Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt

  • Künstliche Intelligenz & Recht

    15.01.2026

    Rechtliche Entwicklungen und Risiken

    Stand Januar 2026

    Der Einsatz von Künstlicher Intelligenz (KI) ist inzwischen fester Bestandteil unternehmerischer, medialer und kreativer Prozesse. Parallel dazu nimmt die rechtliche Relevanz des Themas deutlich zu. Aktuelle Gerichtsentscheidungen zeigen, dass KI-Nutzung erhebliche urheberrechtliche, persönlichkeitsrechtliche, datenschutzrechtliche und haftungsrechtliche Risiken mit sich bringt.

    Urheberrechtliche Risiken bei der KI-Nutzung

    Der Einsatz von KI-Systemen ist rechtlich nur dann zulässig, wenn ausschließlich eigene Inhalte oder Inhalte verwendet werden, für die eine ausreichende Lizenz besteht. In der Praxis entstehen besondere Risiken durch sogenannte Memorisationseffekte. KI-Modelle können urheberrechtlich geschützte Texte, Bilder oder Programmiercode wörtlich oder in wesentlichen Teilen wiedergeben. Wird ein solcher Output weiterverbreitet oder kommerziell genutzt, kann dies zu einer Urheberrechtsverletzung führen.

    Besonders risikobehaftet ist der KI-Einsatz im Journalismus, wie unter anderem die Klage der New York Times gegen einen KI-Anbieter zeigt. Auch im Bereich der Werbetexte, im Grafik- und Designbereich sowie bei der Programmierung bestehen erhebliche Gefahren, da urheberrechtlich relevante Übernahmen häufig schwer erkennbar sind.

    Unternehmen sollten daher klare organisatorische Maßnahmen ergreifen. Dazu gehört die Einführung verbindlicher KI-Richtlinien, die Sensibilisierung und Schulung der Mitarbeitenden sowie eine verpflichtende Endkontrolle von KI-generierten Inhalten in risikoreichen Bereichen. Ergänzend empfiehlt sich die Einführung eines Vier-Augen-Prinzips, um Rechtsverletzungen frühzeitig zu vermeiden.

    Persönlichkeitsrecht und Voice Cloning

    (LG Berlin II, Urt. v. 20.08.2025 – 2 O 202/ 24 „KI-Stimme“ (Berufung anhängig)

    Das Landgericht Berlin hat entschieden, dass auch die Stimme als Ausfluss des allgemeinen Persönlichkeitsrechts rechtlich geschützt ist. In dem zugrunde liegenden Fall klagte ein bekannter Synchronsprecher, der unter anderem als deutsche Stimme von Bruce Willis und Kurt Russell bekannt ist, gegen einen YouTube-Kanal mit rund 190.000 Abonnenten. Der Kanal nutzte KI-Software zur Stimmerzeugung, ohne die Zustimmung des Sprechers einzuholen, und veröffentlichte politisch rechtsgerichtete Inhalte. In den Kommentaren erkannten zahlreiche Nutzer die Stimme eindeutig wieder.

    Das Gericht stellte klar, dass bereits eine Zuordnungsverwirrung beim Publikum ausreicht, um eine Persönlichkeitsrechtsverletzung anzunehmen. Eine vollständige Identitätsübernahme sei nicht erforderlich. Dem Kläger wurde ein Schadensersatz in Höhe von 2.000 Euro pro veröffentlichter Audiodatei zugesprochen.

    Die Entscheidung reiht sich in eine internationale Entwicklung ein. Bereits 2023 führten KI-bezogene Streitigkeiten zu monatelangen Streiks der US-Schauspielergewerkschaft. In Deutschland wurden Ende 2024 erstmals Tarifverträge mit expliziten KI-Regelungen abgeschlossen. Besonders im Games-Bereich und bei der Lokalisierung von Inhalten gewinnt das Thema zunehmend an Bedeutung.

