Alexander Limbach - stock.adobe.
Warum UC-Daten zur Herausforderung für Data Governance werden
Meetings enden, ihre Daten bleiben. KI speichert Aufzeichnungen, Transkripte und Chat-Verläufe. Das stellt Unternehmen vor Anforderungen bei Governance, Datenschutz und Compliance.
Ein Meeting fand statt. Ein Chat brachte eine Entscheidung voran. Ein Anruf wurde beendet. Jemand hat eine Datei geteilt. Der Wert lag in der Unterhaltung und dann gingen die Beteiligten ihren Aufgaben nach.
So funktioniert der Collaboration-Stack heute nicht mehr.
Aufzeichnungen, Transkripte, Chat-Verläufe, KI-Zusammenfassungen, Aktionspunkte und Metadaten können auch nach Ende des Meetings noch vorhanden sein. Sie können durchsucht, wiederverwendet, weitergeleitet, in Workflows eingebunden oder später in ein anderes System übernommen werden.
Das Meeting mag enden, die Daten jedoch nicht. Deshalb werden UC-Daten zunehmend zu Unternehmensdaten.
Es handelt sich zwar nach wie vor um Daten zur Zusammenarbeit. Sie können jedoch auch Belege für Entscheidungen, Zusagen, Kundenprobleme, Bedenken von Mitarbeitern, operative Folgemaßnahmen und Geschäftsrisiken sein. Sobald KI in den Stack Einzug hält, werden diese Informationen noch nützlicher – und es wird schwieriger, sie auf die leichte Schulter zu nehmen. In der EU rücken diese Daten zudem sofort in den Fokus der Datenschutz-Grundverordnung (DSGVO), da sie fast immer personenbezogene Daten enthalten.
UC ist nicht mehr nur eine Kommunikationsebene
Früher ließen sich UC-Plattformen einfacher von den Kernsystemen eines Unternehmens trennen. Im ERP wurden Finanz- und Betriebsdaten gespeichert. Im CRM befanden sich die Kundendaten. In den HR-Systemen waren Mitarbeiterinformationen gespeichert. UC diente der Kommunikation rund um die Arbeit.
Diese Grenze lässt sich heute immer schwerer ziehen.
Nun kann die Kommunikation selbst Teil der Dokumentation werden. Ein Protokoll macht die Diskussion durchsuchbar. Eine KI-Zusammenfassung kann aus einer chaotischen Besprechung konkrete Maßnahmen ableiten. Ein Chat kann dokumentieren, warum ein Projekt einen Kurswechsel vollzogen hat. Diese Notizen können in ein Projekt, ein Ticket, einen Kundendatensatz oder eine Compliance-Prüfung integriert werden.
Das bedeutet jedoch nicht, dass jede Nachricht wichtig ist. Es bedeutet jedoch, dass die Zusammenarbeitsebene nicht mehr nur Hintergrundrauschen ist.
Dadurch wirkt UC weniger wie ein Nebenkanal und mehr wie Bindegewebe.
Das ist auch der Grund, warum GenKI in der Unified Communications als mehr als nur eine Produktivitätssteigerung betrachtet werden muss. Sobald KI-Systeme Gespräche zusammenfassen, Aktionspunkte erfassen und Besprechungsaktivitäten in verwertbare Informationen umwandeln können, wird UC zu einem Teil dessen, wie sich das Unternehmen erinnert und handelt.
Es geht nicht darum, dass jedes Besprechungsprotokoll zu einer formellen Aufzeichnung werden sollte. Die meisten sollten es nicht. Vielmehr müssen Unternehmen wissen, welche Daten für die Zusammenarbeit wichtig sind, wohin sie gelangen, wie lange sie aufbewahrt werden und wer sie später nutzen kann. Gemäß den DSGVO-Prinzipien der Datenminimierung (Art. 5 Abs. 1 Buchst. c) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e) dürfen diese Daten nicht auf unbestimmte Zeit und nicht ohne einen klar definierten Zweck aufbewahrt werden.
KI macht Daten zur Zusammenarbeit nützlicher und sensibler
KI verändert den Wert von UC-Daten. Eine Aufzeichnung oder ein Protokoll, das früher unberührt in einem Ordner lag, kann nun zusammengefasst, durchsucht, klassifiziert oder für Folgemaßnahmen ausgewertet werden. Aus einer Besprechung können Aktionspunkte hervorgehen. Ein Kundengespräch kann Produktprobleme aufdecken. Ein Verkaufsgespräch kann zu einem Coaching-Anlass werden. Eine interne Diskussion kann Projektrisiken aufzeigen.
Das kann hilfreich sein. Es können sich jedoch auch neue Fragen zur Governance ergeben.
