Der Einsatz von künstlicher Intelligenz zur automatischen Transkription von Meetings und beruflichen Gesprächen schafft echten Mehrwert – bringt aber unmittelbar eine Reihe rechtlicher Pflichten mit sich. Die DSGVO greift, sobald Daten verarbeitet werden, die Personen identifizierbar machen – Stimmen, Namen, Funktionen, geäußerte Meinungen.
Das Wichtigste vorab im Überblick:
- Informieren Sie die Teilnehmenden vor jeder Aufnahme – dies ist Pflicht (Art. 13 DSGVO + § 201 StGB).
- Formalisieren Sie die Beziehung zum Anbieter durch einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
- Hosten Sie die Daten in der Europäischen Union oder stellen Sie einen gültigen Übermittlungsmechanismus sicher.
- Begrenzen Sie die Speicherdauer und löschen Sie die Audiodatei, sobald die Transkription abgeschlossen ist.
- Untersagen Sie dem Anbieter vertraglich, Ihre Daten zum Training von KI-Modellen zu verwenden.
Inhaltsverzeichnis
- Verantwortlicher und Auftragsverarbeiter: Wer ist wer?
- Informationspflicht und Verbot der heimlichen Aufnahme
- Rechtsgrundlage: Welche Grundlage ist die richtige?
- Datenhosting und Drittlandübermittlungen
- Speicherung, Datensparsamkeit und Löschung der Audiodatei
- Auftragsverarbeitungsvertrag (AVV) und KI-Modelltraining
- Häufig gestellte Fragen
Verantwortlicher und Auftragsverarbeiter: Wer ist wer?
Der Verantwortliche ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Bei der Transkription von Meetings ist das die Organisation, die das Tool einsetzt – nicht der Technologieanbieter.
Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) ist der Dienstleister, der die Daten im Auftrag des Verantwortlichen und nach dessen Weisung verarbeitet. Der KI-Transkriptionsanbieter nimmt diese Rolle ein.
Diese Unterscheidung hat unmittelbare Konsequenzen:
- Die Organisation bleibt allein verantwortlich gegenüber den betroffenen Personen und dem zuständigen Landesdatenschutzbeauftragten.
- Der Anbieter darf ausschließlich auf Basis dokumentierter Weisungen handeln.
- Jede Datenpanne, die der Auftragsverarbeiter verursacht, begründet auch eine Haftung des Verantwortlichen, wenn der Vertrag unzureichend war.
Merksatz: Ein KI-Transkriptionstool ohne formalisierten Auftragsverarbeitungsvertrag einzusetzen, bedeutet für die Organisation eine unmittelbare Haftung gegenüber der Aufsichtsbehörde – unabhängig von einem etwaigen Verschulden des Anbieters.
Das Verzeichnis von Verarbeitungstätigkeiten
Der Verantwortliche muss die Tätigkeit „automatische Transkription von Meetings” in sein Verzeichnis von Verarbeitungstätigkeiten aufnehmen (Art. 30 DSGVO). Dieser Eintrag muss Zweck, Datenkategorien, Empfänger, Speicherdauer und Sicherheitsmaßnahmen enthalten.
Informationspflicht und Verbot der heimlichen Aufnahme
Die DSGVO verpflichtet zu einer vorherigen und transparenten Information der betroffenen Personen (Art. 13). In der Praxis bedeutet das: Jede teilnehmende Person muss vor Beginn des Meetings darüber informiert werden, dass dieses aufgezeichnet und automatisch transkribiert wird.
Im deutschen Recht ist die Anforderung noch schärfer. § 201 StGB stellt das unbefugte Aufnehmen des nichtöffentlich gesprochenen Wortes unter Strafe – auch im beruflichen Kontext und selbst wenn die aufnehmende Person selbst am Gespräch beteiligt ist. Unwissenheit schützt vor Strafe nicht. Zusätzlich können Betriebsräte nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Überwachungseinrichtungen geltend machen – was den Einsatz von Transkriptions-KI einschließen kann.
Die Mindestangaben, die den Teilnehmenden mitzuteilen sind:
- Die Identität des Verantwortlichen.
- Der Zweck der Aufzeichnung und Transkription (z. B. Erstellung des Protokolls).
- Die herangezogene Rechtsgrundlage.
- Die vorgesehene Speicherdauer.
- Die Rechte der Teilnehmenden (Auskunft, Berichtigung, Widerspruch, Löschung).
- Die Identität des Auftragsverarbeiters, der die Daten hostet.
Praktische Umsetzung der Informationspflicht
Die Information kann wie folgt erfolgen:
- Durch einen Hinweis in der Kalendereinladung.
- Durch eine mündliche Ankündigung zu Beginn des Meetings, die im Protokoll dokumentiert wird.
- Über ein Banner oder eine Benachrichtigung, die das Tool beim Betreten der Sitzung anzeigt.
Bei Mitarbeitergesprächen oder Jahresgesprächen empfiehlt sich ein eigener Absatz im schriftlichen Einladungsschreiben. Mehr zu bewährten Dokumentationspraktiken in diesem Kontext finden Sie in unserem Artikel zum Gesprächsprotokoll für das Jahresgespräch: Vorlage und Best Practices.
Rechtsgrundlage: Welche Grundlage ist die richtige?
Jede Verarbeitung personenbezogener Daten muss auf eine der sechs Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO gestützt werden. Für die Transkription beruflicher Meetings kommen vor allem zwei Grundlagen in Betracht.
| Rechtsgrundlage | Voraussetzungen | Vorteile | Grenzen |
|---|---|---|---|
| Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | Dokumentierte Interessenabwägung; Interessen dürfen die Rechte der Betroffenen nicht überwiegen | Keine Einholung einer individuellen Einwilligung erforderlich | Widerspruchsrecht der Betroffenen; Abwägung muss dokumentiert werden |
| Einwilligung (Art. 6 Abs. 1 lit. a) | Freiwillig, informiert, spezifisch, eindeutig, widerrufbar | Starke Legitimationsgrundlage | In hierarchischen Kontexten kaum frei einholbar; im Beschäftigungsverhältnis häufig unwirksam |
| Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Gesetzliche Vorgabe zur Protokollführung | Solide Grundlage, wenn anwendbar | Selten außerhalb von Betriebsratssitzungen und satzungsmäßigen Versammlungen |
Merksatz: Berechtigte Interessen sind für die große Mehrheit interner Meetings die am besten geeignete Rechtsgrundlage – vorausgesetzt, die Interessenabwägung wird sorgfältig dokumentiert und es werden keine besonders sensiblen Gespräche transkribiert (Gesundheitsdaten, gewerkschaftliche Überzeugungen …) ohne eine verstärkte Rechtsgrundlage.
Der Sonderfall besonderer Kategorien personenbezogener Daten
Wenn in einem Meeting Themen zur Sprache kommen, die besondere Kategorien personenbezogener Daten offenbaren können (Art. 9 DSGVO) – Gesundheitszustand, Gewerkschaftszugehörigkeit, politische Meinungen –, ist eine spezifische Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO erforderlich, etwa eine ausdrückliche Einwilligung oder eine gesetzliche Verpflichtung. Es empfiehlt sich dann, solche Meetings nicht automatisch zu transkribieren oder eine sofortige Anonymisierung vorzusehen.
Datenhosting und Drittlandübermittlungen
Das Hosting der Daten innerhalb der Europäischen Union ist die einfachste Möglichkeit, Konformität sicherzustellen. Sobald Audio-Dateien oder Transkriptionen auf Servern außerhalb der EU verarbeitet werden, gelten die Regeln des Kapitels V der DSGVO zu internationalen Datenübermittlungen.
Gültige Übermittlungsmechanismen:
- Angemessenheitsbeschluss der Europäischen Kommission (z. B. EU-US Data Privacy Framework – dessen rechtliche Beständigkeit bleibt jedoch ungewiss).
- Standardvertragsklauseln (SCC) der Kommission – dem AVV als Anlage beizufügen.
- Verbindliche interne Datenschutzvorschriften (BCR) für multinationale Unternehmensgruppen.
Ein souveränes Hosting in Europa eliminiert dieses Risiko an der Wurzel. Bei Hybrid-Meetings mit internationalen Teilnehmenden gewinnt die Frage der Datenlokalisierung eine zusätzliche Dimension – mehr dazu in unserem Artikel über hybride Meetings: wie alle einbezogen werden.
Risikobewertung des Anbieters
Prüfen Sie vor der Auswahl eines Tools:
- Das Hosting-Land der Verarbeitungs- und Speicherserver.