    Datenschutz und KI-Training

    (OLG Köln – Meta Beschl. Vo. 23.05.2025, Az. 15 Ukl. 2725)

    Das Oberlandesgericht Köln hatte über die Frage zu entscheiden, ob Meta öffentlich zugängliche Inhalte von Facebook und Instagram für das Training eigener KI-Modelle verwenden darf. Die Verbraucherzentrale Nordrhein-Westfalen hatte gegen dieses Vorhaben geklagt, blieb jedoch erfolglos. Das Gericht verneinte sowohl einen kartellrechtlichen Verstoß als auch einen datenschutzrechtlichen Verstoß und erkannte ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO an.

    Nach Auffassung des Gerichts verarbeitete Meta ausschließlich Inhalte, die für andere Nutzer öffentlich sichtbar waren. Die betroffenen Personen hätten diese Daten bewusst öffentlich zugänglich gemacht. Zudem habe Meta die Nutzer vorab informiert und eine Widerspruchsmöglichkeit eingeräumt. Das Argument, es würden gezielt Gesundheitsdaten verarbeitet, wies das Gericht zurück, da keine gezielte Suche nach sensiblen Informationen erfolge und die bloße Verarbeitung großer Datenmengen datenschutzrechtlich nicht per se unzulässig sei.

    Praktisch bedeutet diese Entscheidung, dass Social-Media-Inhalte rechtlich weitgehend als öffentlich anzusehen sind. Gleichzeitig ist zu berücksichtigen, dass viele internationale KI-Anbieter ihre Modelle ohne vergleichbare europäische Schutzmechanismen trainieren. KI-Technologien erweitern die Möglichkeiten des Zugriffs, der Verknüpfung und der Analyse von Daten erheblich.

    Haftung für „halluzinierende“ KI

    (LG Hamburg – Grok Beschl. Az.324 O 461/25)

    Das Landgericht Hamburg hatte sich mit der Haftung für fehlerhafte KI-Aussagen zu befassen. In dem Verfahren klagte Campact e. V. gegen den KI-Bot „Grok“, der auf der Plattform X betrieben wird. Der Bot hatte fälschlich behauptet, Campact erhalte erhebliche finanzielle Mittel aus dem Bundeshaushalt.

    Das Gericht wendete die Grundsätze der Störerhaftung an und ging davon aus, dass sich der Betreiber die Aussagen der KI zu eigen mache. Daraus folge ein verschuldensunabhängiger Unterlassungsanspruch. Die Entscheidung fiel im Eilverfahren und enthält lediglich eine sehr knappe Begründung, ohne eine differenzierte Auseinandersetzung mit KI-spezifischen Besonderheiten. Auch die praktische Umsetzbarkeit der Anforderungen an Betreiber bleibt offen.

    Für Anbieter von KI-Systemen ergeben sich daraus erhebliche Konsequenzen. Erforderlich sind mehrstufige Kontroll- und Freigabeprozesse sowie technische Maßnahmen wie Content-Filter oder eine stärkere Quellenverifikation. Zusätzlich kann der Abschluss eines Versicherungsschutzes sinnvoll sein. Aktuelle Vorfälle, etwa die Generierung sexualisierter Darstellungen von Kindern durch KI-Systeme oder KI-basierte Werbeempfehlungen im öffentlich-rechtlichen Rundfunk ohne Sendungsbezug, verdeutlichen den bestehenden Handlungsbedarf.

    Fazit

    Künstliche Intelligenz eröffnet erhebliche wirtschaftliche und kreative Potenziale, bewegt sich rechtlich jedoch keineswegs in einem rechtsfreien Raum. Unternehmen, Plattformbetreiber und Kreative sollten frühzeitig klare Governance-Strukturen, juristische Prüfprozesse und technische Sicherungsmechanismen etablieren, um Haftungsrisiken und Reputationsschäden zu vermeiden.

