Aufsatz : Im Spannungsfeld von Datenschutzund Strafrecht – Rechtliche Fallstricke der Gesprächstranskription : aus der RDV 2/2026, Seite 71 bis 77

Im Rahmen dieser Verarbeitung verarbeitet das System regelmäßig personenbezogene Daten der Gesprächsteilnehmer automatisiert. Hierzu gehören insbesondere Namen, Stimmen sowie sämtliche Gesprächsinhalte, die personenbezogene Daten enthalten.

Die Stimme eines Teilnehmers stellt zudem ein biometrisches Datum nach Art.  4 Nr.  14 DS‑GVO dar, da sie grundsätzlich zur Identifizierung natürlicher Personen geeignet ist.^[3] Allein dieser Umstand führt jedoch nicht zwingend zur Anwendung des Art. 9 DS‑GVO. Entscheidend ist vielmehr, ob die Verarbeitung der Sprachdaten mit speziellen technischen Mitteln erfolgt, die auf eine eindeutige Identifizierung oder Authentifizierung einer natürlichen Person gerichtet sind.^[4]

Unter bestimmten Voraussetzungen können Sprachdaten daher als besondere Kategorien personenbezogener Daten qualifiziert werden.^[5] Dies setzt voraus, dass die Verarbeitung funktional darauf ausgerichtet ist, anhand stimmlicher Merk‑ male die Identität einer Person festzustellen oder zu verifizieren, etwa durch die Erstellung individueller Sprachprofile oder sogenannter Voiceprints.^[6] In diesen Fällen greifen die erhöhten Anforderungen des Art. 9 DS‑GVO.

In der Literatur und Aufsichtspraxis ist jedoch umstritten, inwieweit bereits jede automatisierte Verarbeitung von Sprachdaten als biometrische Verarbeitung i.S.d. Art.  9 DS‑GVO anzusehen ist. Nach überwiegender Auffassung genügt hierfür nicht die bloße technische Möglichkeit einer Identifizierung, sondern es bedarf einer entsprechenden Zweckrichtung der Verarbeitung.^[7]

Moderne ASR-Systeme (automatic speech recognition) zur reinen Transkription von Gesprächsinhalten sind regelmäßig nicht darauf ausgelegt, individuelle Sprecherprofile zu erstellen oder eine biometrische Identifizierung vorzunehmen.^[8] Soweit die Systeme – zumindest nach der technischen Ausgestaltung und den Angaben der Anbieter – aus‑ schließlich der Umwandlung von Sprache in Text dienen, ohne stimmliche Merkmale dauerhaft zu analysieren oder zu speichern, liegt in der Praxis regelmäßig keine Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 DS‑GVO vor.^[9] Gleichwohl ist die konkrete Systemarchitektur im Einzelfall sorgfältig zu prüfen.

1. Einwilligung nach Art. 6 Abs. 1 lit. a) DS‑GVO

Die Einwilligung nach Art.  6 Abs.  1 lit. a) DS‑GVO stellt eine zentrale Rechtsgrundlage der Datenverarbeitung dar, unterliegt jedoch strengen Wirksamkeitsvoraussetzungen. Sie erfordert eine freiwillige, informierte und jederzeit widerrufliche Willensbekundung der betroffenen Person,^[10] die durch eine aktive Handlung eindeutig zum Ausdruck kommen muss. Bloßes Schweigen, voreingestellte Auswahloptionen oder automatisch aktivierte Funktionen genügen diesen Anforderungen nicht.^[11]

Voraussetzung einer wirksamen Einwilligung ist ferner eine umfassende vorherige Information der betroffenen Person über Zweck, Umfang und Dauer der Datenverarbeitung, über mögliche Empfänger sowie über die eingesetzten technischen Systeme.^[12] Ebenso zwingend ist der Hinweis auf die jederzeitige Widerrufsmöglichkeit, die ohne Angabe von Gründen ausgeübt werden kann und ausschließlich Wirkung für die Zukunft entfaltet.^[13]

Im Beschäftigungskontext sind bei der Einwilligung aufgrund des strukturellen Abhängigkeitsverhältnisses zwischen Arbeitgeber und Beschäftigten die Besonderheiten des Arbeitsverhältnisses zu beachten.^[14] So sind gem. §  26 Abs. 2 S. 1 BDSG „für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen“. In solchen Konstellationen kann es an der erforderlichen Freiwilligkeit fehlen, sodass sich zur rechtssicheren Ausgestaltung der Verarbeitung häufig der Rückgriff auf kollektivrechtliche Regelungen, insbesondere in Form einer Betriebsvereinbarung, anbietet.^[15] Die Einwilligung ist u.a. dann datenschutzrechtlich freiwillig, wenn die Beschäftigten durch ihr „Nein“ keinerlei arbeitsrechtliche Repressionen fürchten müssen. Im Übrigen gelten dazu die gerichtlich und aufsichtsbehördlich aufgestellten Grundsätze an die Freiwilligkeit im Beschäftigtenkontext.^[16]

2. Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DS‑GVO

Die Verarbeitung personenbezogener Daten zur Erfüllung ei‑ nes Vertrags nach Art. 6 Abs. 1 lit. b) DS‑GVO setzt voraus, dass die konkrete Verarbeitungshandlung objektiv erforderlich ist, um einen bestehenden Vertrag mit der betroffenen Person zu erfüllen oder auf deren Wunsch hin vorvertragliche Maßnahmen durchzuführen.^[17] Die bloße Zweckmäßigkeit oder Nützlichkeit der Datenverarbeitung genügt hierfür nicht.^[18]

Vielmehr verlangt die Norm eine funktionale Notwendigkeit, ohne die die geschuldete Leistung nicht oder nicht ordnungs‑ gemäß erbracht werden könnte.^[19]

Eine Transkription von Gesprächen kann daher nur in eng begrenzten Ausnahmefällen auf Art.  6 Abs.  1 lit. b) DS‑GVO gestützt werden. Dies kommt etwa dann in Betracht, wenn der Vertrag ausdrücklich Leistungen vorsieht, deren Durchführung zwingend eine Aufzeichnung oder Transkription voraussetzt, beispielsweise bei der vertraglich zugesagten Dokumentation von Schulungsinhalten oder der revisionssicheren Protokollierung bestimmter Vertragsverhandlungen. Ebenso kann die Rechtsgrundlage einschlägig sein, wenn die Parteien die Dokumentation von Gesprächen ausdrücklich zum Vertragsinhalt erheben.

In der überwiegenden Praxis scheidet eine Berufung auf Art. 6 Abs. 1 lit. b) DS‑GVO jedoch aus. Gespräche, Verhand‑ lungen oder Schulungen lassen sich regelmäßig auch ohne Transkription sachgerecht durchführen.^[20] In diesen Fällen fehlt es an der erforderlichen objektiven Notwendigkeit der Verarbeitung, sodass die Vertragserfüllung als Rechtsgrundlage nicht trägt. Art. 6 Abs. 1 lit. b) DS‑GVO bleibt damit auf Konstellationen beschränkt, in denen die Transkription nicht lediglich unterstützend, sondern integraler Bestandteil der geschuldeten Leistung ist.

3. Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c) DS‑GVO

Eine generelle gesetzliche Pflicht zur Aufzeichnung oder Transkription von Gesprächen besteht für Unternehmen nicht. Spezialisierte Aufzeichnungspflichten, etwa nach dem Wertpapierhandelsgesetz oder der Finanzvermittlungsverordnung, beziehen sich ausdrücklich nicht auf die Transkription von Gesprächen.^[21] Vor diesem Hintergrund eignet sich Art. 6 Abs. 1 lit. c) DS‑GVO in der Praxis nur selten als Rechtsgrundlage für die Durchführung einer Gesprächstranskription.

Selbst wenn eine gesetzliche Aufzeichnungspflicht die Transkription von Gesprächen einschließt, beschränkt sich die Rechtsgrundlage strikt auf den gesetzlich vorgesehenen Zweck. Jegliche darüber hinausgehende Nutzung der Transkripte, beispielsweise zu Schulungs- oder Weiterbildungszwecken, fällt nicht unter die Befugnis der gesetzlichen Verpflichtung und bedarf einer gesonderten Rechtsgrundlage.^[22]

4. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DS‑GVO

Die Verarbeitung personenbezogener Daten auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DS‑GVO bietet Unternehmen eine flexible Rechtsgrundlage und kann ins-besondere bei internen Besprechungen oder Schulungen relevant sein. Voraussetzung ist jedoch stets eine sorgfältige, nachvollziehbare und dokumentierte Interessenabwägung.

Als berechtigte Interessen i.S.d. Norm kommt insbesondere die Optimierung der internen Kommunikation sowie der Arbeits- und Geschäftsprozesse, die Sicherstellung der Einhaltung gesetzlicher, regulatorischer und unternehmensin‑ terner Compliance- und Dokumentationsanforderungen, die Wahrung berechtigter Interessen des Unternehmens durch die Möglichkeit der Sachverhaltsaufklärung und Beweisführung in Konflikt- oder Streitfällen sowie die Durchführung und Unterstützung unternehmensinterner Schulungs- und Weiterbildungsmaßnahmen.^[23]

Zunächst muss im Rahmen des Art. 6 Abs. 1 lit. f) DS‑GVO die Erforderlichkeit der Transkription für die Erreichung des verfolgten Zwecks geprüft werden.^[24] Die Verarbeitung darf nur erfolgen, wenn kein milderes, gleich wirksames Mittel zur Verfügung steht.^[25] Reicht beispielsweise die Anfertigung eines manuellen Protokolls aus, fehlt es an der erforderlichen Notwendigkeit der automatisierten Transkription. Ob eine manuelle Anfertigung des Protokolls tatsächlich gleich wirksam ist, bedarf einer Prüfung des Einzelfalls.^[26]

Im zweiten Schritt hat der Verantwortliche die Interessen des Unternehmens gegen die schutzwürdigen Interessen der Betroffenen abzuwägen.^[27] Dabei sind insbesondere Vertrau‑ lichkeit, potenzielle Nachteile durch die Aufzeichnung sowie Risiken einer Leistungs- oder Verhaltenskontrolle zu berücksichtigen.^[28] Die Verarbeitung ist nur zulässig, wenn die be‑ rechtigten Interessen des Verantwortlichen die Interessen oder Grundrechte der Betroffenen überwiegen und deren Rechte nicht unverhältnismäßig beeinträchtigt werden.^[29]

Abschließend muss die durchgeführte Interessenabwä‑ gung transparent dokumentiert werden, um die Entschei‑ dung im Streitfall nachvollziehbar zu begründen.^[30] Im Beschäftigungskontext (etwa Personalgesprächen) stößt die Anwendung des berechtigten Interesses jedoch regelmäßig an Grenzen, da das bestehende Abhängigkeitsverhältnis das Gewicht der Schutzinteressen der Beschäftigten erhöht.^[31]

5. Betriebsvereinbarungen (Art. 88 DS‑GVO i. V. m. § 26 BDSG)

Eine Betriebsvereinbarung nach Art.  88 DS‑GVO in Ver‑ bindung mit §  26 BDSG kann im Beschäftigtenkontext als Rechtsgrundlage für die Verarbeitung personenbezogener Daten dienen.^[32] Voraussetzung ist, dass die Vereinbarung klar und verbindlich regelt, unter welchen Umständen das Aufzeichnen und Transkribieren von Gesprächen zulässig ist.^[33] Dabei muss die Betriebsvereinbarung die allgemeinen Grundsätze aus Art. 5 DS‑GVO, insbesondere den konkreten Zweck der Verarbeitung, die inhaltsmäßigen und zeitlichen Grenzen sowie die Rahmenbedingungen für den Einsatz der eingesetzten Systeme eindeutig bestimmen.^[34]

Darüber hinaus muss die Vereinbarung die vollständige Transparenz gegenüber den Beschäftigten gewährleisten.^[35] Die Betroffenen müssen nachvollziehen können, in welchen Situationen und zu welchen Zwecken die Datenverarbeitung erfolgt.^[36] Zudem sind die Mitbestimmungsrechte des Be‑ triebsrats (Art.  87 Abs.  1 Nr.  6 BetrVG) zwingend zu berücksichtigen, um die Vereinbarung rechtskonform und kollektivrechtlich wirksam zu gestalten.^[37]

III. Datenschutzrechtliche Abhilfemaßnahmen

Die datenschutzrechtliche Zulässigkeit der Aufzeichnung und Transkription von Gesprächen erschöpft sich nicht in der Prüfung der einschlägigen Erlaubnistatbestände der DS‑GVO. Vielmehr verlangt eine rechtmäßige Verarbeitung personenbezogener Daten ein Bündel flankierender Abhilfemaßnahmen, die die Rechte und Freiheiten der betroffenen Personen effektiv sichern und die abstrakten Vorgaben der Verordnung in eine gelebte Verarbeitungspraxis überführen. Insbesondere bei der Nutzung moderner, häufig KI-gestützter Transkriptionssysteme kommt diesen Maßnahmen eine zentrale Bedeutung zu, da Umfang, Tiefe und Nachnutzbarkeit der erhobenen Daten erheblich gesteigert werden.

Der nachfolgende Abschnitt beleuchtet daher die wesentlichen datenschutzrechtlichen Abhilfemaßnahmen, die Unternehmen bei der Aufzeichnung und Transkription von Gesprächen implementieren müssen. Im Fokus stehen dabei zunächst die Erfüllung der Informationspflichten als Grundlage transparenter Verarbeitungsvorgänge (1.), sodann die Wahrung der Interventionsrechte der betroffenen Personen (2.). Ergänzend werden Anforderungen an ein strukturiertes Löschkonzept (3.) sowie an geeignete technische und organsatorische Maßnahmen dargestellt, die eine dauerhafte und nachvollziehbare Einhaltung der datenschutzrechtlichen Vorgaben sicherstellen sollen (4.). Auf diese Weise wird ein pra‑ xisorientierter Ordnungsrahmen aufgezeigt, der den rechtlichen Anforderungen der DS‑GVO ebenso Rechnung trägt wie den berechtigten Interessen der Verantwortlichen.

