KI-Transkription im Meeting: Praktisch – aber datenschutzrechtlich heikel

KI-gestützte Transkriptionstools wie Granola oder MacWhisper versprechen maximale Produktivität: Automatische Mitschriften, strukturierte Zusammenfassungen, Action-Items ganz ohne manuelle Notizen. Viele Mitarbeiterinnen und Mitarbeiter nutzen solche Werkzeuge bereits im Arbeitsalltag, häufig ohne Rücksprache mit dem Arbeitgeber oder ohne Wissen der anderen Meetingbeteiligten.

Was dabei regelmäßig übersehen wird: Solche Tools verarbeiten personenbezogene Daten, und das ohne eine klare Rechtsgrundlage nach der DSGVO. In diesem Artikel beleuchten wir, welche datenschutzrechtlichen Anforderungen gelten und wie Sie KI-Transkription im Unternehmen sicher und regelkonform einsetzen können.

Was ist KI-Transkription – und warum wird sie so gerne genutzt?

Moderne KI-Transkriptionstools nutzen lokal oder cloudbasiert betriebene Spracherkennungsmodelle – häufig auf Basis der Open-Source-Technologie „Whisper“ von OpenAI. Sie erfassen den Audiostream eines Gesprächs, verarbeiten ihn in Echtzeit und liefern ein schriftliches Protokoll des Gesagten.

Der Komfortgewinn ist unbestreitbar: Meetings lassen sich im Nachgang vollständig nachvollziehen, Entscheidungen sind dokumentiert, und niemand muss gleichzeitig zuhören und mitschreiben. Gerade in hybriden Arbeitsumgebungen mit vielen Videokonferenzen ist das für viele Teams attraktiv.

Das datenschutzrechtliche Problem entsteht, wenn diese Aufnahme ohne Wissen der anderen Gesprächteilnehmer stattfindet oder ohne dass eine geeignete Rechtsgrundlage vorliegt.

Das datenschutzrechtliche Problem

Jedes Meeting, in dem Menschen sprechen, produziert personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO: Namen, Stimmen, Meinungen, Positionen, Entscheidungen. Sobald diese Daten durch ein KI-Tool aufgezeichnet und verarbeitet werden, greift die DSGVO vollumfänglich.

Rechtsgrundlage: Ohne Erlaubnis keine Verarbeitung

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Rechtsgrundlage nach Art. 6 DSGVO vor. Für den Einsatz von KI-Transkriptionstools kommen in der Praxis folgende Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Die betroffene Person hat ausdrücklich eingewilligt. Dies ist häufig die einzig tragfähige Grundlage, erfordert aber eine freiwillige, informierte und eindeutige Zustimmung aller Teilnehmenden – auch externer Gäste.

• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Möglich, aber nur wenn eine sorgfältige Interessenabwägung ergibt, dass die Interessen der Betroffenen nicht überwiegen. Bei verdecktem Einsatz ist das kaum begründbar.

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Nur denkbar, wenn die Transkription unmittelbar für die Vertragsdurchführung erforderlich ist. In der Praxis ist dies selten einschlägig.

⚠️ Achtung: Wer KI-Transkription heimlich einsetzt, verarbeitet personenbezogene Daten ohne jede Rechtsgrundlage. Das ist ein klarer Verstoß gegen Art. 5 und 6 DSGVO – unabhängig davon, ob die Transkription lokal oder in der Cloud erfolgt.

Transparenzpflicht und Informationspflicht

Die DSGVO verpflichtet Verantwortliche, Betroffene nach Art. 13 und 14 DSGVO über die Verarbeitung ihrer Daten zu informieren, und zwar vor oder spätestens zum Zeitpunkt der Erhebung. Das bedeutet:

• Alle Meetingteilnehmer müssen vor Beginn darüber informiert werden, dass ein Transkriptionstool eingesetzt wird.

• Die Information muss Angaben enthalten über Zweck, Rechtsgrundlage, Speicherdauer und bei cloudbasierter Verarbeitung über eine mögliche Datenübertragung in Drittländer.

• Ein verstecktes Symbol in der Taskleiste oder eine allgemeine Datenschutzerklärung auf der Website genügt nicht.

Besondere Datenkategorien nach Art. 9 DSGVO

Werden in einem Meeting besondere Kategorien personenbezogener Daten geäußert, etwa Informationen zur Gesundheit, politischen Meinung, religiösen Überzeugung oder Gewerkschaftszugehörigkeit, greift Art. 9 DSGVO mit erheblich strengeren Anforderungen. Gerade in HR-Gesprächen, Betriebsratsanhörungen oder bei gesundheitlichen Themen kann dies schnell relevant werden, ohne dass die Beteiligten sich dessen bewusst sind.

