KI-Transkription | Die rechtliche Fallstricke!

Du nutzt KI-Transkription über Otter.ai, Fireflies, Zoom-Transkription, Teams Premium oder Copilot in Besprechungen?

Dann bewegst du dich je nach Setup schnell in einer rechtlichen Grauzone. Was super bei Notizen hilft, kann ohne sauberes Vorgehen zu Bußgeldern, Abmahnungen und Stress mit Betriebsrat, Kunden und Datenschutz führen.

• Ohne wirksame Einwilligung aller Beteiligten riskierst du mit Mitschnitt und Transkription eine Straftat nach § 201 StGB.
  
• DSGVO verlangt eine klare Rechtsgrundlage, informierte Einwilligung und einfache Widerrufsmöglichkeit.
  
• Externe KI-Modelle verarbeiten Inhalte oft in US-Clouds und nutzen Daten teils zum Modelltraining; lies die Policies genau!
  
• In Microsoft 365 hast du mit Purview, Retention und Teams-Richtlinien starke Compliance-Bausteine.
  
• Mit sauberem Consent-Prozess, Technik-Kontrollen und klaren Löschfristen lässt sich KI rechtssicher einsetzen.

---

Original-Beitrag von Felix Schweinebraten auf LinkedIn
– Sicher vor Abmahnungen, Bußgeldern, Sanktionen und Schadensersatz.

Warum Transkription rechtlich heikel ist

Der § 201 StGB schützt die Vertraulichkeit des gesprochenen Wortes. Nimmst du ein nichtöffentliches Gespräch auf oder lässt es transkribieren, ist das rechtlich eine Aufnahme. Das ist ohne Erlaubnis strafbar und kann mit Geldstrafe oder bis zu drei Jahren Freiheitsstrafe geahndet werden.

Parallel gilt die DSGVO. Du brauchst eine Rechtsgrundlage nach Art. 6 DSGVO, häufig ist das eine ausdrückliche Einwilligung. Diese muss freiwillig, informiert, eindeutig und jederzeit widerrufbar sein. Ein bloßer Hinweis zu Beginn des Calls reicht nicht.

Besonders kritisch: Je nach Dienst werden Audio, Transkript und Metadaten außerhalb der EU gespeichert. Manche Anbieter nutzen Inhalte, de-identifiziert, zum Modelltraining – was zusätzliche DSGVO-Pflichten und Auftragsverarbeitungsverträge nach sich zieht. Prüfe die Policy des Anbieters und ob Training auf Kundendaten ausgeschlossen ist.

Aktuell stehen solche Tools sogar juristisch unter Beobachtung. Berichte und Klagen zeigen, dass automatische Transkriptions ohne wirksame Einwilligung Dritter problematisch sind. Für dich heißt das: Einwilligungen wasserdicht organisieren, Datenflüsse dokumentieren, Löschung sicherstellen.

Was du konkret riskierst

• Strafrechtlich: § 201 StGB bei unbefugter Aufnahme nichtöffentlicher Gespräche.
• Datenschutzrechtlich: Bußgelder nach DSGVO bei fehlender Rechtsgrundlage, mangelnder Transparenz, unzureichender Löschung.
• Zivilrechtlich: Schadensersatz und Unterlassungsansprüche von Teilnehmern.
• Vertraglich: Verstoß gegen NDAs oder Geheimhaltungsklauseln, besonders mit US-Clouds ohne ausreichende Schutzmaßnahmen.

So setzt du KI-Transkription rechtssicher auf

1. Einwilligungsmanagement etablieren

• Vor dem Meeting aktiv um Zustimmung bitten. Keine stillschweigende Duldung.
• Opt-in statt Opt-out: Aktive Bestätigung in der Einladung oder im Lobby-Screen.
• Dokumentation im CRM, DMS oder Ticket: Wer hat wann wozu eingewilligt, inkl. Zweck und Speicherdauer.
• Widerruf jederzeit ermöglichen, z. B. über einen Link in der Einladung oder einen Chat-Befehl.

Textbaustein „Einwilligung zur Transkription“:
„Wir möchten das Meeting für Notizen automatisch transkribieren. Die Transkripte dienen ausschließlich der Protokollierung und werden nach [X Tagen] gelöscht. Bitte bestätige hier deine Einwilligung. Du kannst deine Einwilligung jederzeit vor oder während des Meetings widerrufen.“

2. Technische Schutzmaßnahmen umsetzen

• Meeting-Schutz in Teams: Sensitivity Labels für „Vertraulich“ einsetzen, optional Watermarks aktivieren, End-to-End-Verschlüsselung für besonders sensible Runden. Aufnahme nur für definierte Rollen zulassen.
• Retention & Aufbewahrung: Für Aufzeichnungen und Transkripte klare Retention Policies definieren. Beachte, dass Purview-Aufbewahrung Vorrang vor Meeting-Ablauffristen hat.
• Datenklassifizierung: Mit Microsoft Purview Information Protection Inhalte automatisch labeln, Zugriff beschränken und Zugriffe protokollieren.
• Datenresidenz & C5: Nutze Anbieter und Services mit nachweisbarer Sicherheit und ggf. C5-Attestierung als Teil deiner Risikobewertung.

3. Organisatorische Maßnahmen verankern

• DPIA bzw. DSFA für KI-Transkription durchführen, insbesondere bei sensiblen Daten.
• Betriebsvereinbarung und Richtlinie für Aufzeichnung/Transkription erstellen.
• Schulung für Moderatoren: Einwilligung abfragen, Widerruf respektieren, Aufnahme bei Widerspruch sofort stoppen.
• Incident-Response: Klare Prozesse für Fehlaufzeichnungen, Löschbegehren und Auskunftsersuchen.

Spezielle Szenarien und Empfehlungen

Interne Team-Meetings

• Rechtsgrundlage je nach Inhalt: Einwilligung oder berechtigtes Interesse mit Interessenabwägung.
• Transparenzhinweis im Invite, Watermark optional, standardisierte Löschfristen.
• Zugriff auf Transkripte nur für Teilnehmer; Freigaben per Label begrenzen.

Kundengespräche

• Einwilligung vor Start einholen, alternative Dokumentation anbieten.
• Bei Ablehnung: Transkription deaktivieren oder anonymisieren.
• Getrennte Ablage und strengere Retention für Kunden-Transkripte.

Internationale Calls

• Unterschiedliche Rechtslagen beachten. Halte dich an den strengsten Standard im Teilnehmerkreis.
• Hinweise und Einwilligung in der jeweiligen Sprache bereitstellen.
• Datenflüsse in Drittländer dokumentieren und geeignete Garantien prüfen.

Microsoft 365: dein Compliance-Baukasten

• Teams Premium: Meeting-Vorlagen mit vordefinierten Schutzleveln, Watermarking, E2EE bis 200 Teilnehmer, Aufnahmebeschränkungen, Clipboard-Block im Chat.
  
• Aufbewahrung & eDiscovery: Einheitliche Policies für Chats, Dateien, Aufzeichnungen und Transkripte. Beachte die unterschiedlichen Speicherorte und Prioritäten zwischen Meeting-Ablaufregeln und Purview-Retention.
  
• Information Protection: Automatisches Labeling, Verschlüsselung und Zugriffskontrolle auf Basis von Sensitivitätslabels, APIs für Integrationen.

KI-Transkription ist kein Teufelszeug. Richtig eingesetzt spart sie Zeit, verbessert Protokolle und macht Inhalte für alle leichter zugänglich. Entscheidend ist, dass du Einwilligungen sauber organisierst, Transparenz herstellst und Technik sowie Prozesse auf Compliance trimmst.

Mit Teams Premium, Purview und klaren Richtlinien kannst du viele Risiken beherrschbar machen – und gewinnst das, was am Ende zählt: das Vertrauen deiner Teilnehmer.

Weitere Links

• Original LinkedIn-Post zu diesem Thema
  
• § 201 StGB – Verletzung der Vertraulichkeit des Wortes
• DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung
• DSGVO Art. 7 – Bedingungen für die Einwilligung
  
• Microsoft Purview Übersicht
• Information Protection in Microsoft 365
• Teams Meeting Recording Policies
  
• BSI – Cloud Computing Compliance Criteria Catalogue (C5)
• Bitkom – Leitfaden zur DSGVO

Hinweis Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für deine spezifische Situation empfehlen wir die Konsultation eines spezialisierten Datenschutzbeauftragten oder Fachanwalts für IT-Recht.