- Das anwendbare Recht bei Rechtsstreitigkeiten oder behördlichen Auskunftsersuchen.
- Das Vorhandensein und die Qualität des angebotenen AVV.
Speicherung, Datensparsamkeit und Löschung der Audiodatei
Der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) verpflichtet dazu, nur die Daten zu erheben, die für den Zweck unbedingt erforderlich sind. Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verpflichtet zur Löschung, sobald die Daten nicht mehr benötigt werden.
Im Fall einer automatischen Transkription gilt:
- Der Zweck ist die Erstellung eines Protokolls oder einer Meetingzusammenfassung.
- Die Roh-Audiodatei muss nicht mehr aufbewahrt werden, sobald die Transkription validiert ist.
- Die Transkription selbst sollte nur so lange gespeichert werden, wie es für den dokumentarischen Zweck unbedingt notwendig ist (in der Regel 30 bis 90 Tage, sofern keine spezifische gesetzliche Verpflichtung besteht).
| Datum | Empfohlene Aufbewahrungsdauer | Begründung |
|---|---|---|
| Roh-Audiodatei | Sofortige Löschung nach validierter Transkription | Datensparsamkeit; hohes Risiko bei Datenpanne |
| Vollständige Transkription | 30 bis 90 Tage | Operativer Nutzungszeitraum; Löschung nach Archivierung des Protokolls |
| Finalisiertes Protokoll | Projektlaufzeit / gesetzliche Aufbewahrungspflicht | Managementdokument; kann anonymisiert werden |
Merksatz: Die Audiodatei unmittelbar nach der Transkription zu löschen ist die wirksamste Datensparsamkeitsmaßnahme – sie senkt das Risiko im Datenpannenfall drastisch und vereinfacht das Management von Löschansprüchen erheblich.
Mehr zur strukturierten Aufbereitung von Meeting-Ergebnissen finden Sie in unserem Artikel Wie man 2026 ein klares und nützliches Meetingprotokoll schreibt.
Auftragsverarbeitungsvertrag (AVV) und KI-Modelltraining
Der Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement – DPA) ist ein Vertrag, der durch Art. 28 DSGVO zwingend vorgeschrieben wird. Er muss vor jeder Datenverarbeitung durch den Anbieter unterzeichnet sein.
Pflichtinhalt des AVV (Art. 28 Abs. 3 DSGVO)
Der AVV muss folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung.
- Art und Weise der Verarbeitungsvorgänge (Erhebung, Speicherung, Analyse, Löschung).
- Zweck der Verarbeitung und die betroffenen Datenkategorien.
- Pflichten und Rechte des Verantwortlichen.
- Die getroffenen technischen und organisatorischen Sicherheitsmaßnahmen (TOM).
- Bedingungen für eine weitere Auftragserteilung (Liste der Unterauftragsverarbeiter).
- Unterstützungspflicht bei der Wahrnehmung von Betroffenenrechten und bei Datenpannen.
Die Frage des KI-Modelltrainings
Dies ist ein kritischer Punkt. Einige Anbieter integrieren in ihre AGB eine Klausel, die es ihnen erlaubt, die Daten zur Verbesserung oder zum Training ihrer Modelle zu nutzen. Das stellt eine Zweckänderung dar, die mit Art. 5 Abs. 1 lit. b DSGVO unvereinbar ist – es sei denn, es liegt eine ausdrückliche Einwilligung vor.
Der AVV muss ausdrücklich untersagen:
- Die Nutzung von Transkriptionen oder Audiodateien zum Training, Fine-Tuning oder zur Evaluierung von KI-Modellen.
- Die Weitergabe oder den Verkauf der Daten an nicht aufgeführte Dritte.
- Jede Verarbeitung, die nicht durch den Verantwortlichen angewiesen wurde.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Datenschutzkonferenz (DSK) haben in ihren Orientierungshilfen zu KI-Systemen darauf hingewiesen, dass die Zweckentfremdung von Daten ohne geeignete Rechtsgrundlage einen klaren Verstoß gegen die DSGVO darstellt.
Fazit: Eine Checkliste für die Praxis
Die DSGVO-konforme Nutzung eines KI-Transkriptionstools erfordert keine umfangreichen Rechtsressourcen – wohl aber eine strukturierte Vorgehensweise. Die prioritären Maßnahmen im Überblick:
- Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten erfassen.