1. Informationspflichten

Vor der Aufzeichnung und Transkription von Gesprächen müssen alle Teilnehmer umfassend gem. der Art. 13 und 14 DS‑GVO über die Verarbeitung ihrer personenbezogenen Daten infor‑ miert werden.^[38]Die Informationen müssen insbesondere den Zweck der Verarbeitung, den Umfang der Aufzeichnung und Transkription, die Speicherdauer, die möglichen Empfänger sowie die eingesetzten Systeme, etwa KI-gestützte Transkriptionssoftware, eindeutig darstellen.^[39]Die Bereitstellung der Information sollte idealerweise bereits mit der Einladung zum Meeting erfolgen. Ergänzend können Pop-ups oder kurze Ansagen die Aufmerksamkeit der Teilnehmer sicherstellen. Bei Telefonkonferenzen empfiehlt sich eine prägnante Ansage zu Beginn der Sitzung. Bei Videokonferenzen kann ein Hinweis innerhalb des Tools oder ein Link zu den detaillierten Datenschutzinformationen die Informationspflicht erfüllen.

2. Interventionsrechte

Betroffene Personen verfügen über verschiedene Rechte, um die Verarbeitung ihrer Daten zu kontrollieren und gegebenenfalls einzuschränken. Sie können ihre Einwilligung jederzeit widerrufen und damit die weitere Verarbeitung auf dieser Grundlage unterbinden, vgl. Art. 7 Abs. 3 S. 1 DS‑GVO. Zudem steht ihnen gem. Art. 21 Abs. 1 DS‑GVO das Recht zu, der Ver‑ arbeitung zu widersprechen, sofern diese auf einem berechtigten Interesse beruht. Dar-über hinaus können sie jederzeit Auskunft über bestehende Aufzeichnungen und Transkripte verlangen, um die über sie gespeicherten Daten einzusehen.

Erklärt eine betroffene Person einen Widerruf oder Widerspruch, darf das Unternehmen die betreffenden Aufzeichnungen oder Transkripte nicht weiter nutzen.^[40] Zugleich müssen die Daten unverzüglich gelöscht werden, um den Rechten der Betroffenen Rechnung zu tragen.^[41] Auf diese Weise gewährleistet die Verarbeitung jederzeit Transparenz und wahrt die Selbstbestimmung der Betroffenen.

Die verantwortlichen Stellen müssen daher sicherstellen, dass auch bei erfolgtem Widerruf bzw. Widerspruch eine Teilnahme an der transkribierten Konferenz möglich und eine Aufzeichnung des gesprochenen Worts ausgeschlossen ist.^[42]

3. Löschkonzept

Ein strukturiertes Löschkonzept bildet die Grundlage für die datenschutzkonforme Verarbeitung von Aufzeichnungen und Transkripten. Es muss klar festlegen, welche Speicherdauer für unterschiedliche Verarbeitungszwecke gilt und dabei so‑ wohl gesetzliche Vorgaben als auch betriebliche Erfordernisse berücksichtigen. Automatisierte Löschprozesse empfehlen sich, um die Einhaltung der festgelegten Fristen zuverlässig sicherzustellen. Besondere Aufmerksamkeit verdient die Handhabung von Audioaufzeichnungen. Sie sollten nach der Fertigstellung des Transkripts gelöscht werden, sofern kein weiterer legitimer Verarbeitungszweck besteht. Durch ein derart strukturiertes Löschkonzept gewährleisten Unternehmen Transparenz und erfüllen zugleich ihre datenschutzrechtlichen Pflichten gegenüber den betroffenen Personen.

4. Technische und organisatorische Maßnahmen

Unternehmen müssen die Verarbeitung von Aufzeichnungen und Transkripten durch geeignete technische und organisatorische Maßnahmen i.S.d. Art. 25 und 32 DS‑GVO absichern. Die eingesetzten Systeme sind von Anfang an so zu gestal‑ ten, dass Datenschutzprinzipien bereits bei der Konzeption nach dem Grundsatz „Privacy-by-Design“ i.S.d. Art. 25 Abs. 1 DS‑GVO berücksichtigt werden.^[43] Voreinstellungen der Systeme müssen datenschutzfreundlich ausgestaltet sein („Privacy-by-Default“), sodass beispielsweise keine automatische Aufzeichnung erfolgt, bevor die erforderliche Einwilligung vorliegt, vgl. Art. 25 Abs. 2 DS‑GVO.

Zudem ist u.a. sicherzustellen, dass nur berechtigte Personen Zugriff auf die Aufzeichnungen und Transkripte erhalten. Die Speicherung und Übertragung der Audio- und Textdateien muss verschlüsselt erfolgen, um unbefugten Zugriff zu verhindern.^[44] Schließlich gehört die regelmäßige Schulung der Beschäftigten im Umgang mit Aufzeichnungen und Transkripten zu den organisatorischen Pflichten, um eine datenschutzkonforme Verarbeitung in der Praxis zuverlässig zu gewährleisten.

IV. Drittlandsübermittlungen

Viele cloudbasierte Konferenzsysteme speichern Daten auf Servern außerhalb der Europäischen Union. In diesen Fällen müssen Unternehmen besondere Maßnahmen ergreifen, um die Anforderungen der DS‑GVO zu erfüllen. Zunächst ist sicherzustellen, dass mit den Anbietern entsprechende Auftragsverarbeitungsverträge nach Art. 28 DS‑GVO abge‑ schlossen werden. Darüber hinaus müssen geeignete Garantien für den Schutz der Daten im Drittland implementiert werden, beispielsweise durch die Verwendung von Standardvertragsklauseln oder vergleichbaren vertraglichen Si‑cherungen.

Ergänzend ist eine Prüfung der tatsächlichen Schutzmaßnahmen im Drittland erforderlich, um sicherzustellen, dass das Datenschutzniveau den europäischen Anforderungen entspricht und die Rechte der Betroffenen wirksam gewahrt bleiben. Nur durch diese Kombination aus vertraglichen Vereinbarungen und praktischer Kontrolle lässt sich die rechtliche Sicherheit bei der Verarbeitung personenbezogener Daten außerhalb der EU gewährleisten.

V. Einsatz von KI-Systemen

Setzen Unternehmen KI-Systeme zur Transkription von Gesprächen ein, sind neben den Vor-gaben der DS‑GVO auch die Anforderungen der KI-VO zu beachten. Reine Transkrip‑ tionssysteme, die lediglich Sprache in Text umwandeln, fallen i.d.R. nicht unter Hochrisiko-KI. Systeme, die jedoch zusätzlich Emotionen, Stimmungen oder personenbezogene Merkmale analysieren, können nach Art. 5 KI-VO untersagt sein.^[45]

Je nach Einsatzkontext kann ein Transkriptionssystem als Hochrisiko-KI eingestuft werden. In diesem Fall erhöhen sich die Anforderungen an Risikobewertung, Dokumentation, Transparenz gegenüber den betroffenen Personen sowie die menschliche Aufsicht.^[46]Unternehmen müssen sicherstellen, dass Betroffene über Art. Umfang und Zweck der automatisierten Verarbeitung informiert werden und gegebenenfalls Art.  22 DS‑GVO beachtet wird, soweit automatisierte Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Auswirkung getroffen werden könnten.

Zudem ist die konkrete Systemarchitektur entscheidend. Die Verarbeitung darf nicht dazu führen, dass personenbezogene Daten unkontrolliert aggregiert oder für Profiling genutzt werden, das über die reine Transkription hinausgeht. Technische und organisatorische Maßnahmen wie „Privacy-by-Design“ und „Privacy-by-Default“, Zugriffsbeschränkungen und Verschlüsselung bleiben auch bei KI-Systemen unverzichtbar, um die datenschutzkonforme Verarbeitung sicherzustellen.^[47]

Zusammenfassend gilt: Unternehmen müssen den Einsatz von KI-Systemen sorgfältig planen, dokumentieren und überwachen, um sowohl die Vorgaben der DS‑GVO als auch die spezifischen Anforderungen der KI-VO zu erfüllen. Reine Transkriptionsaufgaben können datenschutzrechtlich weit‑ gehend unproblematisch sein, sobald jedoch weitergehen‑ de Analysen oder Klassifikationen erfolgen, ist eine vertiefte Prüfung und Risikoabschätzung zwingend.

VI. Strafbarkeit nach § 201 StGB

§201 StGB stellt die unbefugte Aufnahme des nichtöffentlich gesprochenen Wortes unter Strafe. Da die meisten Transkriptionstools das Audiosignal zwischenspeichern, liegt technisch regelmäßig eine Aufnahme vor.^[48] Ohne die Einwilligung aller Beteiligten erfüllt die Handlung den Tatbestand der Strafbarkeit.

1. „Unbefugt“

Der Begriff „unbefugt“ bezeichnet das Fehlen einer rechtfertigenden Befugnis.^[49] Eine Befugnis kann sich aus der Einwilligung der Beteiligten, aus einer gesetzlichen Erlaubnisnorm oder aus sonstigen Rechtfertigungsgründen ergeben.^[50] Im Kontext von Transkriptionen stellt die Einwilligung der Gesprächsteilnehmer die praktisch wichtigste Rechtfertigungsgrundlage dar.

2. Verhältnis zur DS‑GVO

Eine datenschutzrechtlich wirksame Einwilligung nach Art. 6 Abs. 1 lit. a) DS‑GVO muss freiwillig, informiert und jederzeit widerruflich erfolgen. Liegt eine solche Einwilligung (bzw. ein tatbestandsausschließendes Einverständnis) vor, ist die Verarbeitung personenbezogener Daten rechtmäßig und zugleich entfällt die Strafbarkeit nach §  201 StGB, da die Aufnahme dann nicht „unbefugt“ erfolgt.^[51] Im Gegensatz dazu genügt eine bloß konkludente Zustimmung, etwa das Weiterreden nach Hinweis auf eine Aufzeichnung, für strafrechtliche Zwecke zwar als Befugnis,^[52] erfüllt jedoch datenschutzrechtlich nicht die Anforderungen an eine wirksame Einwilligung. Das bedeutet, dass strafrechtlich eine stillschweigende Zustimmung ausreichend sein kann, während das Datenschutzrecht eine ausdrückliche, dokumentierte Einwilligung verlangt.^[53]

3. Konsequenzen und Bewertungen für die Praxis

Das Verhältnis von Strafrecht und Datenschutzrecht ist bei der rechtlichen Würdigung von Aufzeichnungen und deren Transkriptionen im Wege einer parallelen Normenanwendung zu bestimmen. Maßgeblich ist dabei, dass beide Regelungssysteme eigenständige Schutzrichtungen verfolgen und jeweils selbstständig zu prüfen sind.

Liegt eine wirksame Einwilligung vor, die sowohl den Anforderungen der DS‑GVO als auch den strafrechtlichen Vorgaben entspricht, ist die Anfertigung der Aufnahme rechtlich unbedenklich und sowohl datenschutzrechtlich als auch strafrechtlich zulässig.

Genügt die Einwilligung hingegen lediglich den strafrechtlichen Anforderungen, ohne die Voraussetzungen einer wirksamen datenschutzrechtlichen Einwilligung zu erfüllen, entfällt zwar eine Strafbarkeit. Die Datenverarbeitung bleibt jedoch datenschutzrechtlich rechtswidrig, sodass ein Verstoß gegen die einschlägigen Bestimmungen der DS‑GVO vorliegt.

VII. Fazit

Die automatisierte Aufzeichnung und Transkription von Gesprächen bewegt sich im Spannungsfeld von Datenschutz- und Strafrecht und erfordert daher eine sorgfältige Planung sowie konsequente Umsetzung. Die Einholung einer wirksamen Einwilligung der Beteiligten bleibt die verlässlichste Rechtsgrundlage, da sie sowohl datenschutzrechtlich nach Art. 6 Abs. 1 lit. a) DS‑GVO als auch strafrechtlich Sicherheit bietet. Diese umfassende Sicher‑ heit kann Art. 6 Abs. 1 lit. f) DS‑GVO derzeit nicht leisten.

Nichtsdestoweniger sind alternative Rechtsgrundlagen, etwa die Vertragserfüllung, gesetzliche Verpflichtungen oder das berechtigte Interesse – je nach den Umständen des Einzelfalls – dazu geeignet die Verarbeitung datenschutzrechtlich zu legitimieren. Insbesondere im Beschäftigtenkontext können diese Rechtsgrundlagen an ihre Grenzen stoßen.

Für diesen Fall empfiehlt sich der Abschluss von Betriebsvereinbarungen, die transparent Informationspflichten, Interventionsrechte der Betroffenen, ein strukturiertes Löschkonzept sowie technische und organisatorische Maßnahmen verbindlich regeln. Dazu zählen Zugriffskontrollen, Verschlüsselung ebenso wie besondere Regelungen bei cloudbasierten Systemen oder dem Einsatz KI-gestützter Transkriptionssoftware.

Insbesondere im Beschäftigtenkontext müssen Unternehmen ergänzende Maßnahmen ergreifen, die transparente Informationspflichten, Interventionsrechte der Betroffenen sowie ein strukturiertes Löschkonzept umfassen. Technische und organisatorische Maßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung, „Privacy-by-Design“ und „Privacy-by-Default“, sind ebenso unverzichtbar wie besondere Regelungen beim Einsatz cloudbasierter Systeme oder KI-gestützter Transkriptionssoftware.

Die praktische Umsetzung zeigt, dass eine rechtlich einwandfreie und zugleich datenschutzkonforme Gesprächstranskription nur durch die integrative Verbindung organisatorischer, technischer und rechtlicher Maßnahmen gelingt. Unternehmen dürfen sich nicht auf den reinen technischen Komfort der Systeme verlassen. Vielmehr muss jede Verarbeitung auf die Zweckbindung, Transparenz und die Rechte der Betroffenen ausgerichtet sein. Nur so lassen sich die Risiken der Rechtsverletzung minimieren und Rechtssicherheit in einem zunehmend digitalisierten Kommunikationsumfeld gewährleisten.

_{[1] Hoeren/Sieber/Holznagel/Haag, MMR-HdB, 62. EL 2024, Teil 29 Rn. 23.}

_{[2] Moers, DSRITB 2024,751 (756 f.).}

_{[3] Gola/Heckmann/Schulz, 3. Aufl. 2022, Art. 9 DS‑GVO Rn. 19; Kühling/Buchner/ Weichert, 4. Aufl. 2024, Art. 4 Nr. 14 DS‑GVO Rn. 3.}

_{[4] EDSA, Leitlinien 02/2021 zu virtuellen Sprachassistenten, Version 2.0, 7.7.2021, Rn. 81.}

_{[5] EDSA, Leitlinien 02/2021 zu virtuellen Sprachassistenten, Version 2.0, 7.7.2021, Rn. 31}

_{[6] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Mühlenbeck, 3. Aufl. 2024, Art. 4 DS‑GVO Rn. 252; Kühling/Buchner/Weichert, 4. Aufl. 2024, Art. 4 Nr. 14 DS‑GVO Rn. 3; Simitis/Hornung/Spiecker gen. Döhmann/Petri, 2. Aufl. 2025, Art. 4 Nr. 14 DS‑GVO Rn. 10.}

