Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt

  • Die KI kann mithören aber DU musst mitdenken

    06.08.2025

    Der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Transkription von Besprechungen wird in Unternehmen und Organisationen immer häufiger genutzt – vor allem zur Steigerung der Effizienz und zur besseren Dokumentation. Dabei wandeln KI-Systeme die gesprochenen Inhalte eines Meetings entweder in Echtzeit oder im Nachhinein in schriftliche Form um.

    Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.

    In diesem Beitrag erhältst Du einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.

    Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe. Wende Dich direkt an uns

    kostenlose 30-minütige Erstberatung sichern

    Transkription als Verarbeitung personenbezogener Daten

    Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt, stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Denn sobald eine Identifizierbarkeit von Personen möglich ist – egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden – fließen personenbezogene Daten.

    Typische Beispiele:

    • In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.
    • Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.
    • Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.
    • In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.

    Rechtsgrundlage für die Verarbeitung

    Egal ob Du ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzt: Sobald Du Sprache in Text verwandelst und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.

    Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:

    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
    • Tipp: Keine stillschweigende Zustimmung!
      Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.

    Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um:

    • bestimmte Meetings pauschal freizugeben,
    • Bedingungen und Grenzen definieren,
    • die angewendeten Tools freizugeben,
    • die Einwilligungspflicht entfallen lassen.

    Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein.

    Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den Sprechenden überhaupt auffällt.

    Transparenz: Information ist Pflicht!

    Niemand mag böse Überraschungen – schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert.

    Was muss also rein in den Datenschutzhinweis?

    • Wer ist verantwortlich?
    • Warum wird transkribiert?
    • Welche Tools kommen zum Einsatz?
    • Wie lange wird gespeichert?
    • Welche Rechte haben die Teilnehmenden?

    Best Practice: Klare Information z. B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung. Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.

    KI-Dienstleister? Nur mit Vertrag!

    Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!

    Du brauchst:

    • Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
    • Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)
    • Transparenz über Serverstandorte und Sicherheitsstandards

    Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!

    Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:

    • Zugriffsbeschränkungen auf Transkripte
    • Verschlüsselung bei Übertragung und Speicherung
    • Löschfristen und automatisierte Löschmechanismen
    • Auditierung und Protokollierung der Zugriffe

    Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten.

    Auskunftsrecht: Beschäftigte dürfen Transkripte sehen

    Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen – vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.

    Das kann bedeuten:

    • Gespräche mit Vorgesetzten werden herausverlangt.
    • Auch andere Gesprächsteilnehmer sind betroffen.
    • Geschäftsgeheimnisse müssen ggf. geschwärzt werden.

    Verzeichnis von Verarbeitungstätigkeiten

    KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden – einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.

    KI-Verordnung: Mehr als nur Datenschutz

    Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Du KI-Systeme zur Aufzeichnung und/oder Transkription nutzt, gelten folgende Anforderungen:

    Verbotene Praktiken (Art. 5 KI-VO)
    Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.

    Hochrisiko-KI (Art. 6 Abs. 2 KI-VO)
    Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann Dein Transkriptionssystem als Hochrisiko-KI eingestuft werden – mit deutlich höheren Anforderungen an:

    • Risikobewertung
    • Dokumentation
    • menschliche Aufsicht
    • Transparenzpflichten

    In jedem Fall musst Du dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie

    Best Practices: So setzt Du KI-Transkription sauber um

    • Vorab prüfen, ob wirklich eine Transkription nötig ist – nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)
    • Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten
    • KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“
    • Keine Emotionserkennung einsetzen: Diese Funktion birgt hohes Risiko unter der KI-VO
    • Rollen und Zugriffsrechte klar regeln: Wer darf Transkripte einsehen, ändern oder löschen?
    • Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht
    • Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen – inklusive Vertrag, TOMs und Transparenz zur Datenverarbeitung
    • Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie

    Fazit: KI kann mitschreiben, aber sie braucht klare Regeln

    KI-Transkription ist ein echter Gamechanger – wenn Du sie verantwortungsvoll einsetzt. Datenschutz ist kein Blocker, sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil.