- Rechtsgrundlage wählen und dokumentieren (Interessenabwägung bei berechtigten Interessen).
- Teilnehmende vor jeder aufgezeichneten Sitzung systematisch informieren.
- AVV mit dem Anbieter abschließen, einschließlich des Verbots des Modelltrainings.
- Server-Standort prüfen und sicherstellen, dass bei Hosting außerhalb der EU ein gültiger Übermittlungsmechanismus vorliegt.
- Automatische Löschung der Audiodatei nach Validierung der Transkription einrichten.
- Maximale Speicherfristen für Transkriptionen und Protokolle festlegen.
Ein souveränes, in Europa gehostetes Tool mit einem Art. 28 DSGVO-konformen AVV, das Audiodateien nach der Transkription automatisch löscht, erfüllt strukturell den Großteil dieser Anforderungen. DSGVO-Konformität sollte kein Hindernis für den KI-Einsatz in Ihren Meetings sein – sie ist der Vertrauensrahmen, der ihn erst möglich macht.
Häufig gestellte Fragen
Muss ich Teilnehmende zwingend informieren, bevor ich ein Meeting aufzeichne?
Ja. Die DSGVO (Art. 13) verpflichtet dazu, betroffene Personen vor der Verarbeitung ihrer Stimmdaten zu informieren. Nach deutschem Recht macht sich zudem strafbar, wer das nichtöffentlich gesprochene Wort einer Person ohne deren Wissen aufnimmt – § 201 StGB. Darüber hinaus kann der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht geltend machen, bevor ein solches Tool eingeführt wird.
Welche Rechtsgrundlage eignet sich für die Transkription beruflicher Meetings?
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) sind die am häufigsten herangezogene Rechtsgrundlage – vorausgesetzt, die Interessen der Organisation überwiegen die Rechte der Teilnehmenden nicht. Eine Einwilligung ist ebenfalls möglich, muss aber freiwillig, informiert und widerrufbar sein, was in einem hierarchischen Kontext schwer zu gewährleisten ist.
Wie lange darf eine Meetingaufzeichnung gespeichert werden?
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) schreibt vor, Daten nur so lange aufzubewahren, wie es für ihren Zweck erforderlich ist. In der Praxis sollte die Audiodatei gelöscht werden, sobald die Transkription validiert ist. Die Transkription selbst wird in der Regel zwischen 30 und 90 Tagen aufbewahrt, je nach dokumentarischer Aufbewahrungspolitik der Organisation.
Darf ein KI-Anbieter meine Meeting-Aufzeichnungen zum Training seiner Modelle nutzen?
Nein, nicht ohne ausdrückliche Genehmigung. Die DSGVO verbietet es, Daten für Zwecke zu nutzen, die mit dem ursprünglichen Erhebungszweck unvereinbar sind (Art. 5 Abs. 1 lit. b). Ein Art. 28 DSGVO-konformer AVV muss ausdrücklich festhalten, dass der Anbieter weder seine Modelle trainieren noch die Daten ohne dokumentierte Weisung des Verantwortlichen an Dritte weitergeben darf.
Was ist ein AVV und wann ist er verpflichtend?
Ein AVV (Auftragsverarbeitungsvertrag) ist ein Vertrag, der nach Art. 28 DSGVO immer dann erforderlich ist, wenn ein Dienstleister personenbezogene Daten im Auftrag einer Organisation verarbeitet. Er muss Gegenstand, Dauer, Art der Verarbeitung, Sicherheitsmaßnahmen und Pflichten des Auftragsverarbeiters regeln. Er ist vor jedem Einsatz eines KI-Transkriptionstools zwingend abzuschließen.
Ist es problematisch, wenn ein Transkriptionstool außerhalb der EU gehostet wird?
Ja. Jede Übermittlung personenbezogener Daten in ein Drittland (z. B. in die USA) muss auf einen geeigneten Übermittlungsmechanismus gestützt werden: Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR). Ohne dokumentierte Garantie ist die Übermittlung unzulässig.
Welche Daten gelten in einer Meeting-Transkription als personenbezogen?
Stimme, Vorname, Nachname, Funktion, geäußerte Meinungen sowie alle mittelbaren Identifikatoren, die eine Person erkennbar machen, sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die textliche Transkription eines Meetings ist damit eindeutig eine Verarbeitung personenbezogener Daten, die der DSGVO unterliegt.