generative KI nutzt, geschieht dies mit Sicherheitsvorkehrungen. Metadaten werden anonymisiert. Segmente werden aufgeteilt und gemischt, sodass kein Modell jemals eine vollständige Konversation sieht. Anthropic nichts anhand Ihrer Daten. Dieses Maß an Transparenz ist im KI-Bereich noch selten und für die DSGVO von Bedeutung, da es direkt mit Fairness, Zweckbindung und Datenminimierung zusammenhängt.

Sicherheitskontrollen sind real, nicht dekorativ.

tl;dv einen SOC 2 Typ 1-Bericht, und das Unternehmen folgt einem strukturierten Entwicklungsprozess mit Codeüberprüfungen, Tests, separaten Umgebungen und regelmäßigen Scans der Produktionssysteme. Der Datenverkehr ist verschlüsselt. Die Speicherung erfolgt mit einer starken AES-256-Verschlüsselung. Die Infrastruktur basiert auf Anbietern, die bereits nach ISO 27001 und SOC-Standards zertifiziert sind, und das interne Team überwacht, wie sich die einzelnen Teile des Systems im Laufe der Zeit verhalten.

Auch hier geht es nicht darum, Auszeichnungen zu sammeln, um damit anzugeben. Es geht darum, sicherzustellen, dass Sie eine Antwort geben können, die jeder Überprüfung standhält, wenn ein Kunde fragt: „Wo befinden sich meine Daten, wer kann sie einsehen und wie lange bleiben sie dort gespeichert?“.

Mehr als nur ein Meeting-Assistent

Was oft übersehen wird, ist, wie tief tl;dv in die gesamte Organisation tl;dv . Die Mitarbeiter nutzen es zwar für Besprechungsaufzeichnungen, aber auch für Onboarding, interne Schulungen, Wissenserfassung, Coaching, Vertriebsbesprechungen, Produktrecherchen und all die chaotischen, alltäglichen Aufgaben, die außerhalb eines normalen Telefonats anfallen. Sobald das Tool eingerichtet ist, wird es zu einer stillen Dokumentationsschicht für das gesamte Unternehmen. Das macht die Datenschutzgrundlage umso wichtiger, da es sich bei den Inhalten nicht nur um Besprechungsgespräche handelt. Es handelt sich um das operative Gedächtnis der Organisation.

Aus diesem Grund ist die DSGVO hier keine Randnotiz. Sie ist einer der Hauptgründe, warum das Produkt so entwickelt wurde, wie es ist.

tl;dv DSGVO-Übersicht

  • Stärke: Starke Datenschutzhaltung auf Grundlage öffentlich zugänglicher Dokumentation
  • Hosting: Daten werden in Europa gespeichert
  • Schulung: Der Anbieter gibt an, dass Kundendaten nicht für KI-Schulungen verwendet werden.
  • KI-Verarbeitung: Metadaten anonymisiert und Besprechungssegmente in kleinen, zufällig ausgewählten Teilen verarbeitet
  • Steuerelemente: Umfasst Einwilligungsmodus, benutzerdefinierte Aufbewahrungseinstellungen und vollständige Datenlöschung
  • Zusammenfassung: Basierend auf veröffentlichten Informationen tl;dv eine EU-zentrierte Architektur, die bei entsprechender Konfiguration eine DSGVO-konforme Nutzung unterstützt.

2) Versammlung

Unternehmensstruktur mit umfangreicher Dokumentation und strengen Kontrollen

Sembly-Vertrauenszentrum
Quelle: Sembly Trust Center

Sembly verfolgt einen sehr formellen Ansatz beim Datenschutz. Das Unternehmen verfügt über ein umfassendes Trust Center mit SOC 2 Typ 2-Audits, Datenflussdiagrammen, Pentest-Berichten und detaillierten Sicherheitsrichtlinien. Außerdem wird die DSGVO als etwas beschrieben, das von Anfang an Priorität hatte, und es wird dokumentiert, wie personenbezogene Daten auf eine Weise behandelt werden, die jedem vertraut ist, der mit Compliance-Teams zusammenarbeitet.

Eine Besonderheit ist die Art und Weise, wie das Modelltraining gehandhabt wird. Unternehmenskunden haben die klare Zusicherung, dass ihre Audio-, Video- oder Textdaten nicht für das Training verwendet werden. Bei anderen Tarifen kann man sich davon abmelden. Dadurch wird das Risiko verringert, dass personenbezogene Daten für eine von Ihnen nicht beabsichtigte sekundäre Verwendung verwendet werden. Außerdem wird eine Liste der Unterauftragsverarbeiter veröffentlicht, was für Datenschutz-Folgenabschätzungen hilfreich ist.