  • KI-Verordnung in der Praxis: unser AI Act Quick Check als unternehmerische Stütze

    05.01.2026

    Die EU-KI-Verordnung ((EU) 2024/1689) ist seit August 2024 in Kraft – und viele Unternehmen stehen vor derselben Frage:

    Betrifft uns das überhaupt? Und wenn ja: Was müssen wir konkret tun?

    Genau hier setzen wir an. Wir übersetzen komplexe KI-Regulierung in klare, umsetzbare Handlungsschritte für dein Unternehmen. Keine theoretischen Gutachten, sondern praxisnahe Entscheidungsgrundlagen.

    Unser AI Act Quick Check haben wir speziell für Unternehmen entwickelt, die rechtssicher KI-Tools nutzen oder auch anbieten wollen.

    Nun wollen wir mal herausfinden, ob dein Unternehmen unter die Vorschriften der KI Verordnung fallen.

    Wer fällt unter die KI-Verordnung?

    Die KI-Verordnung gilt für deutlich mehr Unternehmen, als viele zunächst denken. Betroffen bist du, wenn du:

    • KI-Systeme entwickelst oder bereitstellst (auch wenn du selbst nicht als „Tech-Unternehmen“ auftrittst)
    • KI-Systeme unter eigenem Namen in Verkehr bringst (z.B. White-Label-Lösungen)
    • KI-Systeme geschäftlich nutzst – etwa in HR, Kundenservice, Produktion oder Marketing
    • KI-Systeme importierst oder vertreibst

    Entscheidend ist: Auch die bloße Nutzung von KI kann dich zum Adressaten der Verordnung machen – insbesondere bei Hochrisiko-Anwendungen.

    Typische Beispiele aus der Praxis:

    • Mittelständische Produktionsbetriebe mit KI-gestützter Qualitätskontrolle
    • Personaldienstleister, die KI-basierte Bewerbungsscreenings einsetzen
    • Online-Händler mit KI-gesteuerten Empfehlungssystemen
    • Unternehmen, die Chatbots im Kundenservice verwenden
    • Firmen, die KI für Bonitätsprüfungen oder Vertragsanalysen nutzen

    Die vier Risikokategorien: Deine Pflichten auf einen Blick

    Die KI-Verordnung arbeitet mit einem risikobasierten Ansatz. Je höher das Risiko, desto strenger die Anforderungen:

    1. Verbotene KI-Systeme (Art. 5 AI Act)

    Verbotene KI-Systemen nutzt du eher unwahrscheinlich in deinem Unternehmen. Darunter fällt die KI-Nutzung, die folgende Zwecke verfolgt: z.B. Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit Ausnahmen), manipulative Techniken, die Schaden verursachen oder Ausnutzung von Schutzbedürftigkeit.

    Deine Pflicht, solltest du tatsächlich mit deinem Unternehmen solche Zwecke bei der KI-Nutzung verfolgen: Sofortige Einstellung solcher Systeme. Bußgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes.

    2. Hochrisiko-KI-Systeme (Art. 6, Anhang III)

    Hochrisiko KI-Systeme kommen schon eher in der Praxis vor. Da müsstest du auf die KI-Nutzungen und ihre Zwecke in deinem Unternehmen genauer schauen.

    Typische Anwendungsfälle:

    • Personalauswahl und Mitarbeiterüberwachung
    • Zugang zu Bildung und Berufsbildung
    • Kreditwürdigkeitsprüfungen
    • Biometrische Identifikation
    • Kritische Infrastruktur
    • Notfalleinsätze

    Must-have To-dos:

    • Risikomanagementsystem einrichten (Art. 9)
    • Datengovernance sicherstellen – Trainings- und Testdaten dokumentieren (Art. 10)
    • Technische Dokumentation erstellen und pflegen (Art. 11)
    • Automatische Protokollierung implementieren (Art. 12)
    • Transparenz schaffen – Nutzer müssen informiert werden (Art. 13)
    • Menschliche Aufsicht gewährleisten (Art. 14)
    • Konformitätsbewertung durchführen (Art. 43)
    • CE-Kennzeichnung anbringen (Art. 49)
    • EU-Konformitätserklärung ausstellen