_{[7] DSK, Positionspapier zur biometrischen Analyse, 3.4.2019, S. 8; so auch Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Mühlenbeck, 3. Aufl. 2024, Art.  4 DS‑GVO Rn. 253 f. Simitis/Hornung/Spiecker gen. Döhmann/Petri, 2. Aufl. 2025, Art. 4 Nr. 14 DS‑GVO Rn. 10; nach Kühling/Buchner/ Weichert, 4. Aufl. 2024, Art. 4 Nr. 14 DS‑GVO Rn. 3 sind Tonaufnahmen nicht vom Telos des Art.  4 Nr.  14 DS‑GVO erfasst. Vom offenen Wortlaut erfasst werden dagegen optische oder akustische Identifikationsverfahren per Mustererkennung, also etwa per Stimmerkennung (Sprechererkenung), Tillenburg, DuD 2011, 197; ferner zur Gesichtserkennung Hornung/Schindler, DuD 2021, 515; Martini, NVwZ 2022, 30.}

_{[8] So auch Loy, DSB 2026, 24 (26).}

_{[9] Dabei könne nicht ausgeschlossen werden, dass derartige Profile für eine logi‑ sche Sekunde erstellt werden, i.E. auch Moers, DSRITB 2024,751 (754).}

_{[10] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 16 ff.}

_{[11] Taeger/Gabel/Taeger, 5. Aufl. 2026, Art. 6 DS‑GVO Rn. 51 f.}

_{[12] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 13 ff.}

_{[13] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 14 ff.}

_{[14] Siehe ausf. dazu Schwartmann/Jaspers/Thüsing/Kugelmann/Schmidt/Thü‑ sing, 3. Aufl. 2024, Art. 88 DS‑GVO/§ 26 BDSG Rn. 40 ff.}

_{[15] Näheres unter B. V.}

_{[16] Dazu ausf. Schwartmann/Jaspers/Thüsing/Kugelmann/Schmidt/Thüsing, 3. Aufl. 2024, Art. 88 DS‑GVO/§ 26 BDSG Rn. 40 ff.; Kühling/Buchner/Maschmann, 4. Aufl. 2024, § 26 BDSG Rn. 63.}

_{[17] EDSA, Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b) DS‑GVO im Zusammenhang mit der Erbringung von OnlineDiensten für betroffene Personen, Vers. 2.0, 8.10.2019, Rn. 30; Schwartmann/ Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 70; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2. Aufl. 2025, Art. 6 Abs. 1 DS‑GVO Rn. 34.}

_{[18] Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2. Aufl. 2025, Art.  6 Abs.  1 DS‑GVO Rn. 34.}

_{[19] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 70.}

_{[20] Moers, DSRITB 2024, 751 (758) nennt weiterhin den Fall, dass die Transkription eines Kundengesprächs unter Kaufleuten ein Kaufmännisches Bestätigungsschreiben darstellt, so dass ein Schweigen nach Erhalt des Transkripts als Zustimmung zu den besprochenen Inhalten gewertet werden könnte. Die Voraussetzung dafür ist nur, dass der Versendung unmittelbar Vertragsverhandlungen vorausgegangen sind, die Transkription dem Empfänger in zeitlicher Nähe zu der Verhandlung zugeht, und der Inhalt genehmigungsfähig ist, vgl. MüKo-BGB/Busche, 10. Aufl. 2025, § 147 BGB Rn. 21. Schweigt der Empfänger bzw. widerspricht er dem Schreiben nicht unverzüglich nach § 121 Abs. 1 S. 1 BGB, kommt der Vertrag mit dem Inhalt der Transkription zustande.}

_{[21] Moers, DSRITB 2024, 751 (758).}

_{[22] Moers, DSRITB 2024, 751 (758).}

_{[23] Loy, DSB 2026, 24 (24).}

_{[24] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 160.}

_{[25] EuGH, Urt. v. 4.7.2023 – C-252/21, ECLI:EU:C:2023:537 Rn. 108; Schwarmann/ Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 160}

_{[26] Nach Loy, DSB 2026, 24 (25) ist bspw. bei internationalen Teams oder Mitarbeitenden mit Hörbeeinträchtigung eine KI-Transkription die einzige barrierefreie Form eines Protokolls.}

_{[27] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 164 ff.}

_{[28] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 165 ff.}

_{[29] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 144.}

_{[30] Moers, DSRITB 2024, 751 (759).}

_{[31] Wünschelbaum/Sorber, NZA 2024, 1540 (1541); Loy, DSB 2026, 24 (25).}

_{[32] Kühling/Buchner/Maschmann, 4. Aufl. 2024, Art.  88 DS‑GVO Rn. 25; Specht/ Mantz/Ströbel/Wybitul, HdB Datenschutzrecht, 2019, Teil B § 10 Rn. 83.}

