Der Einsatz von Künstlicher Intelligenz zur automatischen Transkription von Meetings und beruflichen Gesprächen schafft echten Mehrwert – wirft aber sofort eine Reihe rechtlicher Pflichten auf. Die DSGVO greift, sobald Daten verarbeitet werden, anhand derer Personen identifiziert werden können: Stimme, Namen, Funktionen, geäußerte Meinungen.
Die wichtigsten Punkte vorab im Überblick:
- Informieren Sie die Teilnehmenden vor jeder Aufzeichnung – dies ist Pflicht (Art. 13 DSGVO sowie § 201 StGB).
- Formalisieren Sie die Beziehung zum Anbieter durch einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
- Hosten Sie Daten innerhalb der Europäischen Union oder stellen Sie einen gültigen Übermittlungsmechanismus sicher.
- Begrenzen Sie die Speicherdauer und löschen Sie die Audiodatei, sobald die Transkription abgeschlossen ist.
- Verbieten Sie vertraglich das Training von KI-Modellen auf Basis Ihrer Daten.
Inhaltsverzeichnis
- Verantwortlicher und Auftragsverarbeiter: Wer ist wer?
- Informationspflicht und Verbot von heimlichen Aufzeichnungen
- Rechtsgrundlage: Welche Grundlage ist die richtige?
- Datenspeicherung und Drittlandübermittlungen
- Aufbewahrung, Datensparsamkeit und Löschung der Audiodatei
- Auftragsverarbeitungsvertrag (AVV) und Training von KI-Modellen
- Häufig gestellte Fragen
Verantwortlicher und Auftragsverarbeiter: Wer ist wer?
Der Verantwortliche ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Bei der Transkription von Meetings ist dies die Organisation, die das Tool einsetzt – nicht der Technologieanbieter.
Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) ist der Dienstleister, der die Daten im Auftrag des Verantwortlichen und nach dessen Weisung verarbeitet. Der KI-Transkriptionsanbieter nimmt diese Rolle ein.
Diese Unterscheidung hat direkte Konsequenzen:
- Die Organisation bleibt allein verantwortlich gegenüber den betroffenen Personen und den zuständigen Datenschutzbehörden (z. B. dem BfDI oder den Landesbeauftragten).
- Der Anbieter darf ausschließlich auf dokumentierte Weisung des Verantwortlichen handeln.
- Jede Datenpanne durch den Auftragsverarbeiter zieht auch die Haftung des Verantwortlichen nach sich, wenn der Vertrag unzureichend war.
Merke: Ein KI-Transkriptionstool ohne formalisierten Auftragsverarbeitungsvertrag einzusetzen bedeutet eine direkte Haftung gegenüber der zuständigen Datenschutzbehörde – unabhängig davon, ob der Anbieter selbst ein Verschulden trifft.
Das Verzeichnis der Verarbeitungstätigkeiten
Der Verantwortliche muss die Tätigkeit „automatische Meeting-Transkription” in sein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen. Dieser Eintrag muss Zweck, Datenkategorien, Empfänger, Speicherdauer und Sicherheitsmaßnahmen benennen.
Informationspflicht und Verbot von heimlichen Aufzeichnungen
Die DSGVO verlangt eine vorherige, transparente Information der betroffenen Personen (Art. 13). In der Praxis bedeutet das: Jede teilnehmende Person ist vor Beginn des Meetings darüber zu informieren, dass dieses aufgezeichnet und automatisch transkribiert wird.
Im deutschen Recht ist die Anforderung noch strenger. § 201 StGB (Verletzung der Vertraulichkeit des Wortes) stellt das unbefugte Aufnehmen oder Abhören des nichtöffentlich gesprochenen Wortes unter Strafe – auch im beruflichen Umfeld. Unwissenheit schützt vor Strafe nicht.
Darüber hinaus haben Betriebsräte nach dem Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmenden überwachen können (§ 87 Abs. 1 Nr. 6 BetrVG). Der Einsatz eines KI-Transkriptionstools sollte daher frühzeitig mit dem Betriebsrat abgestimmt werden.
Mindestangaben, die den Teilnehmenden mitzuteilen sind:
- Die Identität des Verantwortlichen.
- Der Zweck der Aufzeichnung und Transkription (z. B. Erstellung des Protokolls).
- Die gewählte Rechtsgrundlage.
- Die vorgesehene Speicherdauer.
- Die Rechte der Teilnehmenden (Auskunft, Berichtigung, Widerspruch, Löschung).
- Die Identität des Auftragsverarbeiters, der die Daten speichert.
Praktische Hinweise zur Informationserteilung
Die Information kann erteilt werden:
- Durch eine Nachricht in der Kalendereinladung.
- Durch eine mündliche Ankündigung zu Beginn des Meetings, die im Protokoll festgehalten wird.
- Über ein Banner oder eine Benachrichtigung, die das Tool beim Beitritt zur Sitzung anzeigt.
Bei Mitarbeitergesprächen und Jahresgesprächen empfiehlt sich ein eigener Absatz in der schriftlichen Einladung. Weitere Best Practices zur Dokumentation in diesem Kontext finden Sie in unserem Artikel über das Protokoll zum Jahresgespräch: Vorlage und gute Praktiken.
Rechtsgrundlage: Welche Grundlage ist die richtige?
Jede Verarbeitung personenbezogener Daten muss auf einer der sechs Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO beruhen. Für die Transkription beruflicher Meetings kommen vor allem zwei in Betracht.
| Rechtsgrundlage | Voraussetzungen | Vorteile | Einschränkungen |
|---|---|---|---|
| Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | Dokumentierte Interessenabwägung; Interessen überwiegen nicht die Rechte der Betroffenen | Keine Einholung individueller Einwilligung erforderlich | Widerspruchsrecht der Betroffenen; Abwägung muss dokumentiert werden |
| Einwilligung (Art. 6 Abs. 1 lit. a) | Freiwillig, informiert, spezifisch, eindeutig, widerruflich | Starke Legitimität | Im hierarchischen Kontext kaum freiwillig einholbar; im Beschäftigungsverhältnis oft unwirksam |
| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Gesetzliche Vorschrift zur Protokollführung | Solide Grundlage, wenn anwendbar | Selten, außer bei Betriebs- oder Gesellschafterversammlungen |
Merke: Das berechtigte Interesse ist für die meisten internen Meetings die am besten geeignete Rechtsgrundlage – vorausgesetzt, die Interessenabwägung ist sorgfältig dokumentiert und es werden keine Gespräche mit sensiblem Inhalt (Gesundheitsdaten, gewerkschaftliche Zugehörigkeit…) ohne verstärkte Grundlage transkribiert.
Der Sonderfall: sensible Daten
Betrifft das Meeting Themen, die besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) offenbaren können – Gesundheitszustand, Gewerkschaftszugehörigkeit, politische Überzeugungen – ist eine spezifische Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO erforderlich, etwa die ausdrückliche Einwilligung oder eine gesetzliche Verpflichtung. Im Zweifel sollte auf eine automatische Transkription solcher Meetings verzichtet oder eine unmittelbare Anonymisierung vorgesehen werden.
Datenspeicherung und Drittlandübermittlungen
Die Speicherung der Daten innerhalb der Europäischen Union ist der einfachste Weg zur Konformität. Sobald Audio- oder Transkriptionsdateien auf Servern außerhalb der EU verarbeitet werden, greifen die Regeln des Kapitels V DSGVO zu internationalen Datenübermittlungen.
Gültige Übermittlungsmechanismen:
- Angemessenheitsbeschluss der Europäischen Kommission (z. B. EU-US Data Privacy Framework – dessen rechtliche Beständigkeit bleibt jedoch unsicher).
- Standardvertragsklauseln (SCC) der Kommission – als Anlage zum AVV beizufügen.
- Verbindliche interne Datenschutzvorschriften (BCR) für multinationale Unternehmensgruppen.
Ein souveränes Hosting in Europa eliminiert dieses Risiko von Grund auf. Bei hybriden Meetings mit internationalen Teilnehmenden gewinnt die Frage der Datenlokalisierung eine zusätzliche Dimension – siehe unseren Artikel zu hybriden Meetings: So binden Sie alle ein.
Anbieterrisiko bewerten
Prüfen Sie vor der Wahl eines Tools:
- Das Land, in dem die Verarbeitungs- und Speicherserver stehen.
- Das anwendbare Recht bei Streitigkeiten oder behördlichen Auskunftsersuchen.
- Ob ein AVV angeboten wird und wie belastbar er ist.
