Kostenlos beraten
OpenAI Whisper DSGVO-Compliance und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

OpenAI Whisper DSGVO: AVV, Sprachdaten und Datenschutz

OpenAI Whisper verarbeitet Audioaufnahmen und erstellt Transkripte. Deutsche Unternehmen, die Whisper über die OpenAI API nutzen, müssen einen Auftragsverarbeitungsvertrag (AVV) mit OpenAI abschließen und eine Rechtsgrundlage für die Verarbeitung von Sprachdaten nach DSGVO nachweisen. Da Sprachaufnahmen personenbezogene Daten — und in bestimmten Fällen biometrische Daten — darstellen können, erfordert der Einsatz von Whisper für Meeting-Transkription, Anrufaufzeichnung oder Kundenservice eine sorgfältige Compliance-Vorbereitung. Unternehmen, die Whisper lokal (selbst gehostet) auf ihrer eigenen Infrastruktur betreiben, senden keine Audiodaten an OpenAI, tragen aber als Verantwortliche die vollständige DSGVO-Verantwortung.

Hat OpenAI Whisper einen Auftragsverarbeitungsvertrag (AVV)?

OpenAI stellt ein Data Processing Addendum (DPA) bereit, das die Nutzung der OpenAI API — einschließlich der Whisper-Transkriptions-Endpunkte — abdeckt. Der AVV ist für API-Kunden verfügbar und regelt die Verarbeitung personenbezogener Daten durch OpenAI in Ihrem Auftrag, wenn Sie Audiodateien an den Whisper-Endpunkt senden.

Wesentliche Inhalte des OpenAI AVV:

  • Auftragsverarbeiter-Verhältnis: OpenAI ist Auftragsverarbeiter, wenn Sie die API nutzen. Sie sind der Verantwortliche (Controller) für die personenbezogenen Daten Ihrer Mitarbeitenden, Kunden oder Gesprächsteilnehmer.
  • Standardvertragsklauseln: Der AVV enthält EU-Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten aus der EU/EWR an die US-amerikanische Infrastruktur von OpenAI.
  • Datenspeicherung: Laut den API-Nutzungsbedingungen von OpenAI werden API-Eingaben und -Ausgaben standardmäßig nicht für das Modelltraining genutzt, und Daten werden nur für den Zeitraum aufbewahrt, der zur Erbringung des Dienstes erforderlich ist.
  • Unterauftragsverarbeiterliste: OpenAI veröffentlicht eine Liste der für die API eingesetzten Unterauftragsverarbeiter, einschließlich Cloud-Infrastrukturanbieter.

Der AVV muss abgeschlossen sein, bevor Sie über die Whisper API personenbezogene Daten verarbeiten. Das Versenden von Audiodateien mit identifizierbaren Stimmen an die Whisper API ohne gültigen AVV stellt einen Verstoß gegen Art. 28 DSGVO dar.

Wenn Sie Whisper als selbst gehostetes Open-Source-Modell auf eigenen Servern betreiben, benötigen Sie keinen AVV mit OpenAI — sind aber als Verantwortlicher vollständig für die DSGVO-konforme Verarbeitung zuständig.

Whisper und Sprachdaten nach DSGVO — Was gilt als personenbezogenes Datum?

Sprachdaten sind nahezu immer personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Eine Sprachaufnahme identifiziert die sprechende Person — oder ermöglicht deren Identifizierung. Dies gilt unabhängig davon, ob Sie aufzeichnen:

  • Interne Meetings: Stimmen von Mitarbeitenden sind personenbezogene Daten. Selbst wenn nur das Transkript gespeichert wird, muss die Audiodatei während der Verarbeitung als personenbezogenes Datum behandelt werden.
  • Kundendienst-Gespräche: Audioaufnahmen von Kundengesprächen sind personenbezogene Daten beider Parteien — des Kunden und des Mitarbeitenden.
  • Sprachbefehle oder Diktat: Einzelsprecheraufnahmen für Diktat oder Sprachsteuerung sind personenbezogene Daten der sprechenden Person.

In bestimmten Anwendungsfällen können Sprachaufnahmen als biometrische Daten nach Art. 9 DSGVO (besondere Kategorien) eingestuft werden. Biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden — z. B. zur Sprecheridentifikation oder Stimmenauthentifizierung — erfordern eine ausdrückliche Einwilligung oder einen anderen Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO mit deutlich höheren Compliance-Anforderungen.

Bei Standard-Transkriptionsanwendungen (Sprache-zu-Text ohne Sprecheridentifikation) handelt es sich um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nicht aber um besondere Kategorien — vorausgesetzt, das System versucht nicht, Personen anhand ihrer Stimmmerkmale zu identifizieren.

Whisper lokal betreiben vs. API nutzen — Compliance-Unterschiede

Diese Unterscheidung ist entscheidend für Ihre DSGVO-Compliance bei Whisper:

AspektWhisper API (OpenAI-gehostet)Selbst gehostetes Whisper
AVV mit OpenAI erforderlichJa (Art. 28 DSGVO)Nein
Daten verlassen eigene InfrastrukturJa — Audio wird an US-Server übermitteltNein
EU-US-Datentransfer-Mechanismus erforderlichJa — SCC im OpenAI AVVNein
VerantwortlicherSieSie
DSGVO-PflichtenVollständig — inkl. DrittlandtransferVollständig
AufwandGeringerer BetriebsaufwandHöherer Infrastrukturaufwand
KI-Act-PflichtenGelten für Ihren AnwendungsfallGelten für Ihren Anwendungsfall

Datenschutzrechtlicher Vorteil des selbst gehosteten Whisper: Audiodateien verlassen Ihre Infrastruktur nicht. Dies eliminiert das Drittlandtransfer-Risiko, macht einen OpenAI AVV überflüssig und erleichtert die Datenlokalisierung erheblich. Für Organisationen, die besonders sensible Sprachdaten verarbeiten — Patientengespräche, rechtliche Verfahren, HR-Interviews — reduziert das selbst gehostete Whisper das DSGVO-Risiko erheblich.

Compliance-Hinweis für die API-Nutzung: Jede Audiodatei, die Sie an die Whisper API senden, wird an die US-Server von OpenAI übermittelt. AVV und SCC müssen vorab abgeschlossen und aktuell sein, und Ihre Datenschutzhinweise müssen diese internationale Übermittlung offenlegen.

AVV für OpenAI Whisper in Deutschland

Das OpenAI DPA fungiert als Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, wenn deutsche Unternehmen die Whisper API nutzen. So richten Sie eine konforme AVV-Beziehung ein:

  1. OpenAI Data Processing Addendum akzeptieren: Über die API-Kontoeinstellungen oder durch direkte Unterzeichnung mit Ihrem OpenAI-Ansprechpartner bei Enterprise-Verträgen.
  2. SCC verifizieren: Sicherstellen, dass EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) in den AVV für die EU-US-Audioübermittlung einbezogen sind.
  3. Verzeichnis der Verarbeitungstätigkeiten aktualisieren: OpenAI / Whisper API als Auftragsverarbeiter für Sprach- und Transkriptionsdaten im Verzeichnis nach Art. 30 DSGVO eintragen.
  4. Unterauftragsverarbeiterliste prüfen: Die veröffentlichte Liste von OpenAI prüfen und beurteilen, ob einzelne Unterauftragsverarbeiter zusätzliche Transfer- oder Risikobedenken aufwerfen.
  5. Datenschutzhinweise aktualisieren: Mitarbeiter- und kundenseitige Datenschutzhinweise müssen offenlegen, dass Audiodaten von OpenAI als Auftragsverarbeiter verarbeitet werden, einschließlich der internationalen Übermittlung.

Whisper-Anwendungsfälle und DSGVO-Risikoniveaus: Meetings, Anrufe, Kundendienst

Verschiedene Whisper-Anwendungsfälle weisen unterschiedliche DSGVO-Risikoprofile auf:

Interne Meeting-Transkription (mittleres Risiko) Audioaufnahmen interner Meetings enthalten personenbezogene Daten von Mitarbeitenden. Die Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Arbeitsvertrags) oder Art. 6 Abs. 1 lit. f (berechtigtes Interesse). Mitarbeitende müssen vor Beginn darüber informiert werden, dass Meetings aufgezeichnet und transkribiert werden — ein einfacher Hinweis zu Beginn des Meetings ist in der Regel ausreichend. Transkripte sollten nur so lange gespeichert werden wie nötig, und der Zugriff ist zu beschränken.

Kundendienst-Anruftranskription (hohes Risiko) Kundengespräche sind personenbezogene Daten des Kunden. Die Rechtsgrundlage erfordert sorgfältige Analyse: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f gilt häufig, aber Kunden müssen vor Beginn informiert werden („Dieser Anruf wird zur Qualitätssicherung aufgezeichnet und transkribiert.”). Bei ausgehenden Anrufen ist eine vorherige Benachrichtigung erforderlich. Für die systematische Transkription in Call-Centern wird eine Datenschutz-Folgenabschätzung (DSFA) empfohlen.

Mitarbeiterdiktat und Sprache-zu-Text (geringeres Risiko) Individuelle Diktierfunktionen für die persönliche Produktivität von Mitarbeitenden sind risikoärmer, erfordern aber dennoch eine Rechtsgrundlage und Nennung in den Mitarbeiter-Datenschutzhinweisen.

Sprecheridentifikation oder Stimmanalyse (hohes Risiko — ggf. besondere Datenkategorie) Jeder Anwendungsfall, der versucht, Personen anhand ihrer Stimme zu identifizieren, emotionale Zustände zu analysieren oder Stimmprofile zu erstellen, fällt unter die Sondervorschriften des Art. 9 DSGVO für besondere Kategorien personenbezogener Daten. Eine ausdrückliche Einwilligung ist in der Regel der einzig tragfähige Erlaubnistatbestand, und eine DSFA ist zwingend vorgeschrieben.

Betriebsratsanforderungen bei Audioaufzeichnung und Transkription

Die Aufzeichnung und Transkription von Mitarbeitenden löst Mitbestimmungsrechte nach deutschem Arbeitsrecht aus. Der Betriebsrat hat zwingend Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG bei jeder technischen Einrichtung, die zur Überwachung des Verhaltens oder der Leistung von Mitarbeitenden geeignet ist — und Transkriptionstools fallen eindeutig darunter.

Über das BetrVG hinaus müssen deutsche Arbeitgeber zusätzlich beachten:

  • BDSG § 26: Die Überwachung von Beschäftigten muss verhältnismäßig sein und kann Betriebsratsbeteiligung erfordern. Die systematische Aufzeichnung von Mitarbeiterkommunikation erfordert eine dokumentierte Rechtfertigung.
  • Fernmeldegeheimnis: Die Aufzeichnung von Telefongesprächen in Deutschland unterliegt strengen gesetzlichen Anforderungen. Beide Parteien müssen der Aufzeichnung zustimmen. Heimliche Aufzeichnungen sind nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) strafbar. Dies gilt gleichermaßen für die Transkription: Ein Gespräch aufzuzeichnen und ohne Einwilligung durch Whisper zu transkribieren ist rechtswidrig.

Vor dem Einsatz von Whisper für Anwendungsfälle mit Mitarbeitenden müssen Sie:

  1. Den Betriebsrat informieren über den geplanten Einsatz von Whisper — welche Audioquellen transkribiert werden, wie Transkripte gespeichert werden und wer Zugriff erhält.
  2. Eine Betriebsvereinbarung aushandeln, die zulässige Aufzeichnungsszenarien, Aufbewahrungsfristen für Transkripte und Zugriffskontrollen regelt.
  3. Einen Einwilligungsmechanismus implementieren für Anrufaufzeichnungen, wenn Gespräche mit externen Parteien transkribiert werden sollen.
  4. Alles dokumentieren — Rechtsgrundlage, Benachrichtigungsverfahren und die Betriebsvereinbarung — bevor Sie live gehen.

Der Einsatz von Whisper für Meeting-Transkription ohne Betriebsratsbeteiligung kann zu einer Unterlassungsverfügung führen. Bei Anrufaufzeichnungen ist die rechtliche Exposition größer: Unerlaubte Aufzeichnungen sind nach § 201 StGB strafbar.

Compliance-Checkliste für deutsche Unternehmen beim Einsatz von Whisper

  • Betriebsmodell festgelegt: API oder selbst gehostet — Compliance-Pfad bestimmt
  • AVV abgeschlossen: OpenAI Data Processing Addendum akzeptiert oder unterzeichnet (nur bei API-Nutzung)
  • SCC bestätigt: Standardvertragsklauseln für EU-US-Audioübermittlung im OpenAI AVV enthalten
  • Unterauftragsverarbeiterliste geprüft: Liste von OpenAI geprüft, Datenschutzhinweise aktualisiert
  • Verarbeitungsverzeichnis aktualisiert: Whisper / OpenAI API im Verzeichnis nach Art. 30 DSGVO eingetragen
  • Rechtsgrundlage dokumentiert: Für jeden Anwendungsfall identifiziert und dokumentiert (Meetings, Anrufe, Diktat)
  • Datenschutzhinweise aktualisiert: Mitarbeiter- und Kundendatenschutzhinweise offenlegen die Audioverarbeitung und OpenAI als Auftragsverarbeiter
  • Teilnehmerbenachrichtigung: Mechanismus für die Vorab-Information von Meeting-Teilnehmern und Anrufparteien vor Aufzeichnung eingerichtet
  • Einwilligungsmechanismus für Anrufe: Einwilligung für Anrufaufzeichnung eingeholt (Fernmeldegeheimniskonformität)
  • DSFA durchgeführt: Erforderlich bei systematischer Aufzeichnung von Mitarbeiterkommunikation oder Kundengesprächen in großem Maßstab
  • Betriebsrat informiert: Betriebsrat vor Inbetriebnahme benachrichtigt, wenn Mitarbeitende aufgezeichnet werden
  • Betriebsvereinbarung abgeschlossen: Betriebsvereinbarung zu Aufzeichnung und Transkription unterzeichnet
  • Aufbewahrungsrichtlinie definiert: Transkripte und Audiodateien nach Zweckerfüllung gelöscht; Fristen dokumentiert

Compound Law berät deutsche Unternehmen beim Einsatz von Whisper: AVV-Prüfung, DSFA-Erstellung, Betriebsratsverhandlungen und Rechtsgrundlagenanalyse für die Sprachdatenverarbeitung. Mehr zu unseren Compliance-Leistungen.

Zum Vergleich empfehlen wir unsere Leitfäden zu KI-Mitarbeiterüberwachung und Datenschutz und OpenAI API DSGVO-Compliance.

Häufig gestellte Fragen

Ist OpenAI Whisper DSGVO-konform?

OpenAI Whisper kann DSGVO-konform eingesetzt werden, aber die Konformität hängt davon ab, wie Sie es betreiben. Die Nutzung der Whisper API erfordert einen Auftragsverarbeitungsvertrag mit OpenAI, Standardvertragsklauseln für den EU-US-Datentransfer, eine dokumentierte Rechtsgrundlage für die Verarbeitung von Sprachdaten und die Aufklärung der betroffenen Personen. Selbst gehostetes Whisper vermeidet den OpenAI-Datentransfer, überträgt aber die vollständige DSGVO-Verantwortung auf Ihre Organisation. Keine Betriebsvariante ist „automatisch konform” — die Vorbereitung des Verantwortlichen entscheidet über die Rechtmäßigkeit.

Hat OpenAI Whisper einen AVV (Auftragsverarbeitungsvertrag)?

Ja — für API-Nutzer. OpenAI stellt ein Data Processing Addendum bereit, das als AVV nach Art. 28 DSGVO fungiert. Es muss über Ihre OpenAI-Kontoeinstellungen akzeptiert oder bei Enterprise-API-Verträgen direkt mit OpenAI unterzeichnet werden. Der AVV enthält Standardvertragsklauseln für die EU-US-Übermittlung von Audiodaten. Selbst gehostete Whisper-Nutzer benötigen keinen AVV mit OpenAI, sind aber als Verantwortliche für alle DSGVO-Pflichten selbst zuständig.

Darf ich Mitarbeitergespräche mit Whisper aufzeichnen?

Die Aufzeichnung von Mitarbeitergesprächen (oder Gesprächen mit identifizierbaren Parteien) erfordert nach deutschem Recht die Einwilligung aller Beteiligten. Heimliche Aufzeichnungen sind nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) strafbar — unabhängig davon, ob Sie Whisper oder ein anderes Transkriptionstool verwenden. Bevor Sie Gespräche aufzeichnen und transkribieren, implementieren Sie einen Einwilligungsmechanismus (z. B. eine automatische Ansage zu Beginn des Gesprächs) und holen Sie die Betriebsratsbeteiligung ein.

Ist selbst gehostetes Whisper datenschutzrechtlich vorteilhafter?

Ja, in mehrerer Hinsicht. Selbst gehostetes Whisper bedeutet, dass Audiodateien vollständig auf Ihren eigenen Servern verarbeitet werden und Ihre Infrastruktur nicht verlassen. Dies eliminiert das Drittlandtransfer-Risiko, macht einen OpenAI-AVV überflüssig und vereinfacht die Datenlokalisierung erheblich. Für Organisationen, die sensible Audiodaten verarbeiten — in der Medizin, im Rechtsbereich oder bei Finanzdienstleistungen — ist selbst gehostetes Whisper generell die risikoärmere Option. Der Nachteil sind höhere Infrastruktur- und Wartungskosten.

Müssen Mitarbeitende über die Transkription von Meetings informiert werden?

Ja. Mitarbeitende müssen vor der Aufzeichnung ihrer Stimmen informiert werden, da Sprachaufnahmen personenbezogene Daten nach DSGVO sind. Diese Information gehört in den Mitarbeiter-Datenschutzhinweis und sollte durch einen Hinweis zu Beginn jedes aufgezeichneten Meetings ergänzt werden. Wenn Ihre Organisation einen Betriebsrat hat, ist dessen Beteiligung vor dem Einsatz eines systematischen Meeting-Transkriptionssystems nach § 87 Abs. 1 Nr. 6 BetrVG zwingend erforderlich.

Was gilt als Rechtsgrundlage für die Transkription von Kundengesprächen?

Für Kundengespräche sind die gebräuchlichsten Rechtsgrundlagen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. Qualitätssicherung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Unabhängig von der gewählten Grundlage müssen Kunden vor der Aufzeichnung informiert werden — in der Regel durch eine mündliche oder automatische Ansage zu Beginn des Gesprächs. Bei eingehenden Anrufen genügt eine aufgezeichnete Ansage. Bei ausgehenden Anrufen kann eine vorherige schriftliche Benachrichtigung erforderlich sein. Dokumentieren Sie Ihre Rechtsgrundlagenprüfung und implementieren Sie ein Verfahren für Widersprüche oder den Widerruf der Einwilligung.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist OpenAI Whisper DSGVO-konform?

OpenAI Whisper kann DSGVO-konform eingesetzt werden, aber die Konformität hängt davon ab, wie Sie es betreiben. Die Nutzung der Whisper API erfordert einen Auftragsverarbeitungsvertrag mit OpenAI, Standardvertragsklauseln für den EU-US-Datentransfer, eine dokumentierte Rechtsgrundlage für die Verarbeitung von Sprachdaten und die Aufklärung der betroffenen Personen. Selbst gehostetes Whisper vermeidet den OpenAI-Datentransfer, überträgt aber die vollständige DSGVO-Verantwortung auf Ihre Organisation. Keine Betriebsvariante ist „automatisch konform" — die Vorbereitung des Verantwortlichen entscheidet über die Rechtmäßigkeit.

Hat OpenAI Whisper einen AVV (Auftragsverarbeitungsvertrag)?

Ja — für API-Nutzer. OpenAI stellt ein Data Processing Addendum bereit, das als AVV nach Art. 28 DSGVO fungiert. Es muss über Ihre OpenAI-Kontoeinstellungen akzeptiert oder bei Enterprise-API-Verträgen direkt mit OpenAI unterzeichnet werden. Der AVV enthält Standardvertragsklauseln für die EU-US-Übermittlung von Audiodaten. Selbst gehostete Whisper-Nutzer benötigen keinen AVV mit OpenAI, sind aber als Verantwortliche für alle DSGVO-Pflichten selbst zuständig.

Darf ich Mitarbeitergespräche mit Whisper aufzeichnen?

Die Aufzeichnung von Mitarbeitergesprächen (oder Gesprächen mit identifizierbaren Parteien) erfordert nach deutschem Recht die Einwilligung aller Beteiligten. Heimliche Aufzeichnungen sind nach **§ 201 StGB** (Verletzung der Vertraulichkeit des Wortes) strafbar — unabhängig davon, ob Sie Whisper oder ein anderes Transkriptionstool verwenden. Bevor Sie Gespräche aufzeichnen und transkribieren, implementieren Sie einen Einwilligungsmechanismus (z. B. eine automatische Ansage zu Beginn des Gesprächs) und holen Sie die Betriebsratsbeteiligung ein.

Ist selbst gehostetes Whisper datenschutzrechtlich vorteilhafter?

Ja, in mehrerer Hinsicht. Selbst gehostetes Whisper bedeutet, dass Audiodateien vollständig auf Ihren eigenen Servern verarbeitet werden und Ihre Infrastruktur nicht verlassen. Dies eliminiert das Drittlandtransfer-Risiko, macht einen OpenAI-AVV überflüssig und vereinfacht die Datenlokalisierung erheblich. Für Organisationen, die sensible Audiodaten verarbeiten — in der Medizin, im Rechtsbereich oder bei Finanzdienstleistungen — ist selbst gehostetes Whisper generell die risikoärmere Option. Der Nachteil sind höhere Infrastruktur- und Wartungskosten.

Müssen Mitarbeitende über die Transkription von Meetings informiert werden?

Ja. Mitarbeitende müssen vor der Aufzeichnung ihrer Stimmen informiert werden, da Sprachaufnahmen personenbezogene Daten nach DSGVO sind. Diese Information gehört in den Mitarbeiter-Datenschutzhinweis und sollte durch einen Hinweis zu Beginn jedes aufgezeichneten Meetings ergänzt werden. Wenn Ihre Organisation einen Betriebsrat hat, ist dessen Beteiligung vor dem Einsatz eines systematischen Meeting-Transkriptionssystems nach § 87 Abs. 1 Nr. 6 BetrVG zwingend erforderlich.

Was gilt als Rechtsgrundlage für die Transkription von Kundengesprächen?

Für Kundengespräche sind die gebräuchlichsten Rechtsgrundlagen **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse, z. B. Qualitätssicherung) oder **Art. 6 Abs. 1 lit. a DSGVO** (Einwilligung). Unabhängig von der gewählten Grundlage müssen Kunden vor der Aufzeichnung informiert werden — in der Regel durch eine mündliche oder automatische Ansage zu Beginn des Gesprächs. Bei eingehenden Anrufen genügt eine aufgezeichnete Ansage. Bei ausgehenden Anrufen kann eine vorherige schriftliche Benachrichtigung erforderlich sein. Dokumentieren Sie Ihre Rechtsgrundlagenprüfung und implementieren Sie ein Verfahren für Widersprüche oder den Widerruf der Einwilligung.

Kostenlos beraten