Datenschutzrisiken bei KI-Transkription: Leitfaden zur Compliance am Arbeitsplatz 2026
On this page
Im Februar 2026 wurde ein multinationales Unternehmen mit einer DSGVO-Geldstrafe von 2,4 Millionen Euro belegt, nachdem eine HR-Untersuchung ergeben hatte, dass KI-transkribierte Besprechungsaufzeichnungen ohne ausdrückliche Zustimmung der Mitarbeiter auf Servern von Drittanbietern gespeichert worden waren. Der Vorfall, der zuerst von Reuters gemeldet wurde, hat weltweit Schockwellen durch die Rechtsabteilungen der Unternehmen gesandt.
KI-Transkriptionstools sind in Remote- und Hybrid-Arbeitsumgebungen zum Standard geworden. Doch viele Unternehmen merken nicht, dass sie jedes Mal, wenn sie „Aufnahme“ drücken, enorme Compliance-Risiken schaffen. Mitarbeiterzustimmung, Datenaufbewahrungsrichtlinien, grenzüberschreitende Datenübertragungen und Drittanbieter-Verarbeitungsvereinbarungen sind allesamt potenzielle rechtliche Fallstricke.
Wir haben die Anforderungen der DSGVO Artikel 6 und Artikel 9 analysiert, 12 KI-Transkriptionstools auf Datenschutzfunktionen überprüft und uns mit Arbeitsrechtlern in der EU und den USA beraten. Hier ist, was Unternehmen wissen müssen, um KI-Transkription im Jahr 2026 legal zu nutzen.
Verwandt: Beste KI-Transkriptionstools, KI-Meeting-Assistenten für Teams, KI-Tools für Besprechungsnotizen
Schnelle Auswahl
- ScreenApp. Beste datenschutzorientierte Option. On-Device-Verarbeitung, Modus ohne Datenaufbewahrung. Kostenlos unbegrenzt / 19 $/Monat.
- Otter.ai. Am besten für automatisierte Zustimmungs-Workflows. SOC 2 Typ II zertifiziert. 16,99 $/Benutzer/Monat.
- Rev.ai. Am besten für HIPAA-Konformität. BAA verfügbar. 0,02 $/Min. asynchron.
- Fireflies.ai. Beste Admin-Kontrollen. Option für EU-Datenresidenz. 10 $/Benutzer/Monat.
- Grain. Bestes Zustimmungsbenachrichtigungssystem. Automatische Teilnehmerbenachrichtigungen. 19 $/Benutzer/Monat.
Die Datenschutzkrise bei der KI-Transkription
Laut Gartner haben 67 % der Unternehmen, die KI-Meeting-Assistenten verwenden, keine formelle Datenaufbewahrungsrichtlinie für Transkripte. Das ist eine Compliance-Katastrophe, die darauf wartet, sich zu ereignen.
Hier ist, was passiert: Ein Mitarbeiter nimmt an einem Zoom-Anruf teil. Ein KI-Bot tritt automatisch bei. Das Gespräch wird transkribiert, auf Stimmungen analysiert und auf einem Server eines Drittanbieters auf unbestimmte Zeit gespeichert. Niemand fragte nach Zustimmung. Niemand erklärte, wohin die Daten gehen. Niemand legte einen Löschzeitplan fest.
Gemäß DSGVO Artikel 6 ist das eine unrechtmäßige Verarbeitung. Gemäß Kaliforniens CPRA ist es eine Verletzung der Datenschutzrechte von Mitarbeitern. Nach dem Arbeitsrecht in Deutschland, Österreich und Frankreich könnte es ein Grund für die Intervention des Betriebsrats oder sogar für strafrechtliche Anklagen sein.
Die spezifischen Risiken:
- Kein Zustimmungsmechanismus: Viele KI-Tools treten Besprechungen automatisch bei, ohne individuelle Opt-in
- Unbefristete Aufbewahrung: Auf ewig gespeicherte Transkripte führen zu Verletzungen der „Datenhortung“
- Drittanbieter-Verarbeitung: Das Senden von Stimmdaten von Mitarbeitern an US-basierte Server verletzt Schrems II
- Exposition sensibler Daten: Gesundheitsdiskussionen, Leistungsbeurteilungen und HR-Angelegenheiten in Transkripten = Artikel 9 besondere Kategorien von Daten
- Kein Datenzugriff durch Betroffene: Mitarbeiter können ihre Transkriptionsdaten nicht anfordern oder löschen
KI-Transkription ist nicht illegal. Aber sie unachtsam zu nutzen, ist es absolut.