Aufbewahrung, Datensparsamkeit und Löschung der Audiodatei
Der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) gebietet, nur die für den Zweck unbedingt erforderlichen Daten zu erheben. Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verpflichtet zur Löschung, sobald die Daten nicht mehr benötigt werden.
Im Fall der automatischen Transkription gilt:
- Der Zweck ist die Erstellung eines Protokolls oder einer Meetingzusammenfassung.
- Die Rohaudiodatei ist zu löschen, sobald die Transkription validiert wurde.
- Die Transkription selbst sollte nur so lange aufbewahrt werden, wie es der Dokumentationszweck erfordert (in der Regel 30 bis 90 Tage, sofern keine gesetzliche Aufbewahrungspflicht besteht).
| Datum | Empfohlene Aufbewahrungsdauer | Begründung |
|---|---|---|
| Rohaudiodatei | Sofortige Löschung nach validierter Transkription | Datensparsamkeit; hohes Risiko bei Datenpanne |
| Vollständige Transkription | 30 bis 90 Tage | Operativer Bedarf; Löschung nach Archivierung des Protokolls |
| Finalisiertes Protokoll | Projektlaufzeit / gesetzliche Aufbewahrungsfrist | Verwaltungsdokument; kann anonymisiert werden |
Merke: Die Audiodatei unmittelbar nach der Transkription zu löschen ist die wirkungsvollste Datensparsamkeitsmaßnahme – sie reduziert das Risiko bei einer Datenpanne drastisch und vereinfacht die Bearbeitung von Löschanfragen erheblich.
Mehr zur strukturierten Aufbereitung von Meeting-Ergebnissen erfahren Sie in unserem Artikel Wie Sie ein klares und nützliches Meetingprotokoll erstellen.
Auftragsverarbeitungsvertrag (AVV) und Training von KI-Modellen
Der Auftragsverarbeitungsvertrag (AVV, englisch: Data Processing Agreement / DPA) ist ein Vertrag, der durch Art. 28 DSGVO zwingend vorgeschrieben ist. Er muss vor jeder Datenverarbeitung durch den Anbieter abgeschlossen werden.
Pflichtinhalt des AVV (Art. 28 Abs. 3 DSGVO)
Der AVV muss festlegen:
- Gegenstand und Dauer der Verarbeitung.
- Art und Weise der Verarbeitungsvorgänge (Erhebung, Speicherung, Analyse, Löschung).
- Zweck der Verarbeitung und betroffene Datenkategorien.
- Pflichten und Rechte des Verantwortlichen.
- Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit.
- Bedingungen für die Beauftragung weiterer Unterauftragsverarbeiter (Unterauftragnehmerkette).
- Pflicht zur Unterstützung bei Betroffenenrechten und Datenpannen.
Das KI-Modell-Training als kritischer Punkt
Dies ist ein besonders kritischer Aspekt. Manche Anbieter integrieren in ihre AGB eine Klausel, die die Nutzung der Daten zur Verbesserung oder zum Training ihrer Modelle erlaubt. Dies stellt eine zweckfremde Weiterverwendung dar, die mit Art. 5 Abs. 1 lit. b DSGVO unvereinbar ist – es sei denn, eine ausdrückliche Einwilligung liegt vor.
Der AVV muss ausdrücklich verbieten:
- Die Nutzung von Transkriptionen oder Audiodateien zum Training, Fine-Tuning oder zur Evaluation von KI-Modellen.
- Die Weitergabe oder den Verkauf der Daten an nicht gelistete Dritte.
- Jede Verarbeitung, die nicht durch den Verantwortlichen angewiesen wurde.
Die Datenschutzkonferenz (DSK) – das Gremium der deutschen Datenschutzaufsichtsbehörden – hat in ihren Orientierungshilfen zu KI-Systemen klargestellt, dass die Weiterverwendung von Daten ohne geeignete Rechtsgrundlage einen schwerwiegenden Verstoß gegen die DSGVO darstellt.
Fazit: Eine Checkliste zum Handeln
Den Einsatz eines KI-Transkriptionstools DSGVO-konform zu gestalten erfordert keine umfangreichen rechtlichen Ressourcen, aber eine klare Methodik. Die wichtigsten Maßnahmen im Überblick:
- Eintrag der Verarbeitung ins Verzeichnis der Verarbeitungstätigkeiten.