Datenübertragung in Drittländer

Viele gängige KI-Transkriptionstools, insbesondere cloudbasierte Varianten, übertragen Audiodaten auf Server außerhalb des Europäischen Wirtschaftsraums. Das löst zusätzliche Pflichten nach Kapitel V DSGVO aus: Es muss ein Angemessenheitsbeschluss der EU-Kommission vorliegen oder Standarddatenschutzklauseln (SCC) nach Art. 46 DSGVO müssen vereinbart sein.

💡 Tipp: Tools wie MacWhisper, die das Sprachmodell lokal auf dem Gerät ausführen, vermeiden das Problem der Datenübertragung in Drittländer. Das reduziert das Datenschutzrisiko erheblich, ersetzt aber nicht die Notwendigkeit einer Rechtsgrundlage und Transparenz.

Sind Sie unsicher, ob Ihr Unternehmen KI-Tools datenschutzkonform einsetzt? OSYSCON unterstützt Sie bei der Einführung einer KI-Richtlinie, der Erstellung eines Auftragsverarbeitungsvertrags und der Durchführung einer Datenschutz-Folgenabschätzung. Jetzt Kontakt aufnehmen → osyscon.de/kontakt

Wie KI-Transkription technisch funktioniert

Ein verbreiteter Irrglaube lautet: „Es wird ja nur transkribiert, nicht aufgenommen.“ Technisch ist das falsch. KI-Transkriptionstools zeichnen Audio explizit auf und übergeben es laufend oder anschließend zur Transkription an die jeweils verwendete KI.

Systeme wie Granola greifen auf den System-Audiostream des Rechners zu, puffern den eingehenden Ton und verarbeiten ihn im Hintergrund auf dem Granola-Server zu Text. Lösungen wie MacWhisper zeichnen das Meeting vollständig auf und übergeben es danach lokal an die Transkription.

Aus datenschutzrechtlicher Sicht ist entscheidend: Personenbezogene Daten werden erhoben, verarbeitet und gespeichert. Ob das Endprodukt ein Audiofile oder ein Texttranskript ist, ändert daran nichts. Art. 4 Nr. 2 DSGVO definiert Verarbeitung weit genug, um beides zu erfassen.

DSGVO-Check: Beliebte Tools im Vergleich

Nicht alle KI-Transkriptionstools sind datenschutzrechtlich gleich zu bewerten. Die wichtigsten Unterschiede liegen im Verarbeitungsort, der Drittlandproblematik, dem Vorhandensein eines Auftragsverarbeitungsvertrags und dem eingebauten Einwilligungsmechanismus.

🔴 Granola

• Verarbeitung: Cloud-Server (USA)

• Drittlandtransfer: Ja – kein EU-Rechenzentrum

• AVV: Verfügbar, muss aktiv abgeschlossen werden

• Einwilligung: Kein automatischer Hinweis an Teilnehmer – liegt vollständig beim Nutzer

• DSGVO-Risiko: Hoch – Drittlandtransfer, cloudbasierte Audioverarbeitung, keine eingebauten Einwilligungsmechanismen

🟡 MacWhisper

• Verarbeitung: Lokal auf dem Gerät (On-Device)

• Drittlandtransfer: Nein (bei lokaler Nutzung ohne API)

• AVV: Nicht erforderlich bei reiner Lokalverarbeitung

• Einwilligung: Kein automatischer Hinweis an Teilnehmer – liegt vollständig beim Nutzer

• DSGVO-Risiko: Mittel – kein Drittlandtransfer, aber Einwilligung und interne Richtlinie bleiben Pflicht

🟢 Microsoft Teams (Transkription)

• Verarbeitung: Microsoft-Cloud, EU Data Boundary verfügbar

• Drittlandtransfer: Reduziert bei aktivierter EU Data Boundary

• AVV: Im Microsoft-Produktvertrag enthalten (Data Processing Agreement)

• Einwilligung: Beim Start der Transkription werden alle Teilnehmer automatisch stummgeschaltet und ihr Video deaktiviert. Ein Hinweisbanner informiert über die laufende Transkription. Durch das aktive Reaktivieren von Mikrofon oder Kamera geben Teilnehmer ihre konkludente Einwilligung. Wer nicht einwilligt, kann das Meeting verlassen.

• DSGVO-Risiko: Gering bis Mittel – bei korrekter Konfiguration und aktivierter EU Data Boundary das datenschutzfreundlichste der verbreiteten Tools. Der eingebaute Einwilligungsmechanismus reduziert das Compliance-Risiko erheblich.

