KI-Transkription und KI-Protokollierung

Begrifflich ist zwischen reiner Transkription und KI-gestützter Protokollierung sauber zu unterscheiden. Eine Transkription ist die Umwandlung gesprochener Sprache in geschriebenen Text – wörtlich oder leicht geglättet, mit oder ohne Sprecherzuordnung. Eine KI-Protokollierung geht darüber hinaus: Sie erstellt aus dem Transkript zusätzlich eine inhaltliche Zusammenfassung, oft strukturiert in Themen, Beschlüsse, Aufgaben und Verantwortlichkeiten. Beides läuft heute typischerweise in derselben technischen Pipeline ab – ein Audio-Signal wird zunächst von einem Spracherkennungsmodell in Text umgesetzt und anschließend von einem Sprachmodell inhaltlich verdichtet.

Datenschutzrechtlich relevant ist das aus zwei Gründen. Erstens entstehen in beiden Verarbeitungsschritten personenbezogene Daten – jedenfalls dann, wenn Beteiligte namentlich erwähnt werden, ihre Stimme erkennbar ist oder die Inhalte Aussagen über sie enthalten. Zweitens sind an beiden Verarbeitungsschritten regelmäßig Cloud-Anbieter beteiligt, deren Geschäftsmodell auf weitergehender Nutzung der Daten beruht – Stichwort Modelltraining, Qualitätsverbesserung, Produktentwicklung.

Architektonisch sind drei Varianten zu unterscheiden, die sich datenschutzrechtlich erheblich unterscheiden:

• Cloud-Transkription: Das Audio-Signal wird an einen externen Anbieter übertragen und dort verarbeitet; das Transkript wird zurückgespielt. Datenschutzrechtlich am anspruchsvollsten – Drittlandstransfer, AVV, ggf. Mit-Verantwortlichkeit, Trainings-Nutzung.
• Edge-Transkription auf dem Endgerät: Die Spracherkennung läuft lokal auf dem Rechner der aufzeichnenden Person, das Audio verlässt das Gerät nicht. Datenschutzrechtlich deutlich entlastet – die externe Verarbeitung entfällt.
• On-Premises-Server der Hochschule: Eine eigene Installation eines Open-Source-Sprachmodells in einer Hochschul-eigenen virtuellen Maschine. Datenschutzrechtlich am entlastendsten, technisch aber am aufwendigsten.

Im Folgenden wird primär der typische Anwendungsfall behandelt: Sitzungen, Workshops, Beratungsgespräche und Personalgespräche an einer öffentlichen Hochschule, deren Aufzeichnung und Protokollierung über einen externen Anbieter angefragt wird.

Die datenschutzrechtliche Bewertung von KI-Transkription und KI-Protokollierung an einer öffentlichen Hochschule ergibt sich aus einem Geflecht mehrerer Rechtsquellen, die parallel zu beachten sind:

• DSGVO als übergeordnete Verordnung; im Anwendungsbereich stets zu beachten.
• Landesdatenschutzgesetz – für eine Hochschule des Landes Sachsen-Anhalt das DSAG LSA; für die Frage der Sanktionierung relevant insbesondere § 31 Abs. 2 DSAG LSA, der innerhalb der Verfahrensregelung zum Bußgeld- und Strafverfahren das Bußgeldprivileg für öffentliche Stellen enthält (Ausnahmen bestehen u. a. für öffentlich-rechtliche Wettbewerbsunternehmen). Das BDSG ist für Landesbedienstete an Landeshochschulen nicht direkt einschlägig, kann aber als Referenz und Auslegungsmaßstab herangezogen werden.
• Hochschulgesetz – in Sachsen-Anhalt das HSG LSA, das Aufgabenzuweisungen für Verwaltung und Forschung enthält und damit Anknüpfungspunkt für Art. 6 Abs. 1 lit. e DSGVO sein kann.
• Personalvertretungsrecht – im Bereich des Landes Sachsen-Anhalt das PersVG LSA, in bundesunmittelbaren Stellen das BPersVG, im privatrechtlichen Bereich das BetrVG. Im Kern: Mitbestimmung bei Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen können.
• KI-Verordnung (Verordnung (EU) 2024/1689 – KI-VO) – gestaffelt anwendbar ab Februar 2025, mit Pflichten zur KI-Kompetenz nach Art. 4 KI-VO und einer Risikoklassifikation für beschäftigtenbezogene Systeme in Anhang III KI-VO.
• § 203 StGB bei Berufsgeheimnisträgern (etwa Krankenversorgung, Seelsorge, Rechtsbeistand). Die Einschaltung externer Dienstleister ist hier nur unter den engen Voraussetzungen des § 203 Abs. 3 StGB zulässig. Eigene Verschwiegenheitsregimes – etwa für die Personalvertretung – ergeben sich aus dem jeweiligen Personalvertretungsrecht. Art. 5, 6, 9, 22, 32, 35 DSGVO; § 31 Abs. 2 DSAG LSA (Bußgeldprivileg); §§ 10, 69 PersVG LSA; KI-VO Anhang III; § 203 StGB

Für eine konkrete Anfrage aus dem Haus heißt das: Es genügt nicht, allein die DSGVO zu prüfen. Mindestens drei weitere Rechtskreise spielen häufig mit hinein – Beschäftigtendatenschutz, Personalvertretungsrecht und KI-Verordnung. Wer eine dieser Ebenen überspringt, baut sich ein Risiko auf, das oft erst spät sichtbar wird.

In einer Sitzungsaufzeichnung mit nachgelagerter KI-Verarbeitung entstehen mehrere datenschutzrechtlich relevante Datenkategorien zugleich, deren Schutzbedarf kumulativ zu betrachten ist:

• Stimme als biometrisches Merkmal: Sobald eine Aufzeichnung Sprecherzuordnung ermöglicht, kann die Stimme im Sinne des Art. 4 Nr. 14 DSGVO ein biometrisches Merkmal sein. Wird die Stimme tatsächlich zur eindeutigen Identifizierung verarbeitet – etwa durch automatische Diarisierung oder Sprecher-Profile –, eröffnet sich der Anwendungsbereich des Art. 9 DSGVO mit der Folge, dass eine zusätzliche Erlaubnisnorm aus Art. 9 Abs. 2 DSGVO erforderlich wird.
• Inhaltsdaten: Aussagen über Personen, Bewertungen, Meinungen, Gesundheits- oder Sozialdaten, ggf. besondere Kategorien nach Art. 9 DSGVO oder strafrechtlich relevante Daten nach Art. 10 DSGVO. In Personalsitzungen, Berufungsverfahren und Beratungsgesprächen praktisch immer einschlägig.
• Metadaten: Teilnehmerlisten, Zeitstempel, Standortdaten, technische Kennungen. Datenschutzrechtlich der weichste Block, in der Aufsichtspraxis aber nicht unbeachtlich.

Daraus folgt typischerweise ein erhöhter Schutzbedarf, insbesondere in Sitzungen mit Personal-, Berufungs-, Bewertungs- oder Gesundheitsbezug. Ob im Einzelfall auch Art. 9 DSGVO eröffnet ist, hängt davon ab, ob tatsächlich besondere Kategorien personenbezogener Daten verarbeitet werden – das ist konkret zu bewerten und nicht pauschal anzunehmen, sollte aber in Risiko-Bewertungen mitbedacht werden, weil es die Anforderungen an die Rechtsgrundlage deutlich verschärft (siehe Abschnitt 06). Art. 4 Nr. 14, Art. 9 Abs. 2, Art. 10 DSGVO; ErwGr 51 DSGVO

KI-gestützte Transkription und Protokollierung sind grundlegend andere Werkzeuge als ein Stenograph oder eine klassische Schreibkraft. Die Qualität ist nicht vorhersagbar, weil die zugrundeliegenden Sprachmodelle probabilistisch arbeiten. Drei Risikoklassen sind aus der einschlägigen Forschung gut belegt:

Praktische Konsequenz: Ein KI-Protokoll ohne menschliche Endprüfung ist für rechtsrelevante Sitzungen regelmäßig nicht tragfähig. Damit schmilzt der häufig angeführte Effizienzgewinn („spart die Schreibkraft") in vielen Fällen spürbar. Für reine Brainstorming-Notizen, Workshop-Mitschriften ohne Beschlussqualität oder zeitsparende Erstentwürfe kann die Bilanz anders aussehen, sofern der Rechtsrahmen eingehalten wird.

Die meisten am Markt befindlichen KI-Transkriptions- und Protokollierungsdienste sind US-Anbieter oder von US-Mutterkonzernen kontrollierte Unternehmen. Die datenschutzrechtliche Folge ist eine doppelte Hürde: Drittlandstransfer nach Kapitel V DSGVO und Trainings-Nutzung der überlassenen Daten.

Beim Drittlandstransfer ist die Drei-Stufen-Prüfung nach Schrems II (EuGH C-311/18 vom 16.07.2020) zu durchlaufen: Anwendbarkeit, geeignete Garantie, Transfer Impact Assessment. Das EU-US Data Privacy Framework entlastet ausschließlich für zertifizierte Anbieter; die Zertifizierungsliste ist beim US-Handelsministerium einsehbar. Die übrigen Anbieter sind regelmäßig auf Standardvertragsklauseln angewiesen, die nach Schrems II nur tragen, wenn das Drittlandsrecht ein im Wesentlichen gleichwertiges Schutzniveau gewährt – für die USA hat der EuGH dies wegen FISA 702 und Executive Order 12333 eingeschränkt verneint. Querverweis: Themenseite Drittlandstransfer.

Gravierender ist die Trainings-Nutzung: Viele Anbieter sehen in ihren Nutzungsbedingungen ausdrücklich vor, dass Audio- und Textdaten zur Verbesserung der Modelle ausgewertet werden dürfen – teils mit Opt-out, teils ohne. Das ist in der Sache eine zusätzliche Verarbeitungstätigkeit zu eigenen Zwecken des Anbieters und sprengt das Gerüst einer Auftragsverarbeitung nach Art. 28 DSGVO. In dieser Konstellation tritt der Anbieter neben oder anstelle der Auftragsverarbeitung als eigenständig Verantwortlicher auf – mit allen Folgen, die die DSGVO daran knüpft. Querverweis auf den AVV-Rollen-Klassifikator.

Wer also einen Anbieter prüft, sollte vor der DSFA drei Fragen klären: Wo sitzt der Anbieter und wo werden die Daten verarbeitet? Greift das EU-US DPF? Werden Audio- und Textdaten zu Trainings- oder Eigenzwecken genutzt – mit oder ohne Opt-out? Ohne befriedigende Antworten auf diese drei Fragen ist von einem produktiven Einsatz abzuraten. EuGH C-311/18 (Schrems II); EDSA-Empfehlungen 01/2020; Beschluss (EU) 2023/1795 (DPF)

Die wohl heikelste Frage betrifft die Rechtsgrundlage. Im Beschäftigtenkontext kommen drei Wege ernsthaft in Betracht – und jeder hat sein eigenes Problem.

Einwilligung – häufig nicht wirklich freiwillig

Eine Einwilligung der Beschäftigten nach Art. 6 Abs. 1 lit. a, Art. 7 DSGVO ist grundsätzlich möglich, aber an die Voraussetzung der Freiwilligkeit gebunden. Im Beschäftigungsverhältnis ist Freiwilligkeit wegen des strukturellen Über-/Unterordnungsverhältnisses erfahrungsgemäß schwer zu erreichen. Der EuGH hat in C-34/21 vom 30.03.2023 – einem Vorlageverfahren zur Schul-Live-Übertragung in Hessen – im Tenor entschieden, dass nationale Vorschriften zum Beschäftigtendatenschutz nur dann als spezifischere Vorschriften im Sinne des Art. 88 Abs. 1 DSGVO gelten können, wenn sie die Anforderungen des Art. 88 Abs. 2 DSGVO erfüllen. Erfüllen sie diese nicht, sind sie unter dem Etikett des Art. 88 DSGVO unanwendbar; sie können nach dem zweiten Tenor-Punkt aber gleichwohl über die Öffnungsklausel des Art. 6 Abs. 3 DSGVO i. V. m. Art. 6 Abs. 1 lit. c oder lit. e DSGVO als Rechtsgrundlage tragen, sofern deren Voraussetzungen erfüllt sind. Für öffentliche Hochschulen ist das praktisch zentral, weil hier ohnehin Art. 6 Abs. 1 lit. e i. V. m. der bereichsspezifischen Aufgabennorm (HSG LSA, DSAG LSA) als Rechtsgrundlage in Betracht kommt.

Auch unabhängig von dieser Entscheidung ist in der arbeits- und datenschutzrechtlichen Literatur seit langem anerkannt, dass eine im Plenum erbetene Einwilligung („Wer ist gegen die Aufzeichnung?") rechtlich nur eingeschränkt tragfähig ist – schlicht, weil eine offene Verweigerung soziale und berufliche Folgen haben kann.

Es gibt Beschäftigte mit gefestigter Position und verbeamtetem Status, die eine solche Einwilligung tatsächlich frei verweigern können – und das auch tun. Es gibt aber auch befristet Beschäftigte, Doktorandinnen und Doktoranden, studentische Hilfskräfte und Mitarbeitende auf Drittmitteln, deren Einschätzung der eigenen Verhandlungsposition davon abweicht. Genau in diesen Konstellationen wird die Freiwilligkeit erfahrungsgemäß brüchig.

Aufgabenwahrnehmung im öffentlichen Interesse

Tragfähiger erscheint Art. 6 Abs. 1 lit. e DSGVO i. V. m. einer landesrechtlichen Aufgabe. Für eine Hochschule des Landes Sachsen-Anhalt kommt das HSG LSA in Betracht – etwa, wenn eine konkrete Aufgabe (Lehre, Prüfungswesen, Selbstverwaltung) den Einsatz eines solchen Werkzeugs erfordert. Das setzt aber voraus, dass die Aufgabe es tatsächlich trägt – die bloße Effizienzsteigerung ist kein Aufgabengrund. Außerdem gilt ErwGr 47 Satz 5 DSGVO: Art. 6 Abs. 1 lit. f (berechtigtes Interesse) ist für öffentliche Stellen in Erfüllung ihrer Aufgaben nicht einschlägig.

Spezifischere Vorschriften und Dienstvereinbarung

Eine spezifischere Vorschrift im Sinne des Art. 88 DSGVO kann sich aus einer Dienstvereinbarung mit dem Personalrat oder aus Tarifrecht ergeben. Anders als das BDSG mit seinem § 26 enthält das DSAG LSA keinen umfassenden Spezialtatbestand zum Beschäftigtendatenschutz; geregelt sind nur einzelne Teilbereiche – etwa die Personalaktenführung in § 26 DSAG LSA. Für die laufende Verarbeitung personenbezogener Beschäftigtendaten an einer Hochschule des Landes Sachsen-Anhalt gelten daher unmittelbar die allgemeinen DSGVO-Erlaubnistatbestände, ergänzt durch das HSG LSA und das PersVG LSA für die kollektive Komponente.

Eine Dienstvereinbarung als Rechtsgrundlage muss die DSGVO-Anforderungen erfüllen, insbesondere bestimmt, transparent und verhältnismäßig sein. Sie ersetzt weder die DSFA noch die Mitbestimmung, sondern ergänzt sie. Bei besonderen Kategorien nach Art. 9 DSGVO sind die Anforderungen an die Erforderlichkeit deutlich höher; für KI-Transkription wird die Schwelle in der Praxis nur in eng umrissenen Konstellationen erreichbar sein. Art. 6 Abs. 1 lit. c und lit. e, Art. 6 Abs. 3, Art. 7, Art. 9 Abs. 2, Art. 88 Abs. 1 und Abs. 2 DSGVO; ErwGr 47 Satz 5 DSGVO; § 26 DSAG LSA (Personalakten); §§ 67, 69, 70 PersVG LSA; EuGH C-34/21 vom 30.03.2023

Konsequenz für die Beratungspraxis: Der Standardpfad „kurz Einwilligung einholen" trägt in den meisten Fällen nicht – außer in eng umrissenen Konstellationen mit gefestigtem Beschäftigtenstatus, ausreichender Aufklärung und tatsächlich vorhandener Wahlmöglichkeit. Der sinnvollere Pfad führt regelmäßig über eine Bedarfsanalyse, eine mögliche Dienstvereinbarung und eine DSFA.

Eine KI-Transkriptions- oder Protokollierungslösung wird man je nach Ausgestaltung als technische Einrichtung einordnen können, die das Verhalten oder die Leistung der Beschäftigten überwachen kann. Maßgeblich ist nach der Rechtsprechung die objektive Eignung zur Überwachung, nicht die subjektive Absicht des Arbeitgebers. Damit liegt es nahe, dass eine solche Lösung mitbestimmungspflichtig ist – die endgültige Bewertung hängt aber von der konkreten Ausgestaltung und vom anwendbaren Personalvertretungsrecht ab.

Im Land Sachsen-Anhalt findet sich der einschlägige Tatbestand in § 69 PersVG LSA (Mitbestimmung in Rationalisierungs-, Technologie- und Organisationsangelegenheiten); erfasst sind unter anderem die Einführung und wesentliche Änderung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung Beschäftigter geeignet sind. Bei Bundesbedienstung greift seit der BPersVG-Reform 2021 § 80 BPersVG mit ähnlicher Stoßrichtung. Im privatrechtlichen Bereich übernimmt § 87 Abs. 1 Nr. 6 BetrVG diese Funktion. Zur Einführung von Microsoft Office 365 hat das Bundesarbeitsgericht in BAG 1 ABR 20/21 vom 08.03.2022 die Zuständigkeit des Gesamtbetriebsrats bekräftigt und betont, dass für die Mitbestimmung die objektive Überwachungseignung der Software ausreicht.

Praktische Folge: Eine produktive Einführung ohne ordnungsgemäße Beteiligung der Personalvertretung ist individualarbeitsrechtlich heikel und kann zu Unterlassungs- und Beseitigungsansprüchen führen. Ob die in dieser Zeit gewonnenen Daten in Gerichtsverfahren verwertet werden dürfen, ist eine Frage der konkreten Umstände – das Bundesarbeitsgericht entscheidet hier nicht nach starren Regeln, wie unter anderem die Linie aus BAG 2 AZR 296/22 vom 29.06.2023 (offene Videoüberwachung) zeigt. „Pilotphasen" mit nicht-trivialem Beschäftigtenbezug taugen nicht als Schlupfloch, weil die Mitbestimmung an die Einführung als solche anknüpft.

Hinzu kommt die Schweigepflicht der Personalvertretung selbst. Nach den einschlägigen Vorschriften – im Land Sachsen-Anhalt § 10 PersVG LSA – sind Beratungsinhalte der Personalvertretung vertraulich zu behandeln. Eine KI-gestützte Aufzeichnung von Personalratssitzungen ist damit auch dann kaum tragfähig, wenn die Mitbestimmung formal durchlaufen würde – sie scheitert schon an der personalvertretungsrechtlichen Vorfrage. §§ 10, 69 PersVG LSA; § 80 BPersVG; § 87 Abs. 1 Nr. 6 BetrVG; BAG 1 ABR 20/21 v. 08.03.2022; BAG 2 AZR 296/22 v. 29.06.2023

Wenn der