- Wahl und Dokumentation der Rechtsgrundlage (Interessenabwägung bei berechtigten Interessen).
- Information aller Teilnehmenden vor jeder aufgezeichneten Sitzung.
- Abschluss eines AVV mit dem Anbieter, einschließlich Verbot des Modell-Trainings.
- Prüfung des Serverstandorts und Sicherstellung eines gültigen Übermittlungsmechanismus bei Drittlandübermittlung.
- Einrichtung der automatischen Löschung der Audiodatei nach Validierung der Transkription.
- Festlegung einer maximalen Aufbewahrungsdauer für Transkriptionen und Protokolle.
- Einbindung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG, sofern ein Betriebsrat besteht.
Ein souveränes, in Europa gehostetes Tool mit einem Art. 28-konformen AVV, das Audiodateien nach der Transkription automatisch löscht, erfüllt strukturell die wesentlichen Anforderungen. DSGVO-Konformität sollte kein Hindernis für den Einsatz von KI in Meetings sein – sie ist der Vertrauensrahmen, der diesen Einsatz erst tragfähig macht.
Häufig gestellte Fragen
Müssen Teilnehmende zwingend vor der Aufzeichnung eines Meetings informiert werden?
Ja. Die DSGVO (Art. 13) verpflichtet dazu, betroffene Personen vor jeder Verarbeitung ihrer Sprachdaten zu informieren. Im deutschen Recht stellt die heimliche Aufnahme nichtöffentlich gesprochener Worte zudem eine Straftat nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) dar.
Welche Rechtsgrundlage gilt für die Transkription eines beruflichen Meetings?
Das berechtigte Interesse (Art. 6 Abs. 1 lit. f) ist die am häufigsten herangezogene Rechtsgrundlage, sofern die Interessen der Organisation die Rechte der Teilnehmenden nicht überwiegen. Eine Einwilligung ist ebenfalls möglich, muss aber freiwillig, informiert und widerruflich sein – was im hierarchischen Kontext nur schwer sichergestellt werden kann.
Wie lange darf eine Meetingaufzeichnung aufbewahrt werden?
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, Daten nur so lange zu speichern, wie es der Zweck erfordert. In der Praxis sollte die Audiodatei gelöscht werden, sobald die Transkription validiert ist; die Transkription selbst wird in der Regel zwischen 30 und 90 Tagen aufbewahrt, je nach Dokumentationspolitik der Organisation.
Darf ein KI-Anbieter Aufzeichnungen meiner Meetings zum Training seiner Modelle nutzen?
Nein, nicht ohne ausdrückliche Einwilligung. Die DSGVO verbietet die Weiterverwendung von Daten zu Zwecken, die mit dem ursprünglichen Zweck unvereinbar sind (Art. 5 Abs. 1 lit. b). Ein Art. 28-konformer AVV muss ausdrücklich festhalten, dass der Anbieter weder seine Modelle trainieren noch die Daten ohne dokumentierte Weisung des Verantwortlichen an Dritte weitergeben darf.
Was ist ein AVV und wann ist er verpflichtend?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein durch Art. 28 DSGVO vorgeschriebener Vertrag, der immer dann abzuschließen ist, wenn ein Dienstleister personenbezogene Daten im Auftrag einer Organisation verarbeitet. Er muss Gegenstand, Dauer, Art der Verarbeitung, Sicherheitsmaßnahmen und Pflichten des Auftragsverarbeiters regeln. Er ist vor jedem Einsatz eines KI-Transkriptionstools verpflichtend abzuschließen.
Ist ein Hosting außerhalb der EU bei einem Transkriptionstool problematisch?
Ja. Jede Übermittlung personenbezogener Daten in ein Drittland (z. B. in die USA) muss auf einem geeigneten Übermittlungsmechanismus beruhen: Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR). Fehlt eine dokumentierte Garantie, ist die Übermittlung rechtswidrig.
Welche Daten gelten in einer Meeting-Transkription als personenbezogen?
Stimme, Vorname, Nachname, Funktion, geäußerte Meinungen und alle mittelbaren Kennzeichen, anhand derer eine Person identifiziert werden kann, sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die textliche Transkription eines Meetings ist damit eindeutig eine Verarbeitung personenbezogener Daten, die der DSGVO unterliegt.