  • Rechtstipps für den Onlinehandel

    27.02.2025

    Rechtstipps für den Onlinehandel

    Wer Produkte oder Dienstleistungen im Internet anbietet, muss gesetzliche Vorschriften einhalten. Diese sollen Verbraucher schützen und sicherstellen, dass Kunden alle relevanten Informationen erhalten. Fehlende Angaben können teuer werden, denn Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände sind möglich.

    Pflichtinformationen für deine Kunden

    Deine Kunden müssen über alle Bedingungen informiert werden, die für den Einkauf in deinem Onlineshop gelten. Dazu gehören insbesondere folgende Angaben:

    1. Produkt- und Vertragsdetails

    Die Grundlage jedes rechtssicheren Onlineshops bildet die umfassende Information über deine Produkte und Dienstleistungen. Kunden müssen bereits vor dem Kauf alle wesentlichen Details kennen, die für ihre Kaufentscheidung relevant sind.

    • Wesentliche Merkmale der Ware oder Dienstleistung
    • Informationen zum Vertragsabschluss
    • Mindestlaufzeit bei langfristigen Verträgen
    • Klare Angaben zur Lieferzeit (z. B. „3 bis 5 Tage“; unklare Angaben wie „bald verfügbar“ sind nicht erlaubt)
    • Eventuelle Liefervorbehalte oder Ersatzlieferungen in gleicher Qualität und zum gleichen Preis

    2. Preise und Zusatzkosten

    Die korrekte Preisdarstellung ist ein zentraler Baustein rechtssicherer Onlineshops. Kunden haben das Recht, alle anfallenden Kosten bereits vor dem Kauf zu kennen.

    • Gesamtpreis inkl. aller Steuern und Gebühren – der Gesamtpreis muss alle Steuern und Gebühren enthalten und deutlich sichtbar sein. Eine separate Ausweisung der Mehrwertsteuer ist bei B2C-Geschäften optional, bei B2B-Geschäften hingegen üblich. Wichtig ist, dass der Endpreis, den der Kunde tatsächlich zahlen muss, unmissverständlich erkennbar ist.
    • Versandkosten (bei Speditionsware gesondert anzugeben) – Bei Standardversand genügt eine pauschale Angabe, bei Speditionsware oder besonderen Versandarten sind detailliertere Informationen erforderlich. Kostenloser Versand ab einem bestimmten Bestellwert ist ein beliebtes Marketinginstrument, muss aber klar kommuniziert werden.
    • Zusätzliche Kosten oder Steuern, die nicht über den Anbieter abgeführt werden. Dies betrifft beispielsweise Zollgebühren bei internationalen Lieferungen oder spezielle Entsorgungsgebühren.

    3. Zahlung, Lieferung und Widerruf

    Die Information über Zahlungs- und Lieferbedingungen sowie Widerrufsrechte ist besonders wichtig, da sie die Rechte und Pflichten beider Vertragsparteien definiert.

    • Akzeptierte Zahlungsmethoden und Versandarten – Kunden müssen wissen, welche Optionen ihnen zur Verfügung stehen und ob eventuell zusätzliche Gebühren anfallen. Bei neuen oder ungewöhnlichen Zahlungsmethoden sind erklärende Hinweise hilfreich.
    • Bestehen oder Nichtbestehen eines Widerrufsrechts, inklusive Fristen und Bedingungen
    • Bereitstellung der Widerrufsbelehrung und des Widerrufsformulars (z. B. per E-Mail oder als Ausdruck mit der Lieferung) – Die Widerrufsbelehrung muss in verständlicher Sprache verfasst sein und kann per E-Mail versandt oder der Lieferung beigelegt werden. Ein Widerrufsformular vereinfacht den Prozess für Kunden, auch wenn dessen Verwendung nicht verpflichtend ist.

    4. Zusätzliche Angaben

    Vollständigkeit zahlt sich aus – verschiedene weitere Informationen runden das Pflichtprogramm ab und tragen zur Rechtssicherheit bei.

    • Mehrkosten für spezielle Kommunikationswege (z. B. gebührenpflichtige Hotlines)
    • Gültigkeitsdauer befristeter Angebote
    • Technische Schritte bis zum Vertragsschluss
    • Speicherung des Vertragstextes und Zugänglichkeit für den Kunden
    • Vertragsabschluss in verfügbaren Sprachen
    • Bestehende Herstellergarantien
    • Falls dein Shop bestimmten Verhaltenskodizes folgt, entsprechende Informationen dazu
    • Link zur Online-Streitbeilegung: EU-Online-Streitbeilegung
    • Angabe, ob dein Unternehmen an einer Verbraucherschlichtung teilnimmt

    5. Datenschutzhinweise

    Die DSGVO verlangt umfassende Informationen über die Verarbeitung personenbezogener Daten. Diese Informationen müssen leicht verständlich und jederzeit zugänglich sein.

    • Arten der erhobenen Daten
    • Zweck und Rechtsgrundlage der Datenverarbeitung
    • Empfänger der Daten und Verarbeitung in Drittländern
    • Rechte der Betroffenen
    • Kontaktdaten eines Datenschutzbeauftragten oder einer zuständigen Person im Unternehmen

    B2B oder B2C? Klare Kennzeichnung ist Pflicht!

    Betreibst du einen Onlineshop nur für Gewerbetreibende (B2B), muss dies klar und deutlich gekennzeichnet sein. Der Hinweis muss sofort ersichtlich sein und darf nicht nur in den AGB stehen.

    Falls ein Shop als reiner B2B-Shop anerkannt werden soll, gelten folgende Voraussetzungen:

    • Ein gut sichtbarer Hinweis, dass nur gewerbliche Kunden bestellen dürfen
    • Dieser Hinweis muss auf jeder Seite des Shops erscheinen
    • Die gewerbliche Eigenschaft des Kunden sollte vor dem Kauf durch eine Checkbox bestätigt werden (nahe beim Bestellbutton)

    Andernfalls könnten Verbraucher annehmen, dass dein Shop auch für sie gilt, und sich auf ihre Rechte, wie das Widerrufsrecht, berufen.

    Wer gilt als Onlinehändler?

    Folgende Anbieter gelten als Onlinehändler:

    • Betreiber von Onlineshops und Auktionsplattformen
    • Anbieter von Webseiten mit direkter Bestellmöglichkeit

    Nicht als Onlinehändler gelten Anbieter, die ihre Produkte nur online präsentieren, den Kauf aber telefonisch oder per E-Mail abwickeln. Dennoch haben auch sie spezielle Informationspflichten.

    Widerrufsrecht: Was gilt für Onlinekäufe?

    Kauft ein Verbraucher online, per Telefon, E-Mail oder Fax, hat er in der Regel ein 14-tägiges Widerrufsrecht. Das gilt für Waren und Dienstleistungen.

    • Die Frist beginnt mit Erhalt der Ware. Bei Teillieferungen startet sie mit der letzten Lieferung.
    • Bei Dienstleistungen beginnt die Frist mit Vertragsschluss.
    • Die 14-tägige Frist kann verlängert, aber nicht verkürzt werden.

    Bestimmte Artikel, wie individuell angefertigte Ware oder Hygieneartikel, können vom Widerrufsrecht ausgeschlossen sein. Kunden müssen darüber vor der Bestellung informiert werden.

    Widerrufsbelehrung und -formular Onlinehändler müssen eine korrekte Widerrufsbelehrung und ein Widerrufsformular bereitstellen. Dafür gibt es gesetzliche Muster, die nicht verändert werden sollten. Fehler oder veraltete Texte können zu Abmahnungen führen.

    Achtung: Fehlt die Belehrung oder ist sie fehlerhaft, läuft die Widerrufsfrist nicht. Verbraucher können dann bis zu 12 Monate und 14 Tage später widerrufen.