🟡 Zoom

• Verarbeitung: Cloud-Server (USA), EU-Datenresidenz optional wählbar

• Drittlandtransfer: Reduzierbar mit EU-Datenresidenz-Option

• AVV: Data Processing Agreement (DPA) verfügbar

• Einwilligung: Zoom zeigt beim Start einer Aufnahme einen Consent-Dialog für alle Teilnehmer. Durch Verbleib im Meeting erklären Teilnehmer ihre Einwilligung; alternativ können sie das Meeting verlassen. Kein automatisches Stummschalten. Wichtig: Enterprise-Admins können den Consent-Dialog für interne Nutzer deaktivieren – der Disclaimer bleibt dann nur für externe Gäste aktiv. Zoom AI Companion (KI-Zusammenfassungen) hat zusätzliche Einwilligungsprobleme: Hosts können KI-Analyse aktivieren, ohne explizite Einwilligung aller Teilnehmer einzuholen.

• DSGVO-Risiko: Mittel – Consent-Dialog vorhanden, aber kein Stummschalten wie Teams. Bei deaktiviertem Disclaimer für interne Nutzer und aktivem Zoom AI Companion steigt das Risiko auf Hoch.

🟡 Google Meet (Transkription via Workspace)

• Verarbeitung: Google Cloud, EU-Datenregion wählbar mit Google Workspace

• Drittlandtransfer: Reduzierbar mit EU-Datenregion

• AVV: Im Google Workspace-Vertrag enthalten

• Einwilligung: Kein aktiver Consent-Dialog, kein Stummschalten. Teilnehmer erhalten lediglich eine Bildschirm-Benachrichtigung wenn Transkription läuft. In bestimmten Workspace-Konfigurationen kann die Transkription standardmäßig für alle Meetings aktiv sein.

• DSGVO-Risiko: Mittel bis Hoch – kein aktiver Einwilligungsmechanismus. Zusätzlich laufen seit Anfang 2026 Untersuchungen europäischer Datenschutzbehörden wegen des Vorwurfs, dass Gemini AI Notes private Meetinginhalte für KI-Training genutzt hat.

🔴 Otter.ai

• Verarbeitung: Cloud-Server (USA)

• Drittlandtransfer: Ja – kein EU-Rechenzentrum

• AVV: Verfügbar im Business-Tarif, nicht im Free-Plan

• Einwilligung: Kritisch – OtterPilot tritt dem Meeting als eigenständiger Bot bei und fragt standardmäßig nur den Meeting-Host, nicht alle Teilnehmer. Vorab-Benachrichtigungen per E-Mail sind ausschließlich im Enterprise-Plan verfügbar. Otter.ai steht seit August 2025 wegen dieser Praxis unter einer US-Sammelklage (Brewer v. Otter.ai).

• DSGVO-Risiko: Sehr hoch – Drittlandtransfer, kein AVV im kostenlosen Tarif, fehlende Einwilligung aller Teilnehmer als Systemstandard, laufende rechtliche Auseinandersetzungen in den USA

📅 Stand: März 2026. Datenschutzpraktiken von Anbietern können sich ändern. Prüfen Sie die Datenschutzerklärung und AVV-Bedingungen Ihres Tools regelmäßig neu.

Weitere rechtliche Risiken

Betriebliche Mitbestimmung

Wird ein KI-Transkriptionstool im Unternehmen eingeführt oder geduldet, hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht, da solche Tools technische Einrichtungen darstellen, die geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen.

Arbeitsrechtliche Konsequenzen

Mitarbeiterinnen oder Mitarbeiter, die das Tool ohne Genehmigung einsetzen, riskieren eine Abmahnung oder bei wiederholtem Verstoß eine Kündigung. Arbeitgeber, die einen nicht regelkonformen Einsatz dulden, können bei Datenschutzverletzungen als Verantwortliche nach DSGVO haften.

Strafrechtliche Dimension: § 201 StGB

§ 201 Abs. 1 Nr. 1 StGB stellt die unbefugte Aufnahme des nicht-öffentlich gesprochenen Worts unter Strafe, mit einem Strafrahmen von bis zu drei Jahren Freiheitsstrafe. Wer KI-Transkription ohne Einwilligung aller Beteiligten einsetzt, erfüllt diesen Tatbestand. Die eigene Teilnahme am Meeting begründet dabei keine Befugnis zur Aufzeichnung.

Hinweis: Dieser Abschnitt gibt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Bei strafrechtlichen Fragen empfehlen wir die Hinzuziehung eines Fachanwalts für IT-Recht.

So nutzen Sie KI-Transkription rechtssicher

KI-Transkription ist kein Werkzeug, das grundsätzlich verboten wäre, sie muss nur transparent und mit klarer Rechtsgrundlage eingesetzt werden.

Einwilligung einholen und dokumentieren

Holen Sie zu Beginn des Meetings die ausdrückliche Zustimmung aller Teilnehmer ein, auch von externen Gästen oder Kunden. Weisen Sie in der Kalendereinladung vorab auf den Tool-Einsatz hin und dokumentieren Sie die Einwilligung schriftlich.

Interne Richtlinie und Betriebsvereinbarung

Legen Sie in einer KI-Richtlinie fest, unter welchen Bedingungen Transkriptionstools im Unternehmen eingesetzt werden dürfen. Binden Sie dabei frühzeitig den Datenschutzbeauftragten und, sofern vorhanden, den Betriebsrat ein.

Datenschutz-Folgenabschätzung prüfen

Je nach Umfang des Tool-Einsatzes kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein, etwa wenn Meetings mit vertraulichen Inhalten systematisch transkribiert werden sollen.

Auftragsverarbeitungsvertrag (AVV) abschließen

Wenn ein externer Anbieter Audiodaten verarbeitet, ist nach Art. 28 DSGVO zwingend ein Auftragsverarbeitungsvertrag abzuschließen. Prüfen Sie außerdem, ob der Anbieter Daten außerhalb des EWR überträgt und ob geeignete Garantien vorliegen.

Speicherfristen und Zugriff regeln

Legen Sie fest, wie lange Transkripte gespeichert werden, wer darauf Zugriff hat und wann sie gelöscht werden. Ohne definierte Fristen und Zugriffsrechte sind Transkripte ein unkontrolliertes Datenleck innerhalb des Unternehmens.

Häufige Fragen

Darf ich Meetings ohne Einwilligung aufnehmen?

Nein. Weder nach der DSGVO noch nach § 201 StGB ist die heimliche Aufnahme eines nicht-öffentlichen Gesprächs zulässig. Die eigene Teilnahme am Meeting begründet keine Befugnis zur Aufzeichnung der Äußerungen anderer. Auch wenn Sie das Tool nur für eigene Notizen nutzen: Ohne Einwilligung aller Beteiligten ist der Einsatz rechtswidrig.

Was kostet ein Datenschutzverstoß bei illegaler Meetingaufnahme?

Nach Art. 83 Abs. 5 DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Hinzu kommen zivilrechtliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO sowie arbeitsrechtliche und im Extremfall strafrechtliche Konsequenzen.

Ist Microsoft Teams DSGVO-konform für Transkriptionen?

Teams ist bei richtiger Konfiguration das datenschutzfreundlichste der verbreiteten Tools. Beim Start der Transkription werden alle Teilnehmer automatisch stummgeschaltet und ihr Video deaktiviert – ein aktiver technischer Einwilligungsmechanismus. Durch das bewusste Reaktivieren von Mikrofon oder Kamera erklären Teilnehmer ihre konkludente Einwilligung. Zusätzlich ist die EU Data Boundary verfügbar, die den Datenabfluss in Drittländer minimiert. 100%-ige Sicherheit gibt es damit aber auch nicht, sensible Gespräche lieber ohne Transkript führen.

Reicht es, wenn ich im Meeting sage, dass ich aufnehme?

Ein mündlicher Hinweis am Meetinganfang ist besser als gar nichts, aber nicht ausreichend. Die DSGVO verlangt eine dokumentierte Einwilligung, die freiwillig, informiert und eindeutig ist. Idealerweise erfolgt der Hinweis bereits in der Kalendereinladung, und die Einwilligung wird schriftlich festgehalten.

Fazit

KI-Transkriptionstools können die Zusammenarbeit im Unternehmen erheblich effizienter machen – ihr regelkonformer Einsatz erfordert jedoch mehr als einen kurzen Hinweis im Meeting. Eine solide Rechtsgrundlage, eine klare KI-Richtlinie, ein Auftragsverarbeitungsvertrag mit dem Anbieter und – je nach Umfang – eine Datenschutz-Folgenabschätzung sind keine optionalen Extras, sondern rechtliche Pflichten.

OSYSCON unterstützt Sie dabei: Wir entwickeln Ihre KI-Richtlinie, prüfen und verhandeln Auftragsverarbeitungsverträge mit Tool-Anbietern und begleiten Sie durch die Datenschutz-Folgenabschätzung – damit Sie KI-Tools sicher und rechtskonform einsetzen können.

Jetzt Kontakt aufnehmen und KI-Transkription datenschutzkonform einführen. Wir melden uns innerhalb von 24 Stunden. → osyscon.de/kontakt