    Zeitachse: Vollständige Anwendbarkeit ab 2. August 2026

    Bußgeldrisiko: Bis zu 15 Mio. EUR oder 3% des Jahresumsatzes

    3. KI mit begrenztem Risiko (Art. 50)

    Solche Systemen finden sich mittlerweile in sehr vielen Unternehmen. Sie betreffen vor allem Chatbots und Conversational AI, Emotionserkennungssysteme, Deepfakes und synthetische Inhalte.

    Must-have To-dos:

    Transparenzpflichten erfüllen – Nutzer müssen wissen, dass sie mit KI interagieren
    Bei synthetischen Inhalten: Kennzeichnungspflicht
    Dokumentation der Nutzungsbedingungen

    Zeitachse: Größtenteils bereits ab 2. Februar 2025 anwendbar

    4. Minimales Risiko

    Die meisten KI-Anwendungen fallen in diese Kategorie – etwa einfache Spam-Filter oder Empfehlungssysteme ohne sensible Entscheidungen.

    Pflichten: Weitgehend freiwillige Verhaltenskodizes (Art. 95)

    Mehr zu den KI-Systemen haben wir in unserem Artikel „Was ist ein KI-System? „

    Dein konkreter Fahrplan: Der AI Act Quick Check

    Viele Unternehmen wissen nicht, wo sie stehen. Genau dafür haben wir den AI Act Quick Check entwickelt.

    Was du bekommst:

    1. Bestandsaufnahme deiner KI-Nutzung
    Wir identifizieren gemeinsam, wo in deinem Unternehmen KI-Systeme zum Einsatz kommen – oft mehr, als auf den ersten Blick ersichtlich.

    2. Klare Risikoeinstufung
     Jeder Use Case wird präzise kategorisiert:

    • Verboten? → Sofortmaßnahmen erforderlich
    • Hochrisiko? → Compliance-Roadmap notwendig
    • Begrenztes Risiko? → Transparenzpflichten beachten
    • Minimales Risiko? → Keine unmittelbaren Pflichten

    3. Konkrete Handlungsempfehlungen
     Für jeden identifizierten Anwendungsfall bekommst du

    • die relevanten Pflichten und Risiken im Überblick
    • Priorisierung nach Dringlichkeit

    4. Ergebnis-Memo
    Kompakt aufbereitet für deine Geschäftsführung – keine 50-seitigen Gutachten, sondern handlungsorientierte Entscheidungsvorlagen.

    AI Act Quick Check

    Warum gerade jetzt handeln?

    • 2. Februar 2025: Verbotene KI-Systeme müssen eingestellt sein
    • 2. August 2025: Erste Pflichten für Hochrisiko-Systeme greifen
    • 2. August 2026: Vollständige Anwendbarkeit der Hochrisiko-Anforderungen
    • 2. August 2027: Auch bestehende Hochrisiko-Systeme müssen compliant sein

    Unternehmen, die jetzt die Weichen stellen, vermeiden:

    • Hohe Bußgelder und Reputationsschäden
    • Hektische Last-Minute-Maßnahmen
    • Wettbewerbsnachteile gegenüber regulierungskonformen Mitbewerbern

    Für wen ist der AI Act Quick Check ideal?

    • Mittelständische Unternehmen, die KI nutzen, aber keine eigene Rechtsabteilung haben
    • Geschäftsführungen, die schnell Entscheidungssicherheit brauchen
    • Unternehmen in der Digitalisierung, die ihre KI-Strategie absichern wollen
    • Alle, die wissen wollen: Sind wir betroffen – und wenn ja, wie sehr?

