KI-Meeting-Notetaker nehmen an vertraulichen Gesprächen teil, transkribieren sie und speichern die Inhalte in der Cloud. Damit wird die Datenschutz-Frage zur wichtigsten Auswahlentscheidung überhaupt — wichtiger als jede Komfortfunktion. Dieser Leitfaden erklärt, worauf es beim Serverstandort, bei der DSGVO und beim Auftragsverarbeitungsvertrag wirklich ankommt.
Wer noch einen Überblick über die Funktionsweise solcher Tools sucht, findet ihn in unserem Artikel Wie funktioniert ein KI-Notetaker-Bot in Zoom, Teams und Meet?.
Warum der Serverstandort entscheidend ist
Ein Notetaker verarbeitet personenbezogene Daten gleich mehrfach: die Stimmen und Namen aller Teilnehmenden, die Gesprächsinhalte und oft das vollständige Transkript. Schon die Sprache in einer Aufnahme ist ein personenbezogenes Datum im Sinne der DSGVO — sie lässt Rückschlüsse auf Gesundheit, Meinung oder andere sensible Attribute zu.
Liegt der Verarbeitungsort außerhalb der EU (typisch: USA, Kanada oder Asien), greifen die Drittlandtransfer-Regeln nach Art. 44 ff. DSGVO. Das bedeutet: Sie brauchen entweder einen Angemessenheitsbeschluss der EU-Kommission (für die USA besteht seit Juli 2023 der EU-US Data Privacy Framework — er könnte aber erneut gekippt werden), Standardvertragsklauseln (SCCs) oder bindende interne Datenschutzvorschriften. Das alles ist machbar, aber aufwendig und juristisch nicht ohne Restrisiko.
Ein EU-Serverstandort vereinfacht die Rechtslage erheblich: kein Drittlandtransfer, kein Risiko durch US-Behördenzugriff nach dem CLOUD Act, keine zusätzlichen Vertragsanhänge für SCCs.
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Sobald ein Unternehmen einen Dienstleister mit der Verarbeitung personenbezogener Daten betraut — und genau das passiert beim Einsatz eines Notetakers — ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Ohne AVV ist der geschäftliche Einsatz datenschutzrechtlich nicht zulässig.
Was muss ein gültiger AVV regeln?
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung sowie die Kategorien personenbezogener Daten
- Pflichten des Auftragsverarbeiters: Weisungsgebundenheit, Vertraulichkeit, technisch-organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter: Der Auftragsverarbeiter darf nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen weitere Dienstleister (Sub-Processor) einsetzen
- Löschung oder Rückgabe der Daten nach Vertragsende
Prüfen Sie also nicht nur, ob ein Anbieter einen AVV anbietet, sondern auch was darin steht. Ein AVV, der Ihnen alle Unterauftragsverarbeiter pauschal genehmigen lässt, ist datenschutzrechtlich schwächer als einer mit konkreter Liste.
Unterauftragsverarbeiter: Wer steckt wirklich dahinter?
Viele KI-Notetaker sind eigentlich Plattformen, die mehrere Dienste bündeln: einen Bot-Dienst (z. B. Recall.ai) für den Meeting-Beitritt, ein Transkriptions-Modell (z. B. Deepgram, AssemblyAI oder Whisper-basiert) und ein LLM für die Zusammenfassung (z. B. OpenAI, Anthropic, Google). Jeder dieser Dienste ist ein potenzieller Unterauftragsverarbeiter.
Fragen Sie also konkret:
- Welcher Dienst nimmt am Meeting teil und zeichnet auf?
- Welcher Dienst transkribiert die Aufnahme?
- Welches KI-Modell erstellt die Zusammenfassung — und wo läuft dieses Modell?
- Werden die Rohdaten (Audio/Video) dauerhaft gespeichert oder nach der Verarbeitung sofort gelöscht?
Gerade der dritte Punkt wird oft übersehen: Ein Notetaker mit EU-Hosting kann trotzdem Audio an ein US-amerikanisches LLM schicken, wenn das nicht explizit ausgeschlossen ist.
Löschkonzept der Roh-Medien
Das Transkript ist das, was Sie sehen — doch der Weg dorthin führt über die Rohdaten. Audio- und Videoaufnahmen sind besonders schützenswert, weil sie biometrische Merkmale enthalten.
Ein gutes Löschkonzept sieht so aus:
- Roh-Medien werden nach der Transkription automatisch und sofort gelöscht (idealerweise innerhalb von Minuten oder Stunden, nicht Tagen)
- Das Transkript wird nur so lange gespeichert, wie es der Nutzer aktiv hält
- Bei Kontoauflösung werden alle Daten gelöscht, inklusive eventueller Backups innerhalb einer definierten Frist
Fragen Sie beim Anbieter explizit nach der Aufbewahrungsdauer von Rohdaten und lassen Sie sich das schriftlich (z. B. im AVV oder einer Datenschutzrichtlinie) bestätigen.
Transparenz im Meeting: Teilnehmende informieren
Wer ein KI-Notetaker-Tool einsetzt, trägt auch gegenüber den anderen Meeting-Teilnehmenden Verantwortung. Nach der DSGVO müssen betroffene Personen über die Verarbeitung ihrer Daten informiert werden — ein unsichtbarer Bot, der still mitschreibt, erfüllt das nicht.
Praktisch bedeutet das:
- Den Bot-Namen so konfigurieren, dass er erkennbar als KI-Assistent auftritt (z. B. „[Vorname] Meeting-Notetaker”)
- Zu Beginn des Meetings verbalmäßig oder per Chat darauf hinweisen, dass ein Transkriptions-Tool aktiv ist
- Teilnehmenden die Möglichkeit geben, das Meeting zu verlassen oder den Bot zu entfernen, wenn sie der Aufzeichnung widersprechen
- Bei externen Teilnehmenden (Kunden, Partner) ist besondere Sorgfalt geboten — im Zweifel eine explizite Einwilligung einholen
Einige Plattformen (insbesondere Zoom und Teams) zeigen automatisch an, wenn ein externer Bot beitritt. Verlassen Sie sich dennoch nicht allein darauf.
Prüf-Checkliste für die Anbieterauswahl
Bevor ein KI-Notetaker im geschäftlichen Umfeld eingesetzt wird, sollten diese Punkte geklärt sein:
- Verarbeitungsort — Werden Audio, Transkript und KI-Zusammenfassung in der EU verarbeitet und gespeichert?
- AVV vorhanden — Bietet der Anbieter einen vollständigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an?
- Unterauftragsverarbeiter-Liste — Sind alle Sub-Processor (Bot-Dienst, Transkription, LLM) namentlich gelistet und wo sitzen sie?
- Drittlandtransfer — Verlassen Daten die EU, und wenn ja: auf welcher Rechtsgrundlage (SCC, Angemessenheitsbeschluss)?
- Löschkonzept Roh-Medien — Werden Audio/Video nach der Transkription automatisch und nachweisbar gelöscht?
- Transkript-Retention — Wie lange werden Transkripte gespeichert und unter welchen Bedingungen gelöscht?
- Transparenz für Teilnehmende — Ist der Bot für alle erkennbar (Name, Hinweis im Meeting)?
- Einwilligungs-Workflow — Gibt es eine Funktion, die Teilnehmende aktiv zustimmen lässt oder den Bot bei Widerspruch entfernt?
- Datenpannen-Meldepflicht — Verpflichtet sich der Anbieter im AVV, Datenpannen fristgerecht (72 Stunden) zu melden?
- Technisch-organisatorische Maßnahmen (TOMs) — Sind Verschlüsselung (in transit und at rest), Zugangskontrolle und Pseudonymisierungsmaßnahmen dokumentiert?
Ehrlicher Marktüberblick
Die international führenden Tools sind funktional stark, sitzen aber überwiegend außerhalb der EU:
| Tool | Verarbeitungsort (primär) | DSGVO-Eignung (grobe Einschätzung) |
|---|---|---|
| Otter.ai | USA | US-Datenverarbeitung; AVV auf Anfrage; Drittlandtransfer prüfen |
| Fireflies.ai | USA | Großer Funktionsumfang; US-Hosting; SCCs nötig |
| tl;dv | EU-Optionen beworben | Datenschutz als Thema positioniert; Details im AVV prüfen |
| tucan.ai | Deutschland/EU | Explizit DSGVO-fokussiert, deutsches Unternehmen |
| bliro | Deutschland/EU | EU-Hosting, kein klassischer Bot-Beitritt (Browser-Extension) |
| Murmel Meetings | EU (eu-central-1) | EU-Verarbeitung, AVV verfügbar, Medien-Löschung nach Verarbeitung |
Angaben zu Drittanbietern beruhen auf deren öffentlichen Darstellungen und können sich ändern — bitte vor einer Entscheidung selbst prüfen.
Ein strukturierter Vergleich weiterer Anbieter findet sich in unserem Artikel KI-Meeting-Notetaker im Vergleich: Platzhirsche vs. DSGVO-Alternativen.
Eine EU-Option im Detail
Murmel Meetings (murmelminutes.com) ist ein KI-Meeting-Notetaker, der gezielt auf den DSGVO-konformen Einsatz in deutschen und europäischen Unternehmen ausgelegt ist. Die Verarbeitung erfolgt ausschließlich in der EU-Region (eu-central-1); Roh-Medien (Audio/Video) werden nach der Transkription automatisch gelöscht; ein Auftragsverarbeitungsvertrag steht zur Verfügung. Der Bot tritt Zoom-, Teams- und Google-Meet-Calls bei, transkribiert mit echten Teilnehmernamen und erstellt eine KI-Zusammenfassung — vollständig innerhalb der EU.
Transparenzhinweis: Murmel Meetings wird von OzDreamWalk entwickelt, die auch OzDreamTools betreibt. Wir nennen es als konkretes Beispiel aus eigener DSGVO-Erfahrung; die oben genannten Alternativen sind eigenständige Produkte, deren Stärken wir nicht kleinreden. Dieser Artikel stellt keine Rechtsberatung dar — im Zweifel wenden Sie sich an Ihre/n betriebliche/n Datenschutzbeauftragte/n.
Wer den Einsatz von KI im Meeting weiter ausbauen möchte, findet im Artikel Meeting-Protokolle mit KI automatisieren praktische Workflows für den Alltag.
Fazit
Beim KI-Notetaker zählt Datenschutz zuerst. Klären Sie Serverstandort, AVV, Unterauftragsverarbeiter, Löschkonzept und Transparenzpflichten, bevor Sie Komfortfunktionen vergleichen. Wer auf Nummer sicher gehen will, wählt Anbieter mit echtem EU-Hosting und einer vollständigen, nachprüfbaren Datenschutzdokumentation. Die internationalen Platzhirsche sind funktional stark — verarbeiten aber meistens außerhalb der EU und erfordern zusätzlichen rechtlichen Aufwand.
FAQ
Brauche ich für einen KI-Notetaker einen Auftragsverarbeitungsvertrag (AVV)?
Ja. Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — und das tut jeder Notetaker — ist ein AVV nach Art. 28 DSGVO Pflicht. Ohne AVV ist der geschäftliche Einsatz datenschutzrechtlich nicht zulässig.
Was passiert mit den Audiodaten nach der Transkription?
Das hängt vom Anbieter ab. Datenschutzfreundliche Tools löschen die Rohaufnahmen automatisch und unmittelbar nach der Transkription. Fragen Sie explizit nach der Aufbewahrungsdauer von Audio- und Videodateien und lassen Sie sich das schriftlich bestätigen, z. B. im AVV oder in der Datenschutzrichtlinie.
Muss ich Meeting-Teilnehmende informieren, wenn ein KI-Bot mitschreibt?
Ja. Nach der DSGVO müssen betroffene Personen über die Verarbeitung ihrer Daten informiert werden. Weisen Sie zu Beginn des Meetings aktiv darauf hin, dass ein Transkriptions-Bot aktiv ist, und geben Sie Teilnehmenden die Möglichkeit zu widersprechen. Bei externen Teilnehmenden empfiehlt sich eine ausdrückliche Einwilligung.
Warum ist EU-Hosting bei KI-Notetakern besonders wichtig?
Liegt der Verarbeitungsort außerhalb der EU, greifen Drittlandtransfer-Regeln (Art. 44 ff. DSGVO). Besonders US-amerikanische Anbieter können unter dem CLOUD Act zur Datenweitergabe an US-Behörden verpflichtet sein. Ein EU-Serverstandort vermeidet diese Risiken und vereinfacht die Compliance erheblich.