War die Zusammenfassung der Besprechung korrekt? Wer hat Zugriff darauf? Kann sie regionsübergreifend weitergegeben werden? Enthält sie vertrauliche Mitarbeiter-, Kunden- oder Finanzdaten? Sollte sie aufbewahrt werden? Oder sollte sie gelöscht werden? Kann sie zur Schulung, Einstufung, Überwachung oder Bewertung von Mitarbeitern verwendet werden? Ebenso wichtig ist die Transparenz darüber, ob KI-generierte Zusammenfassungen ausschließlich innerhalb des jeweiligen Mandanten verarbeitet oder zusätzlich zur Verbesserung der KI-Dienste des Anbieters genutzt werden. Gerade bei Cloud-basierten UC-Plattformen sollten Unternehmen genau prüfen, welche Daten an den Anbieter übermittelt werden und ob diese für das Training von KI-Modellen verwendet werden oder davon ausgeschlossen sind.
Genau hier zieht das EU-Recht rote Linien. KI-Systeme, die zur Einstellung, Leistungsbewertung oder für andere personalrelevante Entscheidungen eingesetzt werden, können gemäß dem europäischen KI-Gesetz (EU AI Act) als Hochrisiko-KI eingestuft werden. In diesem Fall unterliegen sie umfangreichen regulatorischen Anforderungen. In Deutschland können darüber hinaus die Mitbestimmungsrechte des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG greifen, sofern UC-Systeme zur Überwachung oder zur Leistungs- beziehungsweise Verhaltenskontrolle von Beschäftigten eingesetzt werden können. Für die Verarbeitung personenbezogener Daten ist zudem eine geeignete Rechtsgrundlage gemäß der DSGVO und des nationalen Beschäftigtendatenschutzrechts erforderlich.
Das sind also nicht nur Fragen zur UC. Es sind Fragen der Daten-Governance.
Genau hier kommen KI-Governance-Strategien für UC ins Spiel. Die Governance muss Besprechungsdokumente wie Aufzeichnungen, Transkripte und Zusammenfassungen ebenso berücksichtigen wie KI-generierte Inhalte, Mitarbeiteraktivitäten, Datenlokalisierung, Kontrollen beim Modelltraining und Datenlöschung.
Die Zuständigkeiten werden unübersichtlich, sobald UC-Daten erhalten bleiben
Die schwierigere Frage ist nicht nur, welche Daten aufbewahrt werden sollen, sondern auch, wem diese gehören, sobald sie einmal vorliegen. Die IT-Abteilung betreibt möglicherweise die Plattform. Die Rechtsabteilung legt die Aufbewahrungsregeln fest. Die Sicherheitsabteilung verwaltet den Zugriff. Die Compliance-Abteilung kümmert sich um regionale, branchenbezogene oder aufbewahrungsrechtliche Anforderungen. Insbesondere die Speicherung auf Servern außerhalb der EU muss hierbei kontrolliert werden, da der Transfer von UC-Daten an US-Cloud-Anbieter strengen Vorgaben (zum Beispiel dem EU-US Data Privacy Framework) unterliegt, soweit sich der jeweilige Anbieter auf diesen Angemessenheitsbeschluss stützen kann. Die Fachabteilungen möchten Zusammenfassungen und Transkripte wiederverwenden. Die Mitarbeiter fragen sich verständlicherweise, wer die aufgezeichneten Inhalte einsehen kann.
Das ist eine Menge Verantwortung für Daten, die sich früher wie ein Gespräch anfühlten und dann wieder verschwanden.
Je mehr UC-Plattformen aufzeichnen, zusammenfassen, durchsuchen und vernetzen, desto weniger sinnvoll ist die Aussage: „Das ist doch nur ein Meeting.“ Es könnte sich um eine Geschäftsunterlage, ein Kundensignal, ein Mitarbeiterproblem oder den Nachweis einer Entscheidung handeln.
Bevor das Datenvolumen weiter wächst, brauchen Unternehmen klarere Regeln. Welche Meetings sollten aufgezeichnet werden? Welche Transkripte sollten aufbewahrt werden? Welche KI-Zusammenfassungen sollten als Geschäftsunterlagen behandelt werden? Welche Daten sollten innerhalb eines Teams, einer Region oder eines Geschäftsbereichs bleiben? Welche Integrationen sollten es erlauben, Daten aus der Zusammenarbeit in andere Systeme zu übertragen?
Das Risiko besteht nicht nur darin, dass das Unternehmen zu viele Daten aufbewahrt. Es besteht auch darin, dass niemand weiß, welche Daten das Unternehmen aufbewahrt hat, wo sie sich befinden oder wofür sie verwendet werden können.
Deshalb sind Kontrollen zur Datenhoheit in UC-Umgebungen wichtig. Aufzeichnungen, Transkripte, freigegebene Dateien und andere Kommunikationsaufzeichnungen können Verpflichtungen hinsichtlich Aufbewahrung, Lokalisierung und Einhaltung von Anbieterrichtlinien nach sich ziehen, sobald sie über Cloud-Kollaborationsplattformen übertragen werden.
Der Collaboration-Stack erfordert Datendisziplin
Es geht nicht darum, alles abzuschotten. Zusammenarbeit funktioniert, weil Menschen miteinander sprechen, Informationen austauschen, Entscheidungen treffen und schnell handeln können. Zu viele Reibungsverluste können den Nutzen von UC jedoch mindern. UC-Daten als Wegwerfware zu behandeln, ist jedoch ebenfalls keine Lösung – insbesondere, da KI die Wiederverwendung dieser Daten erleichtert.
Die bessere Lösung ist Datendisziplin.
UC-Daten, für die möglicherweise Regeln erforderlich sind
Die Verwaltung der UC-Daten sollte über die Aufzeichnungen von Besprechungen hinausgehen. Möglicherweise müssen folgende Aspekte berücksichtigt werden:
- Aufzeichnungen von Besprechungen, Anrufen oder Kundeninteraktionen,
- Transkripte und KI-generierte Zusammenfassungen.
- Chat-Verläufe, die Entscheidungen oder Zusagen dokumentieren.
- Gemeinsam genutzte Dateien und Links.
- Maßnahmen, die aus Besprechungen oder Nachrichten hervorgehen.
- Anwesenheits- und Beteiligungsdaten.
- Metadaten zu Anrufen. Da diese Daten als Metriken zur Verhaltens- und Leistungskontrolle von Mitarbeitern missbraucht werden könnten, unterliegen sie in Europa strikten arbeits- und datenschutzrechtlichen Grenzen.
- Kunden-, Mitarbeiter- oder Finanzinformationen, die während der Zusammenarbeit erwähnt werden.
- Daten aus der Zusammenarbeit, die in CRM-, HR-, Projektmanagement- oder Compliance-Systeme übertragen wurden.
Das Ziel ist jedoch nicht, alles zu speichern. Es geht vielmehr darum, im Voraus zu entscheiden, welche Daten wichtig sind, bevor diese zu einer weiteren unkontrollierten Ebene von Unternehmensinformationen werden.
Unternehmen sollten zunächst entscheiden, welche Daten aus der Zusammenarbeit geschäftlichen Wert haben, welche Risiken sie bergen und welche nur vorübergehend gespeichert werden sollten. Sie sollten ihre Richtlinien für Aufzeichnung, Transkription, Aufbewahrung, KI-Zusammenfassungen und Suche an die Art der ausgeführten Arbeit anpassen.
Das bedeutet auch, die Risiken von Transkriptionen und Zusammenfassungen von Besprechungen zu verstehen. Transkripte und KI-Zusammenfassungen können ebenso wie Besprechungsaufzeichnungen eine Klassifizierung, Aufbewahrungsregeln und Datenschutzkontrollen erfordern. Gemäß den Grundsätzen Privacy by Design und Privacy by Default (Art. 25 DSGVO) sollten Aufzeichnungs- und KI-Transkriptionsfunktionen datenschutzfreundlich voreingestellt sein. Unternehmen sollten transparent festlegen, wann Aufzeichnungen erfolgen dürfen und auf welcher Rechtsgrundlage dies geschieht.
Das bedeutet jedoch nicht, dass Unternehmen alles für immer aufbewahren oder jeden Chat wie eine juristische Akte behandeln sollten.
Der Großteil der Zusammenarbeit sollte sich weiterhin wie Zusammenarbeit anfühlen. Menschen brauchen Raum, um Arbeitsangelegenheiten zu besprechen, ohne dass jeder Austausch zu einem dauerhaften Dokument wird. Unternehmen benötigen jedoch auch die Möglichkeit, zu erkennen, wann eine Aufzeichnung, ein Transkript, eine Zusammenfassung oder eine geteilte Datei zu etwas Dauerhafterem geworden ist.
Das Ziel besteht nicht darin, die UC-Umgebung schwerfälliger zu machen. Es geht vielmehr darum, zu verhindern, dass die nützlichen und risikobehafteten Aspekte unkontrolliert aus dem Ruder laufen.
Der UC-Stack ist längst mehr als nur ein Ort, an dem Mitarbeiter kommunizieren. Er entwickelt sich zu einem Ort, an dem Unternehmensinformationen erstellt und transformiert werden.
Diese Informationen können dem Unternehmen dabei helfen, sich zu erinnern, zu analysieren und zu handeln. Sie können jedoch auch ein Risiko darstellen, wenn niemand die Verantwortung dafür übernimmt.
UC-Daten werden zu Unternehmensdaten, da die Zusammenarbeitsebene mittlerweile Teil der Unternehmensabläufe ist. Und für Unternehmensdaten gelten Regeln.
Dieser Artikel ist im Original in englischer Sprache auf Search Unified Communications erschienen.