Rechtliche Risiken durch BIPA-Klagen gegen KI-Notizen

Arbeitgeber aufgepasst: Anstieg von BIPA-Klagen gegen KI-Notizsoftware

Eine neue Welle von Klagen gemäß dem Illinois Biometric Information Privacy Act (BIPA) hat sich entwickelt, die sich auf eine Technologie konzentriert, die viele Arbeitgeber inzwischen routinemäßig nutzen: KI-gestützte Meeting-Transkriptions- und Notiztools.

Hintergrund der Klagen

In den letzten Monaten haben Kläger Sammelklagen eingereicht, die behaupten, dass Anbieter wie bestimmte KI-Tools „Stimmenabdrücke“ – einzigartige biometrische Kennungen, die aus Sprache abgeleitet werden – sammeln und speichern, ohne die schriftliche Mitteilung, informierte Zustimmung oder transparente Aufbewahrungs- und Vernichtungspolitiken bereitzustellen, die BIPA verlangt. In einem solchen Fall wird behauptet, dass die Software die Stimmen der Teilnehmer, einschließlich der Stimmen von Nicht-Nutzern, aufgezeichnet, analysiert und gespeichert hat, ohne die gesetzlichen Voraussetzungen von BIPA zu erfüllen.

Warum KI-Transkriptionstools im Fokus stehen

Der Anstieg der Klagen ist nicht isoliert. Nach der breiten Definition von biometrischen Daten durch BIPA können Stimmenabdrücke – ähnlich wie Gesichtsscans oder Fingerabdrücke – als biometrische Kennungen gelten. Viele KI-Meeting-Assistenten treten automatisch virtuellen Meetings bei, unterscheiden zwischen Sprechern und generieren zugeordnete Transkripte. Daher geraten sie zunehmend ins Visier von Klägern, da die Sammlung solcher Kennungen strenge Verfahrensanforderungen vor der Datenerhebung auslöst. Zudem fehlt vielen gängigen Notiztools ein klarer Mechanismus zur Offenlegung der biometrischen Datensammlung gegenüber allen Teilnehmern oder zur Sicherstellung ihrer schriftlichen Zustimmung, was Anbieter und deren Kunden gefährdet.

Haftung der Arbeitgeber

Obwohl die anfänglichen Klagen oft den Anbieter der KI-Technologie als Beklagten benennen, sind Arbeitgeber, die diese Tools einsetzen, nicht vor Haftung geschützt. Die Gerichte in Illinois haben entschieden, dass mehrere Stellen für dieselbe biometrische Sammlung verantwortlich sein können, wenn sie die Nutzung der Technologie ermöglichen, genehmigen oder davon profitieren. Ein Arbeitgeber, der die Nutzung eines KI-Notiztools in Geschäftstreffen lizenziert oder fördert – oder dessen Mitarbeiter solche Software während Meetings mit Teilnehmern in Illinois aktivieren – kann in BIPA-Fälle verwickelt werden, wenn keine angemessenen Sicherheitsvorkehrungen getroffen werden. Dieses Risiko erstreckt sich sogar auf Organisationen, die außerhalb von Illinois ansässig sind, wenn ein Teilnehmer physisch im Staat ist.

Drei Tipps zum Schutz der Arbeitgeber vor BIPA-Risiken

1. Klare Richtlinien für die Nutzung von KI-Meeting-Tools implementieren. Dies umfasst die Katalogisierung, welche Transkriptions- oder Notiz-Apps erlaubt sind, die Feststellung, ob sie biometrische Daten sammeln, und die Einschränkung, wer sie in Meetings mit externen Parteien oder Personen in Illinois aktivieren kann.
2. Ein robustes Zustimmungsframework aufbauen. Alle Teilnehmer sollten darüber informiert werden, dass biometrische Daten gesammelt werden könnten, wie lange diese gespeichert werden und ihre informierte, schriftliche Zustimmung vor der Datenerfassung erhalten.
3. Mit Anbietern zusammenarbeiten, um sicherzustellen, dass sie konforme Mitteilungs-, Zustimmungs- und Datenaufbewahrungs-/Vernichtungspraktiken haben. Dennoch sollten Arbeitgeber die Verantwortung nicht auslagern. Sie sollten ihre eigene Due Diligence durchführen und Compliance-Bemühungen im Falle von Klagen dokumentieren.

Durch die proaktive Steuerung von KI-Notiztechnologien können Arbeitgeber Produktivitätsgewinne nutzen, ohne die erheblichen Datenschutzrisiken zu übersehen, die BIPA zu einem der meistumstrittenen Gesetze für biometrische Privatsphäre im Land gemacht haben.