Moon Safari - stock.adobe.com

KI-Meeting-Assistenten: Das müssen IT-Verantwortliche wissen

KI-Meeting-Assistenten automatisieren Protokolle, Aufgaben und Zusammenfassungen. Unternehmen müssen jedoch Governance, Datenschutz und Sicherheitsrisiken konsequent absichern.

KI-Meeting-Assistenten haben an Bedeutung gewonnen, da Mitarbeiter diese Tools nutzen, um Arbeitsabläufe zu beschleunigen und die Produktivität zu steigern. Nach Ende des Meetings versendet der KI-Assistent automatisch das Protokoll und die Zusammenfassung. Das ist eine willkommene Abkehr von der Zeit, in der Informationen nach der Besprechung in Form langer Videos und Transkriptdateien per E-Mail versendet wurden.

KI-Meetings-Assistenten fungieren als Moderatoren und Co-Gastgeber, übernehmen das Besprechungsmanagement und Aufgaben nach dem Meeting wie beispielsweise Aufzeichnungen, Notizen, Transkriptionen und Zusammenfassungen. Assistenten mit agentischen Fähigkeiten können den Kontext des Meetings verstehen und den Teilnehmern Vorschläge unterbreiten. So können sich die Teilnehmer auf das Meeting konzentrieren, während der Assistent Notizen macht, die Tagesordnung verwaltet und Aktionspunkte nachverfolgt.

Agentische KI-Meeting-Assistenten stehen auch nach dem Meeting zur Verfügung. Sie können Termine koordinieren, Erinnerungen für zukünftige Meetings einrichten und Aktionspunkte nachverfolgen.

Unternehmen können zwei Arten von KI-Assistenten für Meetings einsetzen.

  1. Native UC-Plattform-Meeting-Agenten: Das Unternehmen und sein Unified-Communications-Anbieter (UC) entscheiden gemeinsam über die Verwaltung der Daten. Zu den führenden Anbietern in diesem Bereich gehören RingCentral, Zoom, Cisco und Microsoft.
  2. SaaS-Bots von Drittanbietern: Start-ups und kleine Unternehmen entscheiden sich möglicherweise für Produkte eigenständiger Anbieter wie Otter.ai, Fireflies.ai, Fathom AI, Read AI oder Hedy AI, um Meetings zu vereinfachen und zu optimieren. Im europäischen Markt gewinnen zudem datenschutzorientierte Anbieter wie tl;dv (Deutschland), Leexi (Frankreich) oder Jamy.ai an Bedeutung, die mit DSGVO-konformer Datenverarbeitung und teilweise europäischer Datenhaltung werben.

Zu beachtende Sicherheitsrisiken bei KI-Assistenten

KI-Assistenten für Meetings bieten viele Vorteile, bergen aber auch Sicherheitsrisiken. Ein wachsendes Problem ist Schatten-KI, bei der Mitarbeiter KI-Tools nutzen, die nicht ausdrücklich von ihren Arbeitgebern genehmigt sind. Laut einer IBM-Studie nutzen zwar 80 Prozent der amerikanischen Büroangestellten KI bei ihrer Arbeit, doch nur 22 Prozent verlassen sich ausschließlich auf vom Unternehmen bereitgestellte Tools. Gerade in Europa entstehen dadurch aber zusätzlich Risiken hinsichtlich Datenschutz, Datenübermittlung in Drittländer und der Einhaltung interner Compliance-Vorgaben.

