Häufige Datenschutzbedenken bei Meeting-AI
Datenlecks & LLM-Training
KI-Meeting-Assistenten verwenden Large-Language-Model-(LLM)-Technologie, und Ihre Daten können zu Trainingszwecken an diese Modelle weitergegeben werden, ohne dass Sie ausdrücklich darüber informiert werden.
KI-Notizprogramme erfassen alles – vertrauliche Geschäftsgespräche, Details zum geistigen Eigentum, Kundeninformationen, strategische Pläne und sogar beiläufige Unterhaltungen.
Diese Daten werden typischerweise auf Servern von Drittanbietern mit unterschiedlichen Sicherheitsniveaus verarbeitet, was zu einer potenziellen Offenlegung vertraulicher Informationen führen kann.
Erfassung biometrischer Daten
Eine Klage von 2026, die vor einem Bundesgericht in Illinois eingereicht wurde, behauptet, dass KI-Meeting-Assistenten illegal biometrische Sprachdaten von Einzelpersonen ohne deren Wissen oder Zustimmung erheben und speichern.
Tools, die Transkription und Sprechererkennung auf Plattformen wie Zoom und Microsoft Teams anbieten, könnten biometrische Identifikatoren sammeln, ohne dies ordnungsgemäß offenzulegen.
Schatten-KI und Governance-Risiken
Viele KI-Notiztools gelangen in Unternehmen nicht durch sorgfältige IT-Prüfungen, sondern dadurch, dass sich einzelne Nutzer mit ihrer geschäftlichen E-Mail-Adresse anmelden.
Viele KI-Notiztools werden von Start-ups angeboten, die Wachstum über Sicherheitsreife stellen, was zu unzureichenden Sicherheitsmaßnahmen und unklaren Richtlinien zur Datenspeicherung führt.
Sicherheitsfunktionen, auf die Sie achten sollten
Wesentliche Sicherheitszertifizierungen
Primäre Zertifizierungen
- SOC 2 Typ II - Operative Sicherheitskontrollen
- ISO 27001 - Informationssicherheitsmanagement
- DSGVO-Konformität – EU-Datenschutz
- HIPAA-Konformität - Schutz von Gesundheitsdaten
Zusätzliche Standards
- SOC 3 - Zertifizierung für öffentliches Vertrauen
- CCPA-Konformität – Datenschutz in Kalifornien
- FERPA - Schutz von Bildungsunterlagen
- FedRAMP - Cloud-Sicherheit der US-Regierung
Technische Sicherheitsfunktionen
Verschlüsselung
- Ende-zu-Ende-Verschlüsselung
- TLS 1.3 während der Übertragung
- AES-256 im Ruhezustand
- Optionen mit null Wissen (Zero-Knowledge)
Zugriffskontrollen
- Mehrfaktor-Authentifizierung
- Rollenbasierte Berechtigungen
- SSO-Integration
- Prüfprotokollierung
Datenschutz
- Kontrollen zur Datenspeicherung
- Automatisches Löschen
- Optionen für den Datenexport
- Backup-Verschlüsselung
Bewährte Verfahren zum Datenschutz
Für Organisationen
Bewerte und implementiere einen einzigen, kontrollierten KI-Meeting-Assistenten, um Risiken zu mindern, mit Fokus auf Datennutzung, Aufbewahrungsfristen und Anbietervereinbarungen.
Implementieren Sie klare Verfahren, um Teilnehmende darüber zu informieren, wenn Aufzeichnungen oder KI-Verarbeitung stattfinden, mit redundanten Schutzmaßnahmen für spät Hinzukommende oder hybride Teilnehmende.
Wenn möglich, wählen Sie Lösungen, die Daten innerhalb Ihrer bestehenden Infrastruktur verarbeiten, und vermeiden Sie eine unnötige Abhängigkeit von Diensten Dritter oder Aufzeichnungs-Bots.
Überprüfen Sie regelmäßig, welche KI-Tools Mitarbeitende verwenden, und bewerten Sie deren Sicherheitslage sowie den Umgang mit Daten.
Für einzelne Nutzer
Bestätige, ob das Tool deine Meeting-Daten für das Training von KI-Modellen verwendet, und melde dich nach Möglichkeit davon ab. Zoom gibt zum Beispiel an, dass keine Kund:inneninhalte für das KI-Training verwendet werden.
Bevor du ein beliebiges KI-Meeting-Tool verwendest, lies die Datenschutzrichtlinie, um zu verstehen, wie deine Daten erfasst, verwendet, gespeichert und weitergegeben werden.
Erwägen Sie, KI-Funktionen für streng vertrauliche Meetings zu deaktivieren, die Geschäftsgeheimnisse, M&A-Gespräche oder sensible persönliche Angelegenheiten betreffen.
Vermeiden Sie es, sich ohne Zustimmung der IT mit Ihrer beruflichen E-Mail für KI-Meeting-Tools anzumelden, da dies Risiken durch Shadow AI erzeugt.
Überlegungen zur Compliance
DSGVO & europäische Vorschriften
Die Europäische Union und ihre Mitgliedstaaten, insbesondere Deutschland und Frankreich, bieten einen stärkeren Schutz der Privatsphäre am Arbeitsplatz. Zu den wichtigsten Anforderungen gehören:
Rechte der betroffenen Person
- Recht auf Zugang zu personenbezogenen Daten
- Recht auf Löschung ("Recht auf Vergessenwerden")
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen die Verarbeitung
Organisatorische Anforderungen
- Datenschutz-Folgenabschätzungen
- Rechtsgrundlage für die Verarbeitung
- Grundsätze der Datenminimierung
- Beschränkungen für grenzüberschreitende Übertragungen
HIPAA- und Gesundheits-Compliance
Healthcare-Organisationen müssen sicherstellen, dass KI-Meeting-Tools die HIPAA-Anforderungen erfüllen, wenn geschützte Gesundheitsinformationen (PHI) besprochen werden könnten:
- Business-Associate-Vereinbarungen (BAA) erforderlich
- Ende-zu-Ende-Verschlüsselung obligatorisch
- Zugriffskontrollen und Protokollierung von Audits
- Richtlinien zur Datenspeicherung und -vernichtung
- Prinzip der Datenminimierung
- Anforderungen an die Einwilligung der Patienten
- Verfahren zur Meldung von Datenschutzverletzungen
- Schulungsunterlagen für Mitarbeiter
Gesetze zur Einwilligung bei Aufzeichnungen
Die Nichteinhaltung von Aufzeichnungsgesetzen kann zu strafrechtlicher Haftung und zivilrechtlichen Schadensersatzansprüchen führen. Allein in Kalifornien wurden mehr als 400 Fälle im Zusammenhang mit unrechtmäßigen Aufnahmen eingereicht.
Bundesstaaten mit Zustimmungspflicht beider Parteien
Kalifornien, Florida, Illinois, Maryland, Massachusetts, Montana, Nevada, New Hampshire, Pennsylvania und Washington verlangen, dass alle Beteiligten der Aufzeichnung zustimmen.
Ein-Parteien-Zustimmungsstaaten
Die meisten anderen Bundesstaaten verlangen nur die Zustimmung einer Partei, aber es ist Best Practice, immer alle Teilnehmenden zu informieren, wenn eine KI-Aufzeichnung aktiv ist.
Wie man die Sicherheit von KI-Meeting-Tools bewertet
Checkliste zur Sicherheitsbewertung
Fragen zur Datenverarbeitung
- Wo werden Meetingdaten geografisch gespeichert?
- Wer hat Zugriff auf Meetingaufzeichnungen und Transkripte?
- Werden Meetingdaten für das Training von KI-Modellen verwendet? Können Sie dem widersprechen?
- Wie lang ist die Datenaufbewahrungsfrist? Kann sie angepasst werden?
- Wie wird die Datenlöschung gehandhabt, wenn Sie den Dienst kündigen?
Sicherheits- und Compliance-Fragen
- Welche Sicherheitszertifizierungen besitzt der Anbieter (SOC 2, ISO 27001)?
- Kann der Anbieter aktuelle SOC 2 Type II-Prüfberichte vorlegen?
- Welche Verschlüsselungsstandards werden bei der Übertragung und im Ruhezustand verwendet?
- Ist Ende-zu-Ende-Verschlüsselung verfügbar?
- Wie sieht der Prozess für Incident Response und die Meldung von Sicherheitsverletzungen aus?
Fragen zu Datenschutz & Kontrolle
- Wie werden Meetingteilnehmer über die KI-Aufzeichnung benachrichtigt?
- Können Nutzer der Transkription und Analyse widersprechen?
- Gibt es eine detaillierte Kontrolle darüber, welche Daten erfasst werden?
- Können Daten in einem portablen Format exportiert werden?
- Gibt es einen benannten Datenschutzbeauftragten oder eine Datenschutzkontaktperson?
Was große Institutionen sagen
Leitfaden der Harvard University
Die Harvard University hat erklärt, dass KI-Meeting-Assistenten in Harvard-Besprechungen nicht verwendet werden dürfen, mit Ausnahme von genehmigten Tools mit vertraglichen Schutzvorkehrungen, wie in ihren Richtlinien dargelegt.
Zoom KI-Begleiter-Richtlinie
Zoom hat bekannt gegeben, dass es keine Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhangs- oder sonstigen kommunikationsähnlichen Kundeninhalte verwendet, um die künstlichen Intelligenzmodelle von Zoom oder von Drittanbietern zu trainieren.
Datenschutzorientierte KI-Meeting-Tools
| Werkzeug | SOC 2 | DSGVO | HIPAA | Kein KI-Training |
|---|---|---|---|---|
| Fathom | Ja | Ja | BAA verfügbar | Ja |
| Sembly | Ja | Ja | Ja | Ja |
| Krisp AI | Ja | Ja | Begrenzt | Lokale Verarbeitung |
| Fireflies.ai | Ja | Ja | BAA verfügbar | Abmeldung verfügbar |
| Otter.ai | Ja | Teilweise | Begrenzt | Unklar |