    Der Unterschied zu IT-Beratern

    IT-Berater können Ihnen Systeme implementieren. Wir übersetzen die rechtlichen Anforderungen in technische und organisatorische Maßnahmen – und umgekehrt. Wir sprechen beide Sprachen: Jura und Business.

    Aus Unsicherheit wird Handlungsfähigkeit

    Die KI-Verordnung mag komplex sein – deine Antwort darauf muss es nicht sein. Mit dem AI Act Quick Check erhältst du in kurzer Zeit die Klarheit, die du für fundierte unternehmerische Entscheidungen brauchst.

    Lassen Sie uns gemeinsam aus regulatorischer Unsicherheit unternehmerische Klarheit machen. Buche jetzt einen ersten Termin über Calendly.

    Achtung, nicht nur DSGVO überschneidet sich stark mit der KI-Verordnung. Hier lernst du, dass auch Cyber Resilience Act einen Einfluss auf dein Unternehmen haben könnte – unser Artikel „CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung„.

  • GEMA vs. OpenAI: Wegweisendes Urteil zum Urheberrecht im KI-Zeitalter

    26.11.2025

    Der Fall, der die KI-Branche erschüttert

    Am 11. November 2025 fällte das Landgericht München eine wegweisende Entscheidung*, die weitreichende Folgen für die Entwicklung künstlicher Intelligenz haben könnte. Die GEMA, Deutschlands größte Verwertungsgesellschaft für Musikrechte, hatte gegen OpenAI geklagt – und gewonnen. Der Vorwurf: ChatGPT habe urheberrechtlich geschützte Songtexte ohne Lizenz genutzt und diese nahezu originalgetreu wiedergegeben.

    *LG München I, Endurteil v. 11.11.2025 – 42 O 14139/24– zu finden unter gesetze-bayern.de

    Die Kernfrage: Was ist Text & Data Mining?

    OpenAI hatte sich in seiner Verteidigung auf das sogenannte Text & Data Mining (TDM) berufen. Diese im Urheberrecht verankerte Ausnahme erlaubt es grundsätzlich, geschützte Werke für die automatisierte Analyse großer Datenmengen zu nutzen. Die Idee dahinter: Wissenschaft und Forschung sollen Muster und Zusammenhänge in Texten erkennen können, ohne für jeden einzelnen Text eine Lizenz erwerben zu müssen.

    Am 11. November 2025 fällte das Landgericht München eine wegweisende Entscheidung*, die weitreichende Folgen für die Entwicklung künstlicher Intelligenz haben könnte. Die GEMA, Deutschlands größte Verwertungsgesellschaft für Musikrechte, hatte gegen OpenAI geklagt – und gewonnen. Der Vorwurf: ChatGPT habe urheberrechtlich geschützte Songtexte ohne Lizenz genutzt und diese nahezu originalgetreu wiedergegeben.

    Das Münchner Gericht stellte jedoch klar: Was OpenAI betrieben hat, geht über reines TDM hinaus. Der entscheidende Unterschied liegt in der Art der Nutzung. Während TDM typischerweise Daten analysiert und daraus neue Erkenntnisse gewinnt, hatte ChatGPT die Songtexte offenbar so verarbeitet, dass sie später fast wortgleich ausgegeben werden konnten.

    Das Problem der „Memorisierung“

    Ein zentraler Begriff in diesem Rechtsstreit ist die sogenannte „Memorisierung“. Darunter versteht man den Prozess, bei dem KI-Systeme Trainingsdaten nicht nur für das Lernen von Mustern nutzen, sondern diese Inhalte faktisch speichern und später reproduzieren können.

    Bei großen Sprachmodellen wie ChatGPT kann dies geschehen, wenn bestimmte Texte während des Trainings so häufig verarbeitet werden oder so prägnant sind, dass das Modell sie quasi „auswendig lernt“. Das System entwickelt dann die Fähigkeit, diese Texte nahezu identisch wiederzugeben – ähnlich wie ein Mensch, der ein Gedicht auswendig gelernt hat.

