Die KI kann mithören aber SIE müssen mitdenken 

05.08.2025

von Lea Imschweiler, LL.M., Rechtsanwältin & Datenschutzbeauftragte | Legal Living Hub & Imschweiler-Legal

Der Einsatz von Künstlicher Intelligenz (KI) zur automatisierten Transkription von Meetings wird in Unternehmen und Organisationen zunehmend zur Effizienzsteigerung und Dokumentation genutzt. Dabei werden im Meeting besprochene Inhalte in Echtzeit oder nachträglich durch KI-basierte Systeme in schriftliche Form übertragen. Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.

In diesem Beitrag erhalten Sie einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.

  1. Transkription als Verarbeitung personenbezogener Daten

Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO. Denn sobald eine Identifizierbarkeit von Personen möglich ist, egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften, oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden, fließen personenbezogene Daten.

Typische Beispiele:

  • In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.

  • Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.

  • Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.

  • In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.

 

  2. Rechtsgrundlage für die Verarbeitung

Egal ob Sie ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzen: Sobald Sie Sprache in Text verwandeln und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.

Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein. 

⚠️Tipp: Keine stillschweigende Zustimmung! 

Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.

Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um

  • bestimmte Meetings pauschal freigeben,

  • Bedingungen und Grenzen definieren,

  • die angewendeten Tools freizugeben,

  • die Einwilligungspflicht entfallen lassen. 

  • Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein

⚠️ Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den sprechenden überhaupt auffällt. 

3. Transparenz: Information ist Pflicht!

Niemand mag böse Überraschungen, schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert

Was muss also rein in den Datenschutzhinweis?

  • Wer ist verantwortlich?

  • Warum wird transkribiert?

  • Welche Tools kommen zum Einsatz?

  • Wie lange wird gespeichert?

  • Welche Rechte haben die Teilnehmenden.

Best Practice: Klare Information z.B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung.  Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.

 

4. KI-Dienstleister? Nur mit Vertrag!

Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!

Du brauchst:

  • Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

  • Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)

  • Transparenz über Serverstandorte und Sicherheitsstandards 

  • ⚠️ Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!

Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:

  • Zugriffsbeschränkungen auf Transkripte

  • Verschlüsselung bei Übertragung und Speicherung

  • Löschfristen und automatisierte Löschmechanismen

  • Auditierung und Protokollierung der Zugriffe

Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten

5. Auskunftsrecht: Beschäftigte dürfen Transkripte sehen

Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen. Vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.

⚠️Das kann bedeuten:

  • Gespräche mit Vorgesetzten werden herausverlangt.

  • Auch andere Gesprächsteilnehmer sind betroffen.

  • Geschäftsgeheimnisse müssen ggf. geschwärzt werden.

6. Verzeichnis von Verarbeitungstätigkeiten

KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden, einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.

 

7. KI-Verordnung: Mehr als nur Datenschutz

Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Sie KI-Systeme zur Aufzeichnung und/oder Transkription nutzen, gelten folgende Anforderungen:

⚠️Verbotene Praktiken (Art. 5 KI-VO)

Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.

⚠️ Hochrisiko-KI (Art. 6 Abs. 2 KI-VO)

Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann dein Transkriptionssystem als Hochrisiko-KI eingestuft werden, mit deutlich höheren Anforderungen an:

  • Risikobewertung

  • Dokumentation

  • menschliche Aufsicht

Transparenzpflichten

In jedem Fall müssen Sie dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie es mit einem KI-System zu tun hat, z. B. durch einen klaren Hinweis zu Gesprächsbeginn.

 

8. Best Practices: So setzen Sie KI-Transkription sauber um

✅ Vorab prüfen, ob wirklich eine Transkription nötig ist, nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)

✅ Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten.

✅ KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“.

✅ Keine Emotionserkennung einsetzen: diese Funktion birgt hohes Risiko unter der KI-VO.

✅ Rollen und Zugriffsrechte klar regeln: wer darf Transkripte einsehen, ändern oder löschen?

✅ Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht.

✅ Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen, inklusive Vertrag, TOMs und Transparenz zu Datenverarbeitung.

✅ Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie.

 

9. Fazit: KI kann mitschreiben, aber sie braucht klare Regeln

KI-Transkription ist ein echter Gamechanger, wenn Sie sie verantwortungsvoll einsetzen. Datenschutz ist kein Blocker sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil