• Die KI kann mithören aber DU musst mitdenken

    Der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Transkription von Besprechungen wird in Unternehmen und Organisationen immer häufiger genutzt – vor allem zur Steigerung der Effizienz und zur besseren Dokumentation. Dabei wandeln KI-Systeme die gesprochenen Inhalte eines Meetings entweder in Echtzeit oder im Nachhinein in schriftliche Form um.

    Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.

    In diesem Beitrag erhältst Du einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.

    Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe. Wende Dich direkt an uns

    kostenlose 30-minütige Erstberatung sichern

    Transkription als Verarbeitung personenbezogener Daten

    Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt, stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Denn sobald eine Identifizierbarkeit von Personen möglich ist – egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden – fließen personenbezogene Daten.

    Typische Beispiele:

    • In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.
    • Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.
    • Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.
    • In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.

    Rechtsgrundlage für die Verarbeitung

    Egal ob Du ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzt: Sobald Du Sprache in Text verwandelst und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.

    Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:

    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
    • Tipp: Keine stillschweigende Zustimmung!
      Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.

    Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um:

    • bestimmte Meetings pauschal freizugeben,
    • Bedingungen und Grenzen definieren,
    • die angewendeten Tools freizugeben,
    • die Einwilligungspflicht entfallen lassen.

    Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein.

    Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den Sprechenden überhaupt auffällt.

    Transparenz: Information ist Pflicht!

    Niemand mag böse Überraschungen – schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert.

    Was muss also rein in den Datenschutzhinweis?

    • Wer ist verantwortlich?
    • Warum wird transkribiert?
    • Welche Tools kommen zum Einsatz?
    • Wie lange wird gespeichert?
    • Welche Rechte haben die Teilnehmenden?

    Best Practice: Klare Information z. B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung. Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.

    KI-Dienstleister? Nur mit Vertrag!

    Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!

    Du brauchst:

    • Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
    • Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)
    • Transparenz über Serverstandorte und Sicherheitsstandards

    Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!

    Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:

    • Zugriffsbeschränkungen auf Transkripte
    • Verschlüsselung bei Übertragung und Speicherung
    • Löschfristen und automatisierte Löschmechanismen
    • Auditierung und Protokollierung der Zugriffe

    Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten.

    Auskunftsrecht: Beschäftigte dürfen Transkripte sehen

    Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen – vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.

    Das kann bedeuten:

    • Gespräche mit Vorgesetzten werden herausverlangt.
    • Auch andere Gesprächsteilnehmer sind betroffen.
    • Geschäftsgeheimnisse müssen ggf. geschwärzt werden.

    Verzeichnis von Verarbeitungstätigkeiten

    KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden – einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.

    KI-Verordnung: Mehr als nur Datenschutz

    Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Du KI-Systeme zur Aufzeichnung und/oder Transkription nutzt, gelten folgende Anforderungen:

    Verbotene Praktiken (Art. 5 KI-VO)
    Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.

    Hochrisiko-KI (Art. 6 Abs. 2 KI-VO)
    Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann Dein Transkriptionssystem als Hochrisiko-KI eingestuft werden – mit deutlich höheren Anforderungen an:

    • Risikobewertung
    • Dokumentation
    • menschliche Aufsicht
    • Transparenzpflichten

    In jedem Fall musst Du dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie

    Best Practices: So setzt Du KI-Transkription sauber um

    • Vorab prüfen, ob wirklich eine Transkription nötig ist – nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)
    • Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten
    • KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“
    • Keine Emotionserkennung einsetzen: Diese Funktion birgt hohes Risiko unter der KI-VO
    • Rollen und Zugriffsrechte klar regeln: Wer darf Transkripte einsehen, ändern oder löschen?
    • Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht
    • Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen – inklusive Vertrag, TOMs und Transparenz zur Datenverarbeitung
    • Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie

    Fazit: KI kann mitschreiben, aber sie braucht klare Regeln

    KI-Transkription ist ein echter Gamechanger – wenn Du sie verantwortungsvoll einsetzt. Datenschutz ist kein Blocker, sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil.