AI-Meeting-Notes (KI-gestützte Gesprächsnotizen) automatisieren die Dokumentation von Meetings, Kundengesprächen und Vertriebsterminen. Für Unternehmen in Deutschland, Österreich und der Schweiz stellen sich dabei zentrale Datenschutzfragen: Welche Rechtsgrundlage greift nach DSGVO, wann drohen strafrechtliche Konsequenzen nach § 201 StGB und welche technischen Anforderungen muss ein KI-Meeting-Tool erfüllen? Dieser Ratgeber erklärt die fünf wichtigsten Prüfpunkte für DSGVO-konforme AI-Meeting-Notes und zeigt, worauf Vertriebsleiter, Datenschutzbeauftragte und IT-Entscheider bei der Tool-Auswahl achten sollten.
Das Wichtigste in Kürze
- AI-Meeting-Notes erfordern eine Rechtsgrundlage nach Art. 6 DSGVO. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) kann unter bestimmten technischen Voraussetzungen als Alternative zur Einwilligung dienen.
- Tools, die Audio zwischenspeichern, können unter § 201 StGB (Verletzung der Vertraulichkeit des Wortes) fallen. Reine Echtzeit-Transkription ohne Audioaufnahme ist strafrechtlich unkritisch.
- Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO mit dem Tool-Anbieter ist Pflicht. EU-Serverstandorte reduzieren das Risiko eines unzulässigen Drittlandtransfers.
- Beim Einsatz von KI-Meeting-Tools ist vielfach eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich.
- Der EU AI Act bringt ab August 2026 zusätzliche Transparenzpflichten für KI-Transkriptionstools.
Was sind AI-Meeting-Notes und warum sind sie datenschutzrelevant?
AI-Meeting-Notes (automatische KI-Gesprächsnotizen) sind Software-Lösungen, die gesprochene Inhalte aus Meetings in Text umwandeln und daraus strukturierte Zusammenfassungen, To-dos und CRM-Updates ableiten. Die Bandbreite reicht von einfacher Echtzeit-Transkription (Live-Mitschrift) bis hin zu Conversation Intelligence (Gesprächsanalyse mit Trend- und Stimmungserkennung).
Datenschutzrechtlich relevant werden AI-Meeting-Notes, weil sie personenbezogene Daten verarbeiten: Namen, Stimmen, Gesprächsinhalte und potenziell biometrische Merkmale wie Stimmprofile. Die entscheidende Frage ist dabei nicht, ob KI-gestützte Meeting-Dokumentation DSGVO-konform sein kann, sondern unter welchen Bedingungen. Laut Fachanwalt Cornelius Matutis im impulse-Magazin ist der Unternehmer, der ein KI-Meeting-Tool einsetzt, stets der datenschutzrechtlich Verantwortliche.
Gerade im B2B-Vertrieb wächst der Bedarf an automatisierten Meeting-Notes: Vertriebsleiter und Account Manager verbringen laut Branchenschätzungen 15 bis 30 Minuten pro Termin mit manueller Dokumentation. KI-Tools versprechen, diese Zeit einzusparen und gleichzeitig die CRM-Datenqualität zu verbessern. Doch ohne rechtliche Absicherung riskieren Unternehmen Bußgelder von bis zu 4 % des Jahresumsatzes.
Die folgenden fünf Punkte entscheiden darüber, ob der Einsatz von AI-Meeting-Notes im DACH-Raum rechtskonform gelingt.
5 Punkte, die über die DSGVO-Konformität von AI-Meeting-Notes entscheiden
1. Rechtsgrundlage nach DSGVO: Einwilligung oder berechtigtes Interesse?
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für AI-Meeting-Notes kommen in der Praxis zwei Optionen in Frage: die Einwilligung (Art. 6 Abs. 1 lit. a) und das berechtigte Interesse (Art. 6 Abs. 1 lit. f).
Die Einwilligung klingt zunächst naheliegend, ist aber in der Praxis problematisch. Im Beschäftigungsverhältnis fehlt häufig die erforderliche Freiwilligkeit, weil Arbeitnehmer sich gegenüber dem Arbeitgeber in einer Abhängigkeitssituation befinden. Laut einer juristischen Analyse von IMSCHWEILER-LEGAL kann die gefühlte Abhängigkeit zwischen Arbeitnehmer und Arbeitgeber die Einwilligung unwirksam machen. Auch im Kundenkontakt ist die Einwilligung fragil, da sie jederzeit widerrufbar ist.
Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO bietet eine stabilere Grundlage. Die Wirtschaftskanzlei LUTZ | ABEL kommt in ihrer Analyse zu dem Ergebnis, dass KI-Transkription unter bestimmten technischen Voraussetzungen auf berechtigtes Interesse gestützt werden kann. Voraussetzungen sind unter anderem der Verzicht auf dauerhafte Audio-Speicherung und Sprechererkennung.
Die Kanzlei Baumgartner Baumann bewertet das berechtigte Interesse als flexiblere Alternative, da es nicht von einer jederzeit widerrufbaren Zustimmung abhängt. Wichtig: Die Transparenzpflicht nach Art. 13 DSGVO bleibt auch beim berechtigten Interesse bestehen. Alle Gesprächsteilnehmer müssen vorab informiert werden. Die Datenschutzkanzlei.de empfiehlt, diese Information bereits in der Meeting-Einladung aufzunehmen.
2. § 201 StGB: Wann wird KI-Transkription zur Straftat?
Neben der DSGVO greift bei AI-Meeting-Notes auch das Strafrecht. § 201 StGB schützt die Vertraulichkeit des nichtöffentlich gesprochenen Wortes. Die zentrale Frage: Ist eine KI-Transkription eine "Aufnahme" im Sinne des Gesetzes?
Das Fachportal unternehmensstrafrecht.de stellt unter Verweis auf einen BVerfG-Beschluss vom Juli 2025 klar: Eine reine Echtzeit-Transkription im flüchtigen Arbeitsspeicher (RAM) stellt keine Aufnahme im Sinne des § 201 StGB dar und ist strafrechtlich nicht relevant. Erst wenn ein Tool Audio dauerhaft speichert oder zwischenspeichert, eröffnet sich der Straftatbestand.
Wie das Fachportal Dr. Datenschutz der intersoft consulting erläutert, kann KI-Transkriptionssoftware, die Audiodaten auch nur kurzzeitig zwischenspeichern, als Aufnahme im Sinne des § 201 StGB gewertet werden. Die Unterscheidung zwischen Tools, die Audio speichern, und solchen, die ausschließlich Text in Echtzeit erzeugen, ist daher entscheidend.
Das IT-Sicherheitsinstitut SIDIT weist darauf hin, dass eine rein inhaltliche KI-Zusammenfassung ohne vorherige Audioaufnahme möglicherweise nicht unter § 201 StGB fällt. Entscheidend ist, ob im technischen Prozess eine Zwischenspeicherung des gesprochenen Wortes stattfindet.
3. Auftragsverarbeitung und Serverstandort: Wo landen deine Meeting-Daten?
Wer ein externes KI-Meeting-Tool einsetzt, beauftragt einen Dienstleister mit der Verarbeitung personenbezogener Daten. Das erfordert zwingend einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Ohne AV-Vertrag ist der Einsatz rechtswidrig, unabhängig davon, wie gut das Tool technisch funktioniert.
Besonders kritisch ist der Serverstandort. Bei KI-Meeting-Tools mit Sitz und Servern in den USA findet ein Drittlandtransfer nach Art. 44 ff. DSGVO statt. Dieser erfordert zusätzliche Absicherungsmaßnahmen wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss. Tools mit EU-Serverstandort vermeiden dieses Risiko von vornherein.
Datenschutz-Vergleich
EU-Anbieter vs. US-Anbieter – Ein Überblick
| Kriterium |
EU-Anbieter |
US-Anbieter |
| Serverstandort |
EU (z. B. Frankfurt am Main) |
USA oder global verteilt |
| Drittlandtransfer |
Kein Drittlandtransfer nötig |
Art. 44 ff. DSGVO: Zusatzmaßnahmen erforderlich |
| AV-Vertrag |
Art. 28 DSGVO (Pflicht) |
Art. 28 DSGVO (Pflicht) + Standardvertragsklauseln |
| Datenzugriff durch Behörden |
EU-Datenschutzrecht gilt |
US CLOUD Act: Zugriff durch US-Behörden möglich |
| KI-Training mit Nutzerdaten |
Muss vertraglich ausgeschlossen sein |
Häufig in AGB enthalten – prüfen! |
Der Praxisratgeber von PCS CAMPUS empfiehlt zusätzlich, den Einsatz von KI-Transkription bereits in der Meeting-Einladung transparent zu kommunizieren und Teilnehmenden eine aktive Widerspruchsmöglichkeit einzuräumen.
4. Datenschutz-Folgenabschätzung (DSFA): Pflicht oder Kür?
Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine strukturierte Risikoanalyse, die vor der Einführung risikobehafteter Datenverarbeitungen durchgeführt werden muss. Beim Einsatz von KI-Meeting-Tools ist eine DSFA vielfach Pflicht.
Die Datenschutzkonferenz (DSK) stellt in ihrer Orientierungshilfe vom Mai 2024 fest, dass beim Einsatz von KI-Anwendungen mit personenbezogenen Daten vielfach eine DSFA erforderlich ist. Die Datenschutzberatung isico bestätigt: Beim Einsatz von KI-Tools sind in der Regel mindestens zwei Kriterien der Schwellenwertanalyse erfüllt, wodurch die DSFA verpflichtend wird.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verweist auf die verbindlichen Listen der Datenschutzaufsichtsbehörden, in denen Verarbeitungsvorgänge aufgeführt sind, für die in jedem Fall eine DSFA durchzuführen ist. KI-gestützte Verarbeitungen fallen vielfach darunter.
Ein weiteres Risiko: Schatten-KI. Mitarbeitende installieren KI-Meeting-Tools eigenständig, ohne Wissen der IT-Abteilung oder des Datenschutzbeauftragten. Ohne DSFA und AV-Vertrag ist dieser Einsatz rechtswidrig. Unternehmen sollten deshalb klare Richtlinien für den KI-Einsatz aufstellen und freigegebene Tools zentral bereitstellen.
Die DSFA selbst dokumentiert die geplante Datenverarbeitung, bewertet die Risiken für die Rechte und Freiheiten der Betroffenen und legt technische und organisatorische Maßnahmen (TOM) zur Risikominimierung fest. Bei KI-Meeting-Tools gehören dazu unter anderem Verschlüsselung, Zugriffskontrollen, automatische Löschfristen und die vertragliche Absicherung gegenüber dem Anbieter.
5. EU AI Act: Neue Transparenzpflichten ab 2026
Der EU AI Act (KI-Verordnung) ergänzt die DSGVO um KI-spezifische Anforderungen. Laut einem Praxisleitfaden der Handelskammer Hamburg unterliegen KI-Systeme mit beschränktem Risiko, darunter potenziell auch KI-Transkriptionstools, ab August 2026 besonderen Transparenzpflichten nach Art. 50 der KI-Verordnung.
Für AI-Meeting-Notes bedeutet das konkret: Nutzer und Gesprächsteilnehmer müssen darüber informiert werden, dass eine KI am Gespräch beteiligt ist. Emotionserkennung (Sentiment Analysis) in Meetings ist nach dem EU AI Act als verbotene Praxis eingestuft. Die Pflicht zur KI-Kompetenz für Mitarbeitende gilt bereits seit Februar 2025.
Die Sanktionen sind erheblich: Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Unternehmen sollten bei der Tool-Auswahl bereits heute auf EU-AI-Act-Konformität achten.
Checkliste: So prüfst du KI-Meeting-Tools auf DSGVO-Konformität
Checkliste
So prüfst du KI-Meeting-Tools auf DSGVO-Konformität
| Nr. |
Prüfpunkt |
Worauf du achten musst |
| 1 |
Rechtsgrundlage |
Kann das Tool auf berechtigtes Interesse gestützt werden, oder ist Einwilligung nötig? |
| 2 |
Audio-Verarbeitung |
Erstellt das Tool Audio-/Videoaufnahmen oder arbeitet es mit reiner Echtzeit-Transkription? |
| 3 |
AV-Vertrag |
Bietet der Anbieter einen AV-Vertrag nach Art. 28 DSGVO an? |
| 4 |
Serverstandort |
Werden Daten in der EU verarbeitet oder findet ein Drittlandtransfer statt? |
| 5 |
KI-Training |
Werden Meeting-Daten zum Training der KI verwendet? (Muss ausgeschlossen sein.) |
| 6 |
DSFA |
Wurde eine Datenschutz-Folgenabschätzung vor der Einführung durchgeführt? |
| 7 |
Transparenz |
Werden alle Gesprächsteilnehmer vorab über den KI-Einsatz informiert? |
| 8 |
Zertifizierung |
Ist der Anbieter ISO 27001-zertifiziert oder vergleichbar auditiert? |
| 9 |
Funktionsumfang |
Wird jede KI-Funktion (To-dos, Stimmungsanalyse, CRM-Sync) separat auf Erforderlichkeit geprüft? |
| 10 |
EU AI Act |
Erfüllt das Tool die Transparenzpflichten nach Art. 50 der KI-Verordnung? |
Carolin Loy, Bereichsleiterin Digitalwirtschaft und KI-Rechtsfragen beim Bayerischen Landesamt für Datenschutzaufsicht, warnt davor, bei KI-Transkriptionstools automatisch alle verfügbaren Zusatzfunktionen zu aktivieren. Jede Funktion muss separat auf ihre Erforderlichkeit geprüft werden.
Wie bliro AI-Meeting-Notes DSGVO-konform umsetzt
Der bliro AI Notetaker adressiert die fünf zentralen DSGVO-Anforderungen durch eine besondere technische Architektur. Laut Herstellerangaben arbeitet bliro mit einer proprietären Echtzeit-Transkriptions-Engine der TU München, die keine Audio- oder Videoaufnahmen erstellt. Die Datenverarbeitung erfolgt ausschließlich auf EU-Servern in Frankfurt am Main.
Weil bliro keine Audioaufnahmen macht, entfällt die Problematik des § 201 StGB. Eine reine Echtzeit-Transkription im flüchtigen Arbeitsspeicher stellt keine Aufnahme im Sinne des Strafrechts dar. Laut bliro-Herstellerangaben arbeitet die Plattform auf Basis des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO und benötigt keine ausdrückliche Einwilligung der Gesprächspartner.
Für Vertriebsteams im DACH-Raum ist das besonders relevant: Der bliro AI Notetaker funktioniert nicht nur in Online-Meetings (Zoom, Teams, Google Meet), sondern auch bei Vor-Ort-Terminen und Telefongesprächen. Damit deckt bliro alle typischen Meeting-Formate im B2B-Vertrieb ab, ohne dass Kunden einen Bot sehen oder einer Aufnahme zustimmen müssen.
Weitere Datenschutz-Merkmale des bliro AI Notetakers im Überblick:
- Kein Bot sichtbar im Meeting, keine Aufnahmen, keine Sprechererkennung
- ISO 27001-zertifiziert und regelmäßig auditiert
- Daten werden nicht zum KI-Training verwendet
- AV-Vertrag verfügbar, Datenschutzprüfungen durch Partner Kertos
- Funktioniert bei Online-Meetings, Vor-Ort-Terminen und Telefongesprächen
- CRM-Sync auf Feldebene (Salesforce, HubSpot, SAP, MS Dynamics 365)
bliro wird nach eigenen Angaben bei über 1.500 Unternehmen eingesetzt und wurde im Rahmen eines Forschungsprojekts an der TU München gegründet, gefördert durch das Bundesministerium für Wirtschaft und Klimaschutz sowie die EU-Kommission.
Häufige Fragen zu AI-Meeting-Notes und DSGVO
Brauche ich eine Einwilligung, wenn ich KI im Meeting mitschreiben lasse?
Für den Einsatz von KI zur Meeting-Transkription ist nicht zwingend eine Einwilligung erforderlich. Unter bestimmten technischen Voraussetzungen kann KI-Meeting-Transkription auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Voraussetzung ist unter anderem, dass keine dauerhaften Audioaufnahmen erstellt werden und die Transparenzpflicht nach Art. 13 DSGVO eingehalten wird. Die Wirtschaftskanzlei LUTZ | ABEL bestätigt diesen Ansatz in ihrer juristischen Analyse.
Ist KI-Transkription von Meetings strafbar nach § 201 StGB?
KI-Transkription ist nicht automatisch strafbar. Entscheidend ist die technische Umsetzung: Reine Echtzeit-Transkription ohne Audiospeicherung fällt laut dem Fachportal unternehmensstrafrecht.de nicht unter § 201 StGB. Erst wenn ein Tool Audiodaten dauerhaft oder temporär zwischenspeichert, kann der Straftatbestand eröffnet sein. Unternehmen sollten vor der Tool-Auswahl prüfen, ob das eingesetzte Tool Audio speichert oder ausschließlich Text generiert.
Muss ich vor der Einführung eines KI-Meeting-Tools eine DSFA durchführen?
In den meisten Fällen sollte vor der Einführung eines KI-Meeting-Tools eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Die DSK-Orientierungshilfe stellt fest, dass KI-Anwendungen mit personenbezogenen Daten vielfach eine DSFA nach Art. 35 DSGVO erfordern. Die Datenschutzberatung isico bestätigt, dass beim KI-Einsatz regelmäßig mindestens zwei Kriterien der Schwellenwertanalyse erfüllt sind. Die DSFA sollte vor dem ersten produktiven Einsatz des Tools abgeschlossen sein.
Was passiert, wenn Mitarbeitende KI-Meeting-Tools ohne Freigabe nutzen?
Sogenannte Schatten-KI ist ein wachsendes Compliance-Risiko. Wenn Mitarbeitende KI-Meeting-Tools ohne Wissen der IT-Abteilung installieren, fehlen AV-Vertrag, DSFA und Transparenzhinweise. Der Einsatz ist damit rechtswidrig. Bei DSGVO-Verstößen drohen Bußgelder von bis zu 4 % des Jahresumsatzes. Unternehmen sollten klare Richtlinien für den KI-Einsatz definieren und freigegebene Tools zentral bereitstellen.
Welcher AI Notetaker funktioniert ohne Aufnahme und ist DSGVO-konform?
Der bliro AI Notetaker arbeitet laut Herstellerangaben ohne Audio-/Videoaufnahmen und ohne sichtbaren Bot im Meeting. bliro nutzt eine proprietäre Echtzeit-Transkriptions-Engine der TU München, verarbeitet Daten auf EU-Servern in Frankfurt am Main und ist ISO 27001-zertifiziert. Die Plattform stützt sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
.png)
