Notizflow
Kostenlos testen
← Zurück zum Blog
DSGVO·30. Mai 2026·4 Min. Lesezeit

DSGVO-konforme Meeting-Transkription: Der Leitfaden

Darf man Meetings aufzeichnen und transkribieren lassen? Was die DSGVO und § 201 StGB verlangen — mit Checkliste für deutsche Unternehmen.

Die Frage klingt harmlos: „Kann ich das Meeting kurz mitlaufen lassen und automatisch protokollieren?" In den meisten deutschen Unternehmen wird sie mit einem Schulterzucken beantwortet — und genau das ist das Problem. Denn rechtlich steckt hinter der automatischen Meeting-Transkription deutlich mehr, als die meisten ahnen. Es geht nicht nur um Datenschutz im Sinne der DSGVO. Es geht in Deutschland auch um Strafrecht.

Dieser Artikel sortiert, was tatsächlich gilt, was Mythos ist — und worauf Sie bei jedem Transkriptionstool achten sollten, bevor Sie es einsetzen.

DSGVO-konforme Meeting-Transkription: rechtliche Anforderungen für deutsche Unternehmen

Darf ich ein Meeting überhaupt ohne Einwilligung aufzeichnen?

Kurze Antwort: nein, in aller Regel nicht.

Die längere Antwort beginnt beim Strafrecht, nicht beim Datenschutz. § 201 StGB stellt die unbefugte Aufnahme des nicht öffentlich gesprochenen Wortes unter Strafe. Das betrifft ausdrücklich auch interne Besprechungen und Kundengespräche. Wer ohne Erlaubnis mitschneidet, riskiert also nicht nur ein Bußgeld der Datenschutzbehörde, sondern eine strafrechtliche Verfolgung. Viele Verantwortliche haben diesen Punkt überhaupt nicht auf dem Schirm.

Datenschutzrechtlich kommt die DSGVO obendrauf. Eine Tonaufnahme enthält personenbezogene Daten — die Stimme, die Aussagen, oft auch besonders sensible Inhalte. Für jede Verarbeitung brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis läuft das fast immer auf die Einwilligung aller Beteiligten hinaus. Das „berechtigte Interesse" als Grundlage heranzuziehen ist heikel und hält bei Gesprächsaufnahmen einer genauen Prüfung selten stand.

Praktisch heißt das: Sagen Sie zu Beginn des Termins klar, dass aufgezeichnet und transkribiert wird, wozu, und holen Sie eine erkennbare Zustimmung ein. Wer nicht zustimmt, wird nicht aufgenommen. Diese Einwilligung sollten Sie dokumentieren können.

Was gilt, wenn ein KI-Dienst die Transkription übernimmt?

Sobald ein externes Tool die Aufnahme verarbeitet, kommt eine zweite Ebene dazu: die Auftragsverarbeitung nach Art. 28 DSGVO. Der Anbieter wird zu Ihrem Auftragsverarbeiter — und dafür braucht es zwingend einen Auftragsverarbeitungsvertrag, den AVV.

Ein brauchbarer AVV regelt unter anderem:

  1. welche Daten zu welchem Zweck verarbeitet werden
  2. welche technischen und organisatorischen Schutzmaßnahmen gelten
  3. ob und welche Subunternehmer eingesetzt werden
  4. wie mit Löschung und Rückgabe der Daten umgegangen wird
  5. wie der Anbieter Sie bei Betroffenenanfragen unterstützt

Der entscheidende Praxistest ist simpel: Bekommen Sie den AVV, ohne erst ein Vertriebsgespräch führen zu müssen? Bei vielen US-Tools lautet die Antwort nein — ein vollständiger AVV ist dort oft an die teuersten Tarife geknüpft. Für kleine und mittlere Unternehmen ist das ein echter Stolperstein.

Warum der Serverstandort der wichtigste Punkt überhaupt ist

Hier entscheidet sich am Ende fast alles. Liegen die Server in den USA — wie bei den meisten bekannten Tools —, verlassen Ihre Gesprächsdaten die EU. Damit greifen die strengen Regeln für Drittlandübertragungen nach Art. 44 ff. DSGVO.

Das Schrems-II-Urteil des EuGH hat 2020 das Privacy Shield für ungültig erklärt, weil das US-Recht keinen mit der EU vergleichbaren Schutz vor behördlichem Zugriff bietet. Das seit 2023 geltende EU-US Data Privacy Framework soll diese Lücke schließen, steht aber bereits wieder vor Gericht. Solange diese Unsicherheit besteht, ist jede Verarbeitung auf US-Servern ein kalkulierbares, aber reales Risiko. Der US CLOUD Act verschärft das zusätzlich: Er verpflichtet US-Anbieter zur Herausgabe von Daten an amerikanische Behörden, unabhängig vom Speicherort.

Die saubere Lösung ist deshalb keine juristische Fingerübung, sondern eine technische Entscheidung: Daten, die Deutschland gar nicht erst verlassen, fallen nicht unter die Drittlandproblematik. Punkt.

Die DSGVO-Checkliste für Meeting-Transkription

Bevor Sie ein Tool einführen, gehen Sie diese acht Punkte durch:

  1. Serverstandort: Werden alle Daten innerhalb der EU verarbeitet und gespeichert? Idealerweise in Deutschland.
  2. AVV: Ist ein vollständiger Auftragsverarbeitungsvertrag nach Art. 28 verfügbar — und zwar ohne Aufpreis und ohne Vertriebsgespräch?
  3. Einwilligung: Gibt es einen Prozess, mit dem alle Gesprächsteilnehmer nachweisbar zustimmen?
  4. Subunternehmer: Sind die eingesetzten Subprozessoren transparent gelistet? Sitzen sie ebenfalls in der EU?
  5. Löschfristen: Können Sie Daten jederzeit exportieren und löschen? Werden Audiodateien automatisch nach einer festen Frist entfernt?
  6. Zweckbindung: Werden Ihre Inhalte ausschließlich für Ihren Zweck genutzt — oder fließen sie ins Training fremder KI-Modelle?
  7. Betroffenenrechte: Unterstützt der Anbieter Sie bei Auskunft, Berichtigung und Löschung nach Art. 15 bis 17?
  8. Betriebsrat: Falls vorhanden — ist das Tool so transparent, dass die Mitbestimmung zustimmen kann?

Wenn Sie auch nur bei einem der ersten drei Punkte ins Stocken geraten, sollten Sie das Tool nicht produktiv einsetzen.

Wie Notizflow diese Anforderungen umsetzt

Notizflow ist von Grund auf für genau diesen Rahmen gebaut worden — nicht nachträglich „DSGVO-ready" gemacht.

Die gesamte Verarbeitung, Transkription und Speicherung läuft auf Servern von Hetzner in Nürnberg. Ihre Daten verlassen die EU zu keinem Zeitpunkt. Es gibt keinen Umweg über US-Dienste. Der AVV nach Art. 28 steht jedem Account vom ersten Tag an zum Download bereit — auch im Testzeitraum, auch ohne Gespräch mit dem Vertrieb. Audiodateien werden nach einer festen Frist automatisch gelöscht, und Sie können Ihre Daten jederzeit selbst exportieren oder Ihren Account vollständig entfernen. Ihre Gesprächsinhalte werden nicht verwendet, um KI-Modelle Dritter zu trainieren.

Das ersetzt keine individuelle Rechtsberatung — den Hinweis muss man ehrlicherweise machen. Aber es schafft die technische und vertragliche Grundlage, auf der eine rechtskonforme Nutzung überhaupt erst möglich wird.

Mehr Details zu unserem Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung. Wenn Sie sehen möchten, wie sich datenschutzkonforme Meeting-Dokumentation im Alltag anfühlt, testen Sie Notizflow 14 Tage kostenlos — ohne Kreditkarte, mit Servern in Deutschland.

Jetzt kostenlos testen →

Notizflow 14 Tage kostenlos testen

Keine Kreditkarte erforderlich. DSGVO-konform. 100 % in Deutschland gehostet.

Jetzt kostenlos testen