Zu den weiteren Sicherheitsrisiken zählen:

  • Fehlende Sicherheit auf Unternehmensniveau: Bring your own AI (BYOAI) ermöglicht es Mitarbeitern, sensible Unternehmensdaten an ihre persönlichen KI-Konten zu senden. Dadurch verlieren IT- und Sicherheitsteams nicht nur die Kontrolle über sensible Daten, sondern riskieren auch Datenmissbrauch, finanzielle Verluste und Reputationsschäden.
  • Governance-Bedenken: KI-Assistenten können sich über eine Kalenderintegration oder OAuth-Berechtigungen als externe Teilnehmer an einem Meeting beteiligen. Die Besprechungsdaten befinden sich nun in der Cloud des Anbieters, was möglicherweise gegen die internen Datenrichtlinien des Unternehmens verstößt. Der Anbieter kann die vom Assistenten gesammelten Daten für interne Zwecke nutzen, beispielsweise zum Trainieren der KI. Dadurch können Informationen eines Unternehmens weiter offengelegt werden. Unternehmen sollten daher prüfen, ob sich das Training mit Kundendaten deaktivieren lässt, wo die Daten gespeichert werden und ob eine Datenübermittlung in Drittländer erfolgt.
  • Einwilligung und Datenschutz: Unternehmen, die Tools von Drittanbietern einsetzen, müssen die jeweils geltenden Datenschutzvorschriften beachten. In der EU ist die Einwilligung zwar eine mögliche Rechtsgrundlage, jedoch nicht in jedem Fall zwingend erforderlich. Je nach Einsatzszenario können auch berechtigte Interessen, vertragliche Regelungen oder Betriebsvereinbarungen maßgeblich sein. Entscheidend sind Transparenz, eine klare Zweckbindung, angemessene Speicherfristen sowie Verträge zur Auftragsverarbeitung. Die Art und Weise, wie Anbieter diese Daten erheben und speichern, steht ebenfalls unter genauer Beobachtung – insbesondere biometrische Daten wie Stimmprofile, die für Identitätsdiebstahl oder andere Missbrauchsszenarien genutzt werden könnten.

Besonderheiten für Unternehmen in Deutschland

Neben den allgemeinen Sicherheitsmaßnahmen sollten Unternehmen in Deutschland und der EU zusätzlich folgende Punkte berücksichtigen:

  • DSGVO-konforme Datenverarbeitung einschließlich Auftragsverarbeitungsvertrag (AVV).
  • Speicherung sensibler Besprechungsdaten möglichst innerhalb der EU.
  • Einhaltung der Vorgaben des EU AI Act.
  • Prüfung der Mitbestimmungsrechte des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG), wenn KI-Assistenten Mitarbeiterdaten erfassen oder auswerten.
  • Deaktivierung des KI-Trainings mit Unternehmensdaten, sofern möglich.

Regelmäßige Überprüfung der erzeugten Zusammenfassungen und Aufgabenlisten durch einen Menschen (Human in the Loop).

Bewährte Verfahren für IT-Verantwortliche

Unternehmen sollten eine mehrgleisige Strategie zum Umgang mit KI-Assistenten verfolgen. Diese sollte eine klare Datenkennzeichnung vorsehen, um eine Offenlegung zu verhindern. Zu den gängigen Beispielen zählen digital signierte Metadaten, Inhalte mit unsichtbaren Wasserzeichen und biometrische Authentifizierung. Weitere zu berücksichtigende Komponenten sind:

  • KI-Richtlinien festlegen: Der erste Schritt besteht darin, Richtlinien festzulegen, Regeln zu definieren und die Mitarbeiter zum Thema KI zu schulen. Laut einer Studie von BlackFog halten es 63 Prozent der Mitarbeiter für akzeptabel, KI zu nutzen, wenn keine vom Unternehmen genehmigte Liste vorliegt. IT-Verantwortliche müssen sicherstellen, dass in Meetings nur vorab genehmigte KI-Bots verwendet werden und die Teilnehmer vorab über deren Einsatz informiert werden. Ein gemeinsamer Unternehmenskatalog und unternehmensweite KI-Konten für alle Mitarbeiter können Transparenz bei der KI-Nutzung gewährleisten. Ebenso sollten Unternehmen verbindlich festlegen, welche KI-Assistenten zulässig sind, welche Daten verarbeitet werden dürfen und ob Meeting-Daten zum Training von KI-Modellen verwendet werden dürfen.
  • Ein Risikomanagementmodell aufbauen: Der rasante Aufstieg der KI hat Gesetzgeber weltweit dazu veranlasst, regulatorische Rahmenbedingungen zu schaffen. Während die USA bislang auf eine Mischung aus bundesstaatlichen und föderalen Vorgaben setzen, müssen Unternehmen in der EU zusätzlich die Anforderungen der DSGVO und des EU AI Act (KI-VO) berücksichtigen. ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme. Sie bietet einen Rahmen für Governance, Verantwortlichkeiten und kontinuierliche Verbesserungen. Ergänzend unterstützt ISO/IEC 23894 Unternehmen beim Risikomanagement für KI-Systeme. NIST AI 600-1 ist ein weiteres etabliertes Framework für das KI-Risikomanagement und den sicheren Einsatz generativer KI. Es kann auch außerhalb der USA als Orientierung dienen. Unabhängig vom gewählten Framework sollten Unternehmen Transparenz, menschliche Aufsicht, Risikobewertungen und eine nachvollziehbare Dokumentation der eingesetzten KI-Systeme sicherstellen. Sicherheitslücken lassen sich zusätzlich reduzieren, indem automatisierte Blockierungsmechanismen KI-Dienste sperren, die eine Vendor-Risk-Bewertung oder Compliance-Prüfung nicht bestehen.
  • Übernehmen Sie die Verantwortung für die agentische KI-Pipeline: Unternehmen können die vollständige Kontrolle über KI-Assistenten für Meetings erlangen, indem sie ihre eigenen Agenten intern entwickeln. Workflow-Automatisierungsplattformen wie n8n oder Zapier können die Agenten hosten. Gerade in Europa setzen viele Unternehmen auf selbst gehostete Lösungen oder europäische Cloud-Infrastrukturen. So können sie die Datenhoheit, Datenresidenz und die Einhaltung der DSGVO besser kontrollieren. Somit hat das Unternehmen 100-prozentige Kontrolle über die Entwicklung und die Zeit nach der Bereitstellung. Die Pipeline kann Transkriptionstools umfassen und generative KI zur Zusammenfassung nutzen. Beachten Sie jedoch, dass der Einsatz agentischer KI komplex und kostspielig ist. Den Teams fehlen möglicherweise die technischen Fachkenntnisse, um solche KI-Tools zu entwickeln.
  • Kontrolle über Tools von Drittanbietern: Cyberangreifer zielen auf KI-Anwendungen von Drittanbietern, Chatbots, Meeting-Assistenten und agentische Pipelines ab, um sich einen umfassenderen Zugriff auf Unternehmensdaten zu verschaffen. Angreifer können KI-Meeting-Assistenten beispielsweise mit Prompt-Injection-Angriffen manipulieren. Dadurch können Meetings unbemerkt aufgezeichnet und weitergegeben werden. Sie sollten Agenten daher so programmieren, dass sie mit kurzlebigen, sich automatisch erneuernden Zertifikaten laufen, anstatt Protokolle wie das Model Context Protocol (MCP), A2A oder AP2 zu verwenden. Blockieren Sie OAuth-Berechtigungen von Drittanbietern standardmäßig und überprüfen Sie Bestehende erneut. OAuth-Freigaben sollten darüber hinaus regelmäßig auditiert, nach dem Prinzip der minimalen Rechtevergabe (POLP) vergeben und, wo möglich, mit Conditional Access und zeitlich begrenzten Zugriffstoken abgesichert werden.
  • Implementieren Sie Human in the Loop: Wenn beispielsweise mehrere KI-Agenten an einem Meeting teilnehmen, die verschiedene menschliche Teilnehmer repräsentieren, besteht das Risiko, dass Daten oder Meeting-Zusammenfassungen aufgrund von Halluzinationen nicht übereinstimmen. Durch eine manuelle Überwachung der KI-Workflows durch Menschen wird die Datengenauigkeit gewährleistet und es ist möglich, im Fehlerfall einzugreifen.

Dieser Artikel ist im Original in englischer Sprache auf Search Unified Communications erschienen.

Erfahren Sie mehr über Unified Communications