Ich habe versucht, über das Trust Center Zugang zu detaillierteren GDPR-Dokumenten zu erhalten, aber zum Zeitpunkt der Erstellung dieses Artikels noch keine Antwort erhalten. Dennoch bietet Sembly, basierend auf den öffentlich zugänglichen Informationen, eine Struktur, die für größere Organisationen geeignet ist, solange Sie die Einwilligungen und die spezifischen Verpflichtungen für Meetings ordnungsgemäß verwalten.

Sembly – DSGVO-Übersicht

  • Stärke: Compliance-Dokumentation und Audits im Unternehmensstil
  • Hosting: Öffentliche Materialien beschreiben eine sichere Cloud-Infrastruktur; vollständige Angaben zum Standort erfordern eine direkte Bestätigung durch den Anbieter.
  • Schulung: Unternehmenspläne schließen Modellschulungen aus; andere Pläne können davon absehen.
  • KI-Verarbeitung: Verschlüsselung bei Speicherung und Übertragung, veröffentlichte Unterauftragsverarbeiter
  • Kontrollen: SOC 2 Typ II, Trust Center-Materialien, DPA verfügbar
  • Zusammenfassung: Öffentliche Unterlagen weisen auf ein solides Compliance-Rahmenwerk hin. Eine vollständige Bewertung hängt vom Zugang zu zusätzlichen vom Anbieter bereitgestellten Materialien ab.

3) Jamie

EU-gehostet und sehr datenschutzbewusst, aber abhängig von der Transparenz der Nutzer

Jamie-Vertrauensabzeichen
Quelle: Jamie Trust Badges

Jamie wird oft als datenschutzfreundliche Option empfohlen, da das Unternehmen seinen Sitz in Deutschland hat, Daten innerhalb Deutschlands verarbeitet und die Roh-Audiodaten nach Erstellung des Transkripts löscht. Außerdem wird ausdrücklich darauf hingewiesen, dass Anthropic Kundendaten Anthropic oder für Trainingszwecke Anthropic , und es wird ein externer Datenschutzbeauftragter ernannt, der jedes Jahr die Einhaltung der Vorschriften überprüft. Die technische Grundlage ist solide und scheint mit den Grundsätzen der DSGVO im Einklang zu stehen.

Was Sie verstehen müssen, ist, wie Jamie in der Praxis funktioniert. Es läuft unbemerkt auf Ihrem Gerät, anstatt als sichtbarer Teilnehmer an der Besprechung teilzunehmen. Dieser Ansatz beseitigt die Unbeholfenheit, die entsteht, wenn ein Bot in den Anruf eintritt, bedeutet aber auch, dass die Verantwortung für die Transparenz vollständig bei der Person liegt, die die Aufzeichnung startet. Die DSGVO erwartet, dass Menschen wissen, wann ihre Stimmen verarbeitet werden. Ohne einen klaren Hinweis oder einen Schritt zur Einholung der Zustimmung wird die Rechtsgrundlage unsicher.

Wenn Teams Jamie verantwortungsbewusst einsetzen und die Betroffenen im Voraus informieren, entspricht dies den Anforderungen der DSGVO. Ist dies nicht der Fall, liegt das Risiko eher in der mangelnden Kommunikation als in der Technologie selbst begründet.

Jamie – DSGVO-Übersicht

  • Stärke: Verarbeitung in der EU mit schneller Audio-Löschung und einer auf Datenschutz ausgerichteten Architektur
  • Hosting: Der Anbieter gibt an, dass die Verarbeitung und Speicherung in Frankfurt, Deutschland, erfolgt.
  • Schulung: Der Anbieter gibt an, dass Audioaufnahmen nach der Transkription gelöscht und nicht für das Modelltraining verwendet werden.
  • KI-Verarbeitung: Endgültige Zusammenfassungen werden über Anthropic ohne Speicherung verarbeitet.
  • Kontrollen: Externer Datenschutzbeauftragter, jährliche DSGVO-Audits, detaillierte Datenschutzdokumentation
  • Zusammenfassung: Jamie unterstützt die Verwendung gemäß DSGVO auf technischer Ebene; die Einhaltung der Vorschriften hängt davon ab, dass die Benutzer eine ordnungsgemäße Benachrichtigung bereitstellen, da das Tool innerhalb von Besprechungen nicht sichtbar ist.

Sind ALLE DSGVO-konformen Tools auch wirklich DSGVO-konform?

Einige Tools bieten eine umfassende Dokumentation, während andere eine allgemeinere Sprache verwenden, die den Kunden mehr Raum für eigene Überprüfungen lässt.