DSGVO-Anforderungen für die Transkription am Arbeitsplatz
Die Datenschutz-Grundverordnung (DSGVO) der EU legt strenge Regeln für die Verarbeitung von Mitarbeiterdaten fest. Hier ist, was Compliance tatsächlich erfordert:
1. Rechtsgrundlage (Artikel 6)
Sie benötigen eine von sechs Rechtsgrundlagen, um Stimmaufnahmen und Transkripte von Mitarbeitern zu verarbeiten. In der Praxis funktionieren für die meisten Unternehmen nur zwei:
Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f): Sie können Besprechungen transkribieren, wenn dies für den Geschäftsbetrieb erforderlich ist UND die Datenschutzrechte der Mitarbeiter Ihr Interesse nicht überwiegen. Dies erfordert eine dokumentierte Interessensabwägung (LIA).
Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Freiwillig, spezifisch, informiert und unmissverständlich erteilt. „Indem Sie an diesem Anruf teilnehmen, stimmen Sie zu“ ist KEINE gültige Einwilligung gemäß DSGVO. Mitarbeiter müssen in der Lage sein, die Zustimmung ohne Konsequenzen zu verweigern.
Wichtig: Sie DÜRFEN „Vertragserfüllung“ (Artikel 6 Absatz 1 Buchstabe b) oder „rechtliche Verpflichtung“ (Artikel 6 Absatz 1 Buchstabe c) nicht für die routinemäßige Besprechungstranskription verwenden. Der Europäische Datenschutzausschuss hat dies klargestellt.
2. Transparenz (Artikel 13-14)
Bevor Sie aufzeichnen, müssen Mitarbeiter wissen:
- Wer die Daten verarbeitet (Firmenname + alle Drittanbieter)
- Warum Sie transkribieren (geschäftlicher Zweck)
- Wo Transkripte gespeichert werden (Datenspeicherort, Server, Cloud-Anbieter)
- Wie lange Transkripte aufbewahrt werden (spezifischer Zeitrahmen, nicht “so lange wie nötig”)
- Wer auf Transkripte zugreifen kann (Rollen, Abteilungen, Dritte)
- Wie die Löschung beantragt werden kann (DSAR-Prozess)
Dies muss schriftlich, in einfacher Sprache, vor der ersten Aufzeichnung erfolgen.
3. Datenminimierung (Artikel 5 Absatz 1 Buchstabe c)
Sie dürfen nur das transkribieren, was Sie benötigen. Wenn Sie zur Nachverfolgung von Aufgaben transkribieren, benötigen Sie keine vollständigen wortwörtlichen Transkripte. Wenn Sie Besprechungszusammenfassungen benötigen, müssen Sie keine Rohaudiodaten speichern.
Viele KI-Tools transkribieren standardmäßig alles. Das ist ein DSGVO-Verstoß, wenn Sie keinen triftigen Grund haben.
4. Speicherbegrenzung (Artikel 5 Absatz 1 Buchstabe e)
Transkripte dürfen nicht unbegrenzt aufbewahrt werden. Sie benötigen einen dokumentierten Aufbewahrungsplan:
- Aufgaben / Entscheidungen: 30-90 Tage
- Projektdokumentation: Projektdauer + 6 Monate
- Personal-/Rechtsangelegenheiten: Wie vom Arbeitsrecht vorgeschrieben (typischerweise 3-7 Jahre)
- Alles andere: Maximal 30 Tage
Automatische Löschrichtlinien sind unerlässlich. Manuelle Überprüfung ist nicht skalierbar.
5. Besondere Kategorien personenbezogener Daten (Artikel 9)
Gesundheitsdaten, Gewerkschaftszugehörigkeit, politische Meinungen und andere sensible Daten erfordern eine ausdrückliche Einwilligung oder eine andere Ausnahme gemäß Artikel 9. Wenn Ihre Transkripte dies erfassen könnten (Personalgespräche, Leistungsbeurteilungen), benötigen Sie zusätzliche Schutzmaßnahmen.
Mitarbeitereinwilligung: Was tatsächlich funktioniert
Eine „konkludente Einwilligung“ gibt es unter der DSGVO nicht. Hier ist, was funktioniert:
Zustimmung muss spezifisch sein
Schlecht: “Wir können Besprechungen zu Qualitäts- und Schulungszwecken aufzeichnen.”
Gut: “Wir werden dieses Meeting mit Otter.ai transkribieren, das Audio in den USA verarbeitet. Transkripte werden 30 Tage lang gespeichert und sind für [spezifische Rollen] zugänglich. Sie können sich ohne Strafe abmelden, indem Sie [Kontaktperson] vor Beginn des Meetings benachrichtigen.”
Zustimmung muss freiwillig erfolgen
Mitarbeiter müssen in der Lage sein, ohne negative Konsequenzen abzulehnen. Wenn eine Ablehnung bedeutet, dass sie nicht am Meeting teilnehmen oder ihre Arbeit nicht ausführen können, ist dies keine gültige Zustimmung.
Lösung: Bieten Sie alternative Teilnahmemethoden an (nur Telefonoption, manuelle Notizen, Zugang zur Besprechungszusammenfassung nach dem Meeting).
Zustimmung muss dokumentiert werden
Führen Sie Aufzeichnungen darüber, wer wann und wozu zugestimmt hat. Dies ist entscheidend für DSAR-Antworten und Audits.
Best Practice: Verwenden Sie eine Zustimmungsmanagement-Plattform oder integrieren Sie die Opt-in-/Opt-out-Verfolgung in Ihren Besprechungs-Workflow.
Zustimmung kann widerrufen werden
Mitarbeiter können ihre Zustimmung jederzeit widerrufen. Sie müssen ihre Daten innerhalb von 30 Tagen löschen, es sei denn, Sie haben eine andere Rechtsgrundlage.
Verarbeitung auf dem Gerät vs. Cloud-Verarbeitung
Wo die Transkription stattfindet, ist für die Compliance von enormer Bedeutung:
Cloud-Verarbeitung (Die meisten KI-Tools)
- Audio wird an Drittanbieter-Server gesendet (AWS, Google Cloud, Azure)
- Daten überschreiten Grenzen (oft in die USA, auch für EU-Kunden)
- Erfordert einen Datenverarbeitungsvertrag (DVV) mit dem Anbieter
- Unterliegt Sicherheitsvorfällen und -verletzungen des Anbieters
- Kann Standardvertragsklauseln (SCCs) für EU→US-Übertragungen erfordern
Auswirkungen auf die Compliance: Hohes Risiko. Erfordert umfassende Anbieter-Due-Diligence, DVVs und Übertragungsfolgenabschätzungen.
On-Device-Verarbeitung
- Audio verbleibt auf dem Computer des Benutzers oder dem Unternehmensserver
- Kein Zugriff durch Dritte
- Keine grenzüberschreitenden Datenübertragungen
- Volle Kontrolle über Speicherung und Löschung
Auswirkungen auf die Compliance: Geringes Risiko. Leichter unter Artikel 6(1)(f) berechtigtes Interesse zu verteidigen.
Tools mit On-Device-Optionen: ScreenApp (optionaler reiner Lokalmodus), Whisper (selbst gehostet), MacWhisper (lokale macOS-Transkription).
Best Practices zur Datenaufbewahrung
Unbefristete Speicherung ist ein DSGVO-Verstoß. So funktioniert es:
Automatische Löschrichtlinien
Legen Sie Aufbewahrungsregeln basierend auf dem Besprechungstyp fest:
| Besprechungstyp | Aufbewahrungsfrist | Grund |
|---|---|---|
| Tägliches Standup | 7 Tage | Nur operativ |
| Projektplanung | 90 Tage | Projektdauer |
| Kundenanrufe | 1 Jahr | Vertragliche Verpflichtung |
| Leistungsbeurteilungen | 3 Jahre (einige Gerichtsbarkeiten 7) | Arbeitsrechtliche Anforderung |
| HR-Untersuchungen | 7 Jahre | Rechtliche Verteidigung |
Nutzen Sie automatische Löschfunktionen. Manuelle Löschungen erfolgen nicht konsistent.
Anonymisierung vs. Löschung
Anonymisierung (Entfernen von Namen, E-Mails, identifizierenden Informationen) kann Aufbewahrungspflichten reduzieren. Aber es ist schwer, sie richtig durchzuführen. Sofern Sie keinen echten Anonymisierungsprozess (nicht nur Redaktion) haben, behandeln Sie es als Aufbewahrung.
Sicherungsaufbewahrung
Backups gelten als Datenaufbewahrung. Wenn Sie ein Transkript löschen, es aber noch 90 Tage lang im Backup der letzten Nacht vorhanden ist, haben Sie es nicht tatsächlich gelöscht.
Lösung: Implementieren Sie Sicherungsausschlussregeln für Transkriptordner oder verwenden Sie Systeme mit granularer Aufbewahrungskontrolle.
Datenschutzorientierte KI-Transkriptionstools
Wir haben 12 KI-Transkriptionstools basierend auf Datenschutzfunktionen, Einwilligungs-Workflows und DSGVO-Konformität bewertet. Hier ist, was wir gefunden haben:
| Tool | Verarbeitung | Datenspeicherung | Auto-Löschen | Preis |
|---|---|---|---|---|
| ScreenApp | Option auf dem Gerät | EU verfügbar | Ja (konfigurierbar) | Kostenlos / $19/Monat |
| Otter.ai | Cloud (USA) | Nur USA | Nur manuell | $16,99/Monat Pro |
| Rev.ai | Cloud (USA) | Nur USA | API-basiert (benutzerdefiniert) | $0,02/Min. |
| Fireflies.ai | Cloud | EU-Option verfügbar | Ja (7-365 Tage) | $10/Monat Pro |
| Grain | Cloud (USA) | Nur USA | Ja (30-90 Tage) | $19/Monat Starter |
| tldv | Cloud | EU-Option verfügbar | Ja (konfigurierbar) | Kostenlos / $20/Monat Pro |
Detaillierter Datenschutzvergleich
ScreenApp - Beste datenschutzorientierte Option
ScreenApp ist für datenschutzbewusste Teams entwickelt. Es bietet optionale On-Device-Transkription (Audio verlässt niemals Ihren Computer), EU-Datenspeicherung und konfigurierbares Auto-Löschen von 1 Tag bis nie.
Typ: Web-App + Chrome-Erweiterung | Preis: Kostenlos unbegrenzt / $19/Monat für Teams | Verarbeitung: Option auf dem Gerät oder EU-Cloud
Datenschutzfunktionen: Modus ohne Datenaufbewahrung, On-Device-Transkription, EU-Server, keine Analysen von Drittanbietern, standardmäßig DSGVO-konform, DPA verfügbar, Richtlinien für automatisches Löschen, rollenbasierte Zugriffskontrollen
Vorteile: Unbegrenzte Transkription im kostenlosen Plan, über 50 Sprachen, funktioniert mit YouTube-URLs und hochgeladenen Dateien, keine Nutzungsobergrenzen, keine Kreditkarte für die kostenlose Stufe erforderlich
Nachteile: On-Device-Modus erfordert lokale Rechenleistung, API-Zugriff nur im kostenpflichtigen Plan
Transparenzhinweis: Wir haben ScreenApp als datenschutzorientierte Alternative zu reinen Cloud-Transkriptionstools entwickelt. Wir haben es in diesen Vergleich aufgenommen, weil es tatsächlich stärkere Datenschutzkontrollen bietet als die meisten Alternativen (On-Device-Verarbeitung, Modus ohne Datenaufbewahrung, EU-Datenspeicherung). Berücksichtigen Sie dies bei unserer Bewertung und probieren Sie auch die anderen Tools aus.
Otter.ai - Beste Einwilligungs-Workflows
Otter.ai verfügt über das ausgereifteste System zur Benachrichtigung über Einwilligungen. Wenn Otter an einem Meeting teilnimmt, kündigt es sich im Chat an und bietet den Teilnehmern einen klaren Opt-out-Link.
Typ: Web-App + mobil | Preis: Kostenlos (300 Min./Monat) / $16,99/Monat Pro | Verarbeitung: Cloud (USA)
Datenschutzfunktionen: SOC 2 Typ II zertifiziert, Einwilligungsbenachrichtigungen, Meeting-Ankündigung, Opt-out für Teilnehmer, Admin-Sichtbarkeitskontrollen, DPA verfügbar
Vorteile: Automatisches Beitreten zu Meetings, hohe Genauigkeit, Sprechererkennung, Erkennung von Aktionspunkten, Integration mit Zoom/Teams/Meet
Nachteile: Keine EU-Datenspeicherung, kein automatisches Löschen (nur manuell), kostenlose Stufe auf 300 Minuten/Monat begrenzt, US-basierte Verarbeitung schafft DSGVO-Übertragungsrisiko
Rev.ai - Am besten für HIPAA-Konformität
Rev.ai ist eine der wenigen Transkriptions-APIs, die HIPAA-konforme Verarbeitung mit einem Business Associate Agreement (BAA) anbietet.
Typ: API | Preis: $0.02/Min asynchron / $0.065/Min Streaming | Verarbeitung: Cloud (US)
Datenschutzfunktionen: HIPAA BAA verfügbar, SOC 2 Typ II, benutzerdefinierte Aufbewahrungsrichtlinien via API, Option für lokale Bereitstellung (Enterprise), DPA verfügbar
Vorteile: Hohe Genauigkeit, 36 Sprachen, entwicklerfreundliche API, Streaming- und asynchrone Optionen, Unterstützung für benutzerdefiniertes Vokabular
Nachteile: Nur API (erfordert Entwicklerintegration), US-basierte Verarbeitung, kein integrierter Einwilligungs-Workflow, keine EU-Datenresidenz in Standardtarifen
Fireflies.ai - Beste Administratorenkontrollen
Fireflies.ai bietet IT-Administratoren eine detaillierte Kontrolle darüber, wer aufnehmen, wer auf Transkripte zugreifen und wo Daten gespeichert werden können.
Typ: Web-App + Bot | Preis: Kostenlos / $10/Monat Pro / $19/Monat Business | Verarbeitung: Cloud (EU-Option verfügbar)
Datenschutzfunktionen: EU-Datenresidenz-Option, automatische Löschrichtlinien (7-365 Tage), rollenbasierte Berechtigungen, Admin-Audit-Protokolle, DPA verfügbar, SOC 2 Typ II
Vorteile: Automatische Besprechungsaufzeichnung, CRM-Integration, durchsuchbare Transkripte, unbegrenzter Speicher in kostenpflichtigen Tarifen, Teamkollaborationsfunktionen
Nachteile: EU-Residenz nur im Business-Tarif, Bot kann aufdringlich sein (tritt standardmäßig allen Besprechungen bei), begrenzter kostenloser Tarif (800 Min./Monat)
Grain - Beste Einverständniserklärung
Grain verfügt über das klarste Teilnehmerbenachrichtigungssystem, das wir getestet haben. Jede Aufzeichnung zeigt ein dauerhaftes Banner „Dieses Meeting wird aufgezeichnet“ an und sendet In-Meeting-Benachrichtigungen.
Typ: Web-App + Bot | Preis: Kostenlos / $19/Monat Starter | Verarbeitung: Cloud (US)
Datenschutzfunktionen: Automatische Löschrichtlinien (30-90 Tage), Einwilligungsbenachrichtigungen, Teilnehmerwarnungen, Administratorenkontrollen, DPA verfügbar, SOC 2 Typ II
Vorteile: Saubere Benutzeroberfläche, ausgezeichnete Zustimmungs-UX, automatisierte Highlights, Integration mit über 50 Tools, Video- + Transkriptaufzeichnung
Nachteile: Nur US-basierte Verarbeitung, keine EU-Datenresidenz, begrenzter kostenloser Tarif (25 Aufzeichnungen), höherer Preis als die Konkurrenz
tldv - Beste EU-Datenresidenz
tldv bietet EU-Datenresidenz in allen Tarifen, einschließlich des kostenlosen Tarifs, was es zur zugänglichsten GDPR-konformen Option macht.
Typ: Web-App + Chrome-Erweiterung | Preis: Kostenlos / $20/Monat Pro | Verarbeitung: Cloud (EU-Option)
Datenschutzfunktionen: EU-Datenresidenz (alle Tarife), konfigurierbare automatische Löschung, DPA verfügbar, SOC 2 Typ II, Benachrichtigungen über Teilnehmerzustimmung
Vorteile: Kostenloser Tarif beinhaltet EU-Hosting, unbegrenzte Aufzeichnung und Speicherung im kostenlosen Tarif, Besprechungshighlights, KI-Zusammenfassungen, mehrsprachige Unterstützung
Nachteile: Bot muss manuell zu Meetings hinzugefügt werden (kein Auto-Beitritt), langsamere Transkription als bei der Konkurrenz, begrenzte Integrationen im kostenlosen Tarif
So implementieren Sie konforme KI-Transkription
Hier ist ein Schritt-für-Schritt-Compliance-Fahrplan:
Schritt 1: Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) durch
Wenn Sie Mitarbeiter-Sprachdaten in großem Umfang verarbeiten, verlangt Artikel 35 der DSGVO eine DSFA. Dokumentieren Sie:
- Welche Daten Sie sammeln (Sprachaufnahmen, Transkripte, Namen der Sprecher)
- Warum Sie sie sammeln (geschäftliche Begründung)
- Risiken für die Privatsphäre der Mitarbeiter
- Minderungsmaßnahmen (Verschlüsselung, Zugriffskontrollen, Aufbewahrungsgrenzen)
- Notwendigkeitsanalyse (können Sie das Ziel mit weniger Daten erreichen?)
Konsultieren Sie Ihren Datenschutzbeauftragten (DSB) oder Ihr Rechtsteam.
Schritt 2: Wählen Sie Ihre Rechtsgrundlage
Entscheiden Sie, ob Sie berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f) oder Einwilligung (Artikel 6 Absatz 1 Buchstabe a) als Grundlage verwenden.
Berechtigtes Interesse: Erfordert eine dokumentierte LIA (Legitimate Interests Assessment). Leichter für operative Meetings, bei denen die Teilnahme Teil der Arbeit ist.
Einwilligung: Erfordert Opt-in-Workflows. Besser für optionale Meetings, Schulungen oder Situationen, in denen die Transkription nicht zum Kerngeschäft gehört.
Schritt 3: Aktualisieren Sie Ihre Datenschutzerklärung
Fügen Sie einen Abschnitt zur Meeting-Aufzeichnung und Transkription hinzu. Fügen Sie Folgendes ein:
- Welche Tools Sie verwenden (Anbieternamen)
- Wo Daten verarbeitet werden (Land, Cloud-Anbieter)
- Aufbewahrungsfristen (spezifische Zeiträume)
- Zugriffskontrollen (wer Transkripte einsehen kann)
- Mitarbeiterrechte (wie man zugreift, löscht oder widerspricht)
Machen Sie sie allen Mitarbeitern zugänglich, bevor Sie mit der Aufzeichnung beginnen.
Schritt 4: Implementieren Sie Einwilligungs-Workflows
Wenn Sie die Einwilligung als Rechtsgrundlage verwenden:
- Senden Sie Vorab-Besprechungsbenachrichtigungen, die erklären, was aufgezeichnet wird
- Stellen Sie einen Opt-out-Mechanismus bereit
- Dokumentieren Sie die Einwilligung (Zeitstempel, Mitarbeiter-ID, Meeting-ID)
- Bieten Sie alternative Teilnahmemethoden für Mitarbeiter an, die ablehnen
Schritt 5: Konfigurieren Sie Richtlinien zur automatischen Löschung
Legen Sie Aufbewahrungsregeln in Ihrem Transkriptions-Tool fest:
- 7 Tage für tägliche Stand-ups
- 30 Tage für die meisten operativen Meetings
- 90 Tage für projektbezogene Inhalte
- Benutzerdefinierte Aufbewahrung für HR-/Rechtsangelegenheiten (mit Begründung)
Testen Sie die automatische Löschung, um sicherzustellen, dass sie tatsächlich funktioniert. Viele Tools behaupten, automatisch zu löschen, erfordern aber manuelle Auslöser.
Schritt 6: Datenverarbeitungsvereinbarungen (DVVs) unterzeichnen
Wenn Sie ein cloudbasiertes Tool verwenden, sind Sie der Datenverantwortliche und der Anbieter ist der Datenverarbeiter. Artikel 28 der DSGVO erfordert eine schriftliche DVV.
Fordern Sie DVVs an von:
- Otter.ai, Fireflies.ai, Grain, tldv (alle stellen sie zur Verfügung)
- Ihrem Videokonferenzanbieter (Zoom, Teams, Meet)
- Jedem Cloud-Speicher, in dem Transkripte gespeichert werden (Google Drive, OneDrive, Dropbox)
Schritt 7: Manager und Mitarbeiter schulen
Die meisten Compliance-Fehler treten auf, weil Benutzer die Regeln nicht kennen. Bieten Sie Schulungen an zu:
- Wann Aufnahmen erlaubt sind und wann nicht
- Wie man eine Einwilligung einholt
- Was aus Transkripten geteilt werden darf und was nicht
- Wie man Anfragen von betroffenen Personen bearbeitet
- Aufbewahrungsrichtlinien
Machen Sie es zu einer wiederkehrenden Schulung (mindestens jährlich).
Was tun mit ScreenApp
Wir haben ScreenApp speziell entwickelt, um diese Compliance-Probleme zu lösen. So nutzen Sie es datenschutzkonform:
- Aktivieren Sie die On-Device-Transkription für sensible Besprechungen (Personal, Recht, Leistungsbeurteilungen)
- Nutzen Sie EU-Datenresidenz, wenn Ihr Unternehmen der DSGVO unterliegt
- Stellen Sie die automatische Löschung auf 30 Tage ein für die meisten Besprechungen (oder kürzer, wenn Sie keine langfristige Aufbewahrung benötigen)
- Aktivieren Sie den Zero-Data-Retention-Modus für maximale Privatsphäre (Transkripte verlassen niemals Ihren Browser)
- Verwenden Sie rollenbasierte Zugriffskontrollen, um zu beschränken, wer Transkripte sehen kann
Optional: Aktivieren Sie den API-Zugang (19 $/Monat), um benutzerdefinierte Aufbewahrungsworkflows zu erstellen und in Ihre Compliance-Systeme zu integrieren.
Nach der Implementierung
Sobald Ihr konformes Transkriptionssystem eingerichtet ist:
- KI-Besprechungsnotizenschreiber: Erstellen Sie strukturierte Notizen aus konformen Transkripten
- Video-Zusammenfasser: Verwandeln Sie einstündige Besprechungen in 2-minütige Zusammenfassungen
- Video zu Dokument: Exportieren Sie Transkripte mit Zeitstempeln für die Aufbewahrung von Aufzeichnungen
FAQ
Kann ich Besprechungen ohne Einwilligung der Mitarbeiter transkribieren?
Gemäß DSGVO benötigen Sie entweder eine Rechtsgrundlage (Artikel 6) ODER eine Einwilligung. Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f) kann für operative Besprechungen ausreichen, bei denen die Transkription einem dokumentierten geschäftlichen Bedarf dient. Sie müssen die Mitarbeiter jedoch weiterhin benachrichtigen und ihnen die Möglichkeit zum Widerspruch geben. In Deutschland, Frankreich und Österreich fordern Betriebsräte oft eine explizite Einwilligung, unabhängig von der Rechtsgrundlage.
Was ist der Unterschied zwischen On-Device- und Cloud-Transkription hinsichtlich des Datenschutzes?
Die On-Device-Transkription verarbeitet Audio lokal auf Ihrem Computer. Audio verlässt Ihre Maschine nie, sodass kein Zugriff Dritter, keine grenzüberschreitende Datenübertragung und kein Sicherheitsrisiko des Anbieters besteht. Die Cloud-Transkription sendet Audio an Server von Drittanbietern (normalerweise AWS oder Google Cloud), was Datenverarbeitungsverträge erfordert, DSGVO-Übertragungspflichten schafft und von den Sicherheitspraktiken des Anbieters abhängt.
Wie lange darf ich Besprechungsprotokolle gemäß DSGVO aufbewahren?
DSGVO Artikel 5(1)(e) fordert Speicherbegrenzung: Sie dürfen Daten nur so lange speichern, wie es für den Zweck, für den Sie sie erhoben haben, erforderlich ist. Für die Nachverfolgung von Aufgaben sind 30 Tage angemessen. Für die Projektdokumentation 90 Tage. Für Personal- oder Rechtsangelegenheiten kann das Arbeitsrecht 3-7 Jahre vorschreiben. Sie müssen Ihre Aufbewahrungsbegründung dokumentieren und automatische Löschrichtlinien implementieren.
Benötige ich einen Datenverarbeitungsvertrag mit meinem Transkriptionsanbieter?
Ja, wenn der Anbieter Mitarbeiterdaten in Ihrem Auftrag verarbeitet (DSGVO Artikel 28). Cloud-basierte Tools wie Otter.ai, Fireflies.ai, Rev.ai und Grain erfordern alle AVVs (Auftragsverarbeitungsverträge). Der Anbieter sollte eine Standard-AVV-Vorlage bereitstellen. Überprüfen Sie diese, um sicherzustellen, dass sie den Datenstandort, Unterauftragsverarbeiter, Sicherheitsmaßnahmen, die Benachrichtigung bei Datenschutzverletzungen und Datenlöschpflichten abdeckt.
Was passiert, wenn ein Mitarbeiter die Löschung seiner Transkriptionsdaten beantragt?
Gemäß DSGVO Artikel 17 haben Mitarbeiter ein Recht auf Löschung. Sie müssen deren Daten innerhalb von 30 Tagen löschen, es sei denn, Sie sind rechtlich zur Aufbewahrung verpflichtet (z.B. Arbeitsrecht, laufendes Gerichtsverfahren). Dies umfasst die Löschung von Transkripten, Audiodateien und sämtlichen Backups. Dokumentieren Sie den Löschantrag und bestätigen Sie die Ausführung schriftlich gegenüber dem Mitarbeiter.
Ist die Aufzeichnung eines Zoom-Anrufs ohne Zustimmung illegal?
Das hängt von der Gerichtsbarkeit ab. In der EU benötigen Sie unter der DSGVO eine Rechtsgrundlage (Einwilligung oder berechtigtes Interesse) und müssen die Teilnehmer benachrichtigen. In den USA erlaubt das Bundesrecht die Aufzeichnung, wenn eine Partei zustimmt (der Aufzeichnende), aber 11 Staaten erfordern die Zustimmung aller Parteien (Kalifornien, Connecticut, Florida, Illinois, Maryland, Massachusetts, Michigan, Montana, New Hampshire, Pennsylvania, Washington). Informieren Sie sich vor der Aufzeichnung über die lokalen Gesetze.
Kann ich ChatGPT oder Claude verwenden, um Besprechungsprotokolle zu analysieren?
Möglicherweise, aber seien Sie vorsichtig. Das Senden von Protokollen an OpenAI oder Anthropic bedeutet, dass Sprachdaten von Mitarbeitern von einem US-amerikanischen Drittanbieter verarbeitet werden. Gemäß DSGVO handelt es sich hierbei um eine grenzüberschreitende Datenübermittlung, die Standardvertragsklauseln und eine Folgenabschätzung für die Übermittlung erfordert. Beide Anbieter bieten Datenverarbeitungsverträge an, aber Sie sind weiterhin für die Einhaltung verantwortlich. Erwägen Sie die Verwendung von On-Device-KI-Modellen oder in der EU gehosteten Alternativen für sensible Daten.