    Genau diese Memorisierung wurde OpenAI zum Verhängnis. Das Gericht argumentierte: Wenn eine KI urheberrechtlich geschützte Werke so stark internalisiert, dass sie diese originalgetreu wiedergeben kann, handelt es sich nicht mehr um eine zulässige Analyse, sondern um eine unerlaubte Vervielfältigung und öffentliche Wiedergabe.

    Die rechtliche Einordnung

    Das Landgericht München zog eine klare Grenze: Ein echtes Training, bei dem Inhalte dauerhaft gespeichert oder später sogar originalgetreu wiedergegeben werden, fällt nicht unter die TDM-Ausnahme. Diese Ausnahme sei nur für die reine Analyse gedacht, nicht für die Reproduktion geschützter Werke.

    Die Entscheidung stellt klar: Nutzt eine KI-Anwendung Liedtexte ohne entsprechende Lizenz und kann diese wiedergeben, verletzt der Entwickler das deutsche Urheberrecht. Dies greift unmittelbar in die wirtschaftlichen Verwertungsinteressen der Urheber ein – schließlich könnten Nutzer die Texte dann über die KI abrufen, statt sie bei lizenzierten Anbietern zu erwerben.

    Reaktionen und Ausblick

    Dr. Tobias Holzmüller, CEO der GEMA, zeigte sich nach dem Urteil kämpferisch: Das Internet sei kein Selbstbedienungsladen und menschliche Kreativleistungen keine Gratisvorlagen. Man habe einen Präzedenzfall geschaffen, der klarstelle: Auch Betreiber von KI-Tools müssen sich an das Urheberrecht halten. Die GEMA sieht in dem Urteil eine erfolgreiche Verteidigung der Lebensgrundlage Musikschaffender. (Zitat: gema.de).

    Allerdings ist das Urteil noch nicht rechtskräftig. OpenAI könnte in Berufung gehen, und es bleibt abzuwarten, ob höhere Instanzen die Einschätzung des Landgerichts teilen werden.

    Was bedeutet das für die Zukunft?

    Diese Entscheidung könnte tiefgreifende Auswirkungen auf die Entwicklung und den Einsatz von KI-Systemen haben. Unternehmen müssen möglicherweise ihre Trainingsmethoden überdenken und sicherstellen, dass ihre Modelle keine geschützten Inhalte memorisieren und wiedergeben können. Dies könnte zu technischen Anpassungen führen, etwa durch Filter, die verhindern, dass urheberrechtlich geschützte Texte ausgegeben werden.

    Gleichzeitig wirft das Urteil grundsätzliche Fragen auf: Wie können KI-Entwickler sicherstellen, dass ihre Systeme keine Urheberrechte verletzen? Welche technischen Maßnahmen sind notwendig und praktikabel? Und wie lässt sich Innovation in der KI-Entwicklung mit dem Schutz kreativer Leistungen in Einklang bringen?

    Das Münchner Urteil macht jedenfalls eines deutlich: Die Botschaft „Urheberrechte bleiben bestehen – auch im KI-Zeitalter“ ist bei den Gerichten angekommen. Songtexte und andere kreative Werke sind keine kostenlosen Trainingsressourcen für künstliche Intelligenz. Wer sie nutzen will, muss dafür zahlen – oder technische Wege finden, die eine Memorisierung und Wiedergabe ausschließen.

    Du möchtest mehr zu KI lesen – schau dir unsere Artikeln zu Was ist ein KI-System?  und CRA vs AI-Act an.

    Hast du Fragen zur Verwendung von KI-Systemen? Sichere dir jetzt eine kostenlose Erstberatung!

    Kostenlose 30-minütige Beratung buchen

  • Die KI kann mithören aber DU musst mitdenken

    06.08.2025

    Der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Transkription von Besprechungen wird in Unternehmen und Organisationen immer häufiger genutzt – vor allem zur Steigerung der Effizienz und zur besseren Dokumentation. Dabei wandeln KI-Systeme die gesprochenen Inhalte eines Meetings entweder in Echtzeit oder im Nachhinein in schriftliche Form um.

    Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.

    In diesem Beitrag erhältst Du einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.

    Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe. Wende Dich direkt an uns

    kostenlose 30-minütige Erstberatung sichern

    Transkription als Verarbeitung personenbezogener Daten

    Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt, stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Denn sobald eine Identifizierbarkeit von Personen möglich ist – egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden – fließen personenbezogene Daten.

    Typische Beispiele:

    • In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.
    • Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.
    • Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.
    • In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.

    Rechtsgrundlage für die Verarbeitung

    Egal ob Du ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzt: Sobald Du Sprache in Text verwandelst und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.

    Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:

    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
    • Tipp: Keine stillschweigende Zustimmung!
      Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.

    Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um:

    • bestimmte Meetings pauschal freizugeben,
    • Bedingungen und Grenzen definieren,
    • die angewendeten Tools freizugeben,
    • die Einwilligungspflicht entfallen lassen.

    Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein.

    Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den Sprechenden überhaupt auffällt.

    Transparenz: Information ist Pflicht!

    Niemand mag böse Überraschungen – schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert.

    Was muss also rein in den Datenschutzhinweis?

    • Wer ist verantwortlich?
    • Warum wird transkribiert?
    • Welche Tools kommen zum Einsatz?
    • Wie lange wird gespeichert?
    • Welche Rechte haben die Teilnehmenden?

    Best Practice: Klare Information z. B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung. Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.

    KI-Dienstleister? Nur mit Vertrag!

    Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!

    Du brauchst:

    • Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
    • Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)
    • Transparenz über Serverstandorte und Sicherheitsstandards

    Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!

    Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:

    • Zugriffsbeschränkungen auf Transkripte
    • Verschlüsselung bei Übertragung und Speicherung
    • Löschfristen und automatisierte Löschmechanismen
    • Auditierung und Protokollierung der Zugriffe

    Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten.

    Auskunftsrecht: Beschäftigte dürfen Transkripte sehen

    Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen – vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.

    Das kann bedeuten:

    • Gespräche mit Vorgesetzten werden herausverlangt.
    • Auch andere Gesprächsteilnehmer sind betroffen.
    • Geschäftsgeheimnisse müssen ggf. geschwärzt werden.

    Verzeichnis von Verarbeitungstätigkeiten

    KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden – einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.

    KI-Verordnung: Mehr als nur Datenschutz

    Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Du KI-Systeme zur Aufzeichnung und/oder Transkription nutzt, gelten folgende Anforderungen:

    Verbotene Praktiken (Art. 5 KI-VO)
    Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.

    Hochrisiko-KI (Art. 6 Abs. 2 KI-VO)
    Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann Dein Transkriptionssystem als Hochrisiko-KI eingestuft werden – mit deutlich höheren Anforderungen an:

    • Risikobewertung
    • Dokumentation
    • menschliche Aufsicht
    • Transparenzpflichten

    In jedem Fall musst Du dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie

    Best Practices: So setzt Du KI-Transkription sauber um

    • Vorab prüfen, ob wirklich eine Transkription nötig ist – nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)
    • Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten
    • KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“
    • Keine Emotionserkennung einsetzen: Diese Funktion birgt hohes Risiko unter der KI-VO
    • Rollen und Zugriffsrechte klar regeln: Wer darf Transkripte einsehen, ändern oder löschen?
    • Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht
    • Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen – inklusive Vertrag, TOMs und Transparenz zur Datenverarbeitung
    • Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie

    Fazit: KI kann mitschreiben, aber sie braucht klare Regeln

    KI-Transkription ist ein echter Gamechanger – wenn Du sie verantwortungsvoll einsetzt. Datenschutz ist kein Blocker, sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.