Die folgenden Beispiele zeigen, wie sich einige bekannte Tools auf ihren Websites präsentieren und was diese Positionierung bedeuten kann, wenn Ihr Unternehmen eine strengere, EU-orientierte Konfiguration benötigt. Dies ist keine Bewertung ihrer Qualität oder Rechtmäßigkeit. Es spiegelt lediglich den Unterschied zwischen einem Ansatz mit hoher Transparenz und einem Ansatz wider, der vor der Einführung eine direktere Bestätigung durch den Anbieter erfordert.

MeetGeek

MeetGeek listet GDPR, SOC 2 und HIPAA unter seinen Standards auf, was auf eine breite Abdeckung hindeutet. Die öffentlich zugänglichen Informationen gehen nicht so detailliert auf Hosting-Regionen, Unterauftragsverarbeiter oder Aufbewahrungsstrukturen ein wie die zuvor behandelten Tools. Für viele Teams mag dies ausreichend sein, aber wer eine bestätigte EU-exklusive Ansässigkeit oder ausführliche Dokumentation benötigt, muss möglicherweise direkt weitere Einzelheiten anfordern.

Leexi

Leexi hebt die DSGVO, die ISO-Zertifizierung und die sichere Verarbeitung hervor. Die öffentlich zugänglichen Materialien enthalten jedoch nur begrenzte technische Details zu Speicherorten, Unterauftragsverarbeitern und dem Verhalten beim Modelltraining. Unternehmen, die vollständige Transparenz über die Datenflüsse benötigen, müssten diese Informationen anfordern, bevor sie die Plattform für sensible Aufgaben nutzen können.

Fireflies

Fireflies verweist auf DSGVO und SOC 2 Typ II, und die Plattform ist weit verbreitet. Ihre Infrastruktur scheint auf Regionen außerhalb Europas zu basieren, und einige Funktionen umfassen Modelltrainingskontrollen, die Kunden konfigurieren müssen. Diese Punkte verhindern zwar keine DSGVO-konforme Nutzung, bedeuten jedoch, dass Kunden mehr Konfigurationsaufwand haben, wenn sie eine strenge regionale Handhabung benötigen.

Read.ai

Read.ai positioniert sich als GDPR-konform und betont Vertrauen und Genauigkeit. Der Dienst verarbeitet Daten in den Vereinigten Staaten, was bei Vorliegen angemessener Sicherheitsvorkehrungen rechtmäßig ist. Das bedeutet lediglich, dass Teams, die ausschließlich in der EU tätig sind, die Übertragungsvereinbarungen und Einwilligungspraktiken sorgfältig prüfen müssen.

Gong

Gong bietet hohe kommerzielle Sicherheit und klare Dokumentation und unterstützt die DSGVO durch standardmäßige vertragliche Schutzmaßnahmen. Der Hosting-Ansatz basiert in erster Linie auf den USA, was bei SaaS-Lösungen für Unternehmen üblich ist. Unternehmen, die Daten von EU-Bürgern benötigen, müssen diese Konfiguration direkt bestätigen, bevor sie sie für europäische personenbezogene Daten nutzen können.

Diese Tools können für viele Teams geeignet sein. Der einzige Unterschied besteht darin, dass sie weniger Details über Wohnsitz, Transfers, Trainingsverhalten oder Kundenbindung veröffentlichen als die drei zuvor genannten EU-First-Tools. Wenn Sie in einem Umfeld arbeiten, das eine strenge regionale Verarbeitung, vorhersehbare Kundenbindung und vollständig zugängliche Dokumentation erfordert, lohnt es sich, diese Informationen direkt vom Anbieter anzufordern, bevor Sie ein Tool einführen, das als „DSGVO-konform“ bezeichnet wird.

So wählen Sie einen GDPR-konformen Meeting-Assistenten für Ihr Team aus

Sobald Sie verstanden haben, wie unterschiedlich Unternehmen den Begriff „DSGVO-konform“ verwenden, wird es einfacher, einen Meeting-Assistenten auszuwählen, der Sie tatsächlich bei Ihren Aufgaben unterstützt. Dazu benötigen Sie keine juristischen Vorkenntnisse. Sie müssen lediglich wissen, welche Fragen Sie stellen müssen und wie ein verantwortungsbewusster Anbieter darauf antworten sollte.

Ein guter Ausgangspunkt sind die Grundlagen:

  • Wo Ihre Aufzeichnungen gespeichert werden und ob alles innerhalb Europas bleiben kann
  • Wie lange das Tool Ihre Daten aufbewahrt und ob Sie Ihre eigenen Aufbewahrungsregeln festlegen können
  • Ob Meeting-Inhalte jemals zum Trainieren von KI-Modellen verwendet werden und ob dies deaktiviert werden kann
  • Welche Unterauftragsverarbeiter sind beteiligt und sehen sie personenbezogene Daten?
  • Ob Sie die Datenverarbeitungsvereinbarung lesen können, bevor Sie eine Verpflichtung eingehen
  • Wie Löschen, Zugriff und Export für Aufzeichnungen und Transkripte funktionieren
  • Ob Sie sich für regionales KI-Hosting entscheiden oder die gesamte Verarbeitung auf Europa beschränken können
  • Jeder Meeting-Assistent, der von Ihnen erwartet, dass Sie Personen aufzeichnen, sollte diese Fragen auf einfache und direkte Weise beantworten können.

Wenn Sie mit einem Datenschutzbeauftragten oder einer Rechtsabteilung zusammenarbeiten, werden diese vorhersehbare Sicherheitsvorkehrungen verlangen.

Sie werden nach klaren Hosting-Informationen, Verschlüsselungsdetails, einer veröffentlichten Liste der Unterauftragsverarbeiter und einer verständlichen Erklärung dazu suchen, wie das Tool das Modelltraining und die regionale Verarbeitung handhabt. Sie erwarten keine Perfektion, aber sie erwarten Transparenz und praktische Kontrollmöglichkeiten.

Sie können sich die Entscheidung erleichtern, indem Sie sich für ein Tool entscheiden, das von Anfang an auf diesen Prinzipien basiert. Auf der Seite „Datenschutz und Sicherheit“tl;dv wird genau erklärt, wie Daten in Europa gespeichert werden, wie die KI-Verarbeitung funktioniert und wie Sie die Kontrolle über die Speicherung, Löschung und das Hosting behalten.

Wenn Sie einen Meeting-Assistenten suchen, der die DSGVO ohne zusätzlichen Aufwand oder Spekulationen unterstützt, ist dies ein guter Ausgangspunkt.

Häufig gestellte Fragen zu DSGVO und KI-Meeting-Assistenten

Sie müssen sicherstellen, dass alle Teilnehmer der Besprechung wissen, dass das Gespräch aufgezeichnet oder transkribiert wird. Die Einwilligung ist die einfachste Rechtsgrundlage, und die meisten Teams nutzen sie, um Verwirrung zu vermeiden.

Ja. Stimmen, Namen, Berufsbezeichnungen und alles, was während des Gesprächs gesagt wird, können eine Person identifizieren, wodurch Aufzeichnungen von Besprechungen zu personenbezogenen Daten werden.

Ja, aber nur, wenn die Datenübertragungen korrekt abgewickelt werden und das Tool geeignete Sicherheitsvorkehrungen bietet. Aus diesem Grund bevorzugen viele Teams Tools, die in der EU ansässig sind.

Achten Sie auf eindeutige Hosting-Informationen, eine veröffentlichte Liste der Unterauftragsverarbeiter und eine Datenverarbeitungsvereinbarung, in der angegeben ist, wo personenbezogene Daten verarbeitet werden.

Das kann sein. Die DSGVO verlangt klare Informationen darüber, wie personenbezogene Daten verwendet werden. Sie benötigen die Möglichkeit, das Training zu deaktivieren, wenn Sie mit sensiblen Inhalten oder europäischen Kunden arbeiten.

Sie sollten die Rechtsgrundlage, die Art und Weise, wie die Teilnehmer informiert wurden, den Ort, an dem die Daten gespeichert werden, und die geplante Aufbewahrungsdauer der Aufzeichnungen dokumentieren.

Nur solange sie für einen bestimmten Zweck benötigt werden. Sie sollten Aufbewahrungsregeln festlegen und Aufzeichnungen löschen, wenn sie nicht mehr benötigt werden.

EU-Hosting, Löschkontrollen, Aufbewahrungseinstellungen, klare Richtlinien für das KI-Training und eine zugängliche Datenschutzbeauftragte erleichtern die GDPR-konforme Nutzung erheblich.

Ja, tl;dv DSGVO-konform. Es bietet Nutzern Optionen zur Datenresidenz in der EU, veröffentlicht eine klare Datenverarbeitungsvereinbarung, bietet detaillierte Aufbewahrungskontrollen und ermöglicht es Ihnen, das KI-Training für Besprechungsinhalte zu deaktivieren. Außerdem werden alle Unterauftragsverarbeiter offengelegt und strenge Sicherheitsstandards eingehalten, sodass Teams Besprechungen in Übereinstimmung mit der DSGVO aufzeichnen und verarbeiten können.