    Ein Widerruf ist formlos möglich. Der Kunde muss lediglich eindeutig erklären, dass er den Vertrag rückgängig machen will.

    Widerrufsrecht für gewerbliche Kunden? Gewerbliche Kunden haben kein Widerrufsrecht. Falls dein Shop sowohl für Verbraucher als auch für Gewerbetreibende offen ist, könnten letztere dennoch ein Widerrufsrecht geltend machen. Falls du dies vermeiden willst, solltest du in den AGB ausdrücklich festhalten, dass das Widerrufsrecht nur für Verbraucher gilt.

    Rücksendekosten bei Widerruf

    Falls in den AGB festgelegt, trägt der Kunde die Kosten für die Rücksendung. Die Hinsendekosten müssen dem Kunden erstattet werden.

    Häufig gestellte Fragen

    Wo fange ich bei der Erstellung eines Verfahrensverzeichnisses an?

    Liste deine Datenverarbeitungen auf, indem du

    1. ermittelst, welche Daten du verarbeitest
    2. warum du diese verarbeitest
    3. wie du diese verarbeitest

    Wann muss ich die Daten löschen?

    Folgende Schritte können dir dabei helfen, die richtige Speicherdauer zu finden:

    1. finde heraus, welche Daten du hast
    2. liste die Gründe auf, warum du sie brauchst
    3. prüfe oder lass @legallivinghub für dich prüfen, ob du gesetzlich zur Aufbewahrung verpflichtet bist
    4. wenn die Daten zu mehreren Zwecken benötigt werden und du hier unterschiedliche Löschfristen hast, nimm die längste Speicherdauer (hier gibts noch ein paar Punkte zu beachten)
    5. lege ein entsprechendes Löschmechanismus fest

    Was muss ich bei einer Newsletter-Einwilligung beachten?

    Es gibt rechtliche Anforderungen, wie eine Newsletter-Einwilligung formuliert werden soll. Hier sind die wichtigsten Punkte:

    • Freiwillig (also kein Opt-out)
    • Klar und verständlich
    • Enthält alle Informationen (wer,bekommt welche Daten und wofür)
    • Widerruf Möglichkeit
    • Link zu Datenschutzhinweisen

    Aber es ist noch nicht alles! Im technischen Hintergrund sollten weitere Schritte vorgenommen werden, wie Speicherung der Einwilligung, Verifizierung der Daten etc.

    Melde dich bei LLH, wenn du Unterstützung bei der Gestaltung deiner Newsletter-Prozesse brauchst!

    Kann ich meine Rechtstexte selbst erstellen?

    Du kannst deine eigenen AGB erstellen!

    Es gibt keine gesetzliche Pflicht zur Nutzung von AGB oder dazu, sie professionell erstellen zu lassen.  Wenn du deine vorgefertigten Vertragsbedingungen selbst gestalten möchtest, können dir Generatoren für AGB oder AGB-Muster weiterhelfen. 

    So beginnst du: 

    1.  Recherche: Informiere dich über die rechtlichen Anforderungen und Bestandteile von AGB.

    2.  Generator nutzen: Verwende einen Online-Generator für AGB oder lade ein AGB-Muster herunter.

    3.  Anpassung: Passe die generierten AGB an dein spezielles Geschäft und deine individuellen Anforderungen an. 

    Was gehört unter die Produktbeschreibung?

    MUSS: Detaillierte Infos zum Produkt, Materialien, Größe, Gewicht, Anwendungshinweise.

    TABU: Irreführende Angaben, übertriebene Versprechungen, fehlende gesetzliche Pflichtangaben, Selbstverständlichkeiten

    Wie sollten die Links in die Rechtstexte eingebunden werden?

    Links sollen immer aktiv sein, anklickbar und als externe deutlich gekennzeichnet, damit die KundInnen wissen, dass sie deine Webseite verlassen.

    Manche Webseiten verwenden eine Weiterleitung-Unterseite, auf der die KundInnen eindeutig informiert werden „Achtung du wirst auf eine externe Seite weitergeleitet“.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.