_{[33] Siehe zu den Anforderungen im Speziellen Schwartmann/Jaspers/Thüsing/Kugelmann/Thüsing/Traut, 3. Aufl. 2024, Art. 88 DS‑GVO Rn. 24 ff.}

_{[34] Kühling/Buchner/Maschmann, 4. Aufl. 2024, § 26 BDSG Rn. 68; Schwartmann/ Jaspers/Thüsing/Kugelmann/Thüsing/Traut, 3. Aufl. 2024, Art. 88 DS‑GVO Rn. 52.}

_{[35] BeckOK-Datenschutzrecht/Riesenhuber, 54. Ed. 2025, Art. 88 DS‑GVO Rn. 83 ff.; Paal/Pauly/Pauly, 4. Aufl. 2026, Art. 88 DS‑GVO Rn. 14.}

_{[36] Kühling/Buchner/Maschmann, 4. Aufl. 2024, §  26 BDSG Rn. 68; dazu Beck‑ schulze/Fackeldey, RDV 2013, 109 (115 f.); Wybitul, NZA 2017, 1488}

_{[37] Kühling/Buchner/Maschmann, 4. Aufl. 2024, § 26 BDSG Rn. 65; siehe ferner zur Mitbestimmung bei technischen Einrichtungen zum Zweck der Verhaltensoder Leistungsüberwachung Dzida/Granetzny, NZA 2020, 1201 (1205); Baade/ Hößl, DStR 2023, 1213 (1219); Lüneborg, GmbHR 2023, 765 (771); Badura/Brychcy, DB 2024, 799 (800).}

_{[38] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 32.}

_{[39] Siehe dazu ausf. Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/ Klein, 3. Aufl. 2024, Art. 6 DS‑GVO Rn. 33 ff.; Paal/Pauly/Hennemann, 4. Aufl. 2026, Art. 13 DS‑GVO Rn. 31a.}

_{[40] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein, 3. Aufl. 2024, Art. 7 DS‑GVO Rn. 40; Kühling/Buchner/Buchner/Kühling, 4. Aufl. 2024, Art. 7 Rn. 36}

_{[41] Schwartmann/Jaspers/Thüsing/Kugelmann/Atzert, 3. Aufl. 2024, Art.  21 DS‑GVO Rn. 69; Kühling/Buchner/Buchner/Kühling, 4. Aufl. 2024, Art. 7 Rn. 37.}

_{[42] Sofern dies technisch nicht ausgeschlossen werden kann, sind die transkribierten Passagen der betroffenen Personen im Nachhinein umgehend zu streichen oder anonymisieren Loy, DSB 2026, 24 (27).}

_{[43] Siehe allgemein dazu Schwartmann/Jaspers/Thüsing/Kugelmann/Keber/Kep‑ peler, 3. Aufl. 2024, Art. 25 DS‑GVO Rn. 28 ff.}

_{[44] Loy, DSB 2026, 24 (25).}

_{[45] Martini/Wendehorst/Wendehorst, 2. Aufl. 2026, Art. 5 KI-VO Rn. 153 ff.}

_{[46] Die erhöhten Anforderungen nach der KI-VO bestimmen sich nach den Art. 8 ff. KI-VO.}

_{[47] Schäfer, ZD 2025, 12 (15); Baumgartner/Brunnbauer/Cross, MMR 2023, 543 (547).}

_{[48] Hoeren/Sieber/Holznagel/Haag, MMR-HdB, 62. EL 2024, Teil 29 Rn. 23; Klaas/ Momsen/Wybitul/Lamsfuß, Datenschutzsanktionenrecht, 2023, 4. Teil § 10 Rn. 17 setzt eine „dauerhafte“ (Zwischen-)Speicherung voraus, so auch Matt/Renzikowski/Wietz/Zlobinski, 2. Aufl. 2020, § 201 StGB Rn. 4}

_{[49] Fischer-Fischer, 72. Aufl. 2025, § 201 StGB Rn. 9; Klaas/Momsen/Wybitul/Lamsfuß, Datenschutzsanktionenrecht, 2023, 4. Teil § 10 Rn. 40}

_{[50] Klaas/Momsen/Wybitul/Lamsfuß, Datenschutzsanktionenrecht, 2023, 4. Teil § 10 Rn. 41 ff.}

_{[51] Im Falle eines tatbestandsausschließenden Einverständnisses ist bereits der Tatbestand nicht erfüllt Klaas/Momsen/Wybitul/Lamsfuß, Datenschutzsank‑ tionenrecht, 2023, 4. Teil § 10 Rn. 41.}

_{[52] Siehe zur konkludenten und mutmaßlichen Einwilligung Fischer/Fischer, 72. Aufl. 2025, § 201 StGB Rn. 10; BeckOK-StGB/Heuchemer, 50. Ed. 2021, § 201 StGB Rn. 6.}

_{[53] Kindhäuser/Hilgendorf/Kindhäuser/Hilgendorf, 10. Aufl. 2025, § 201 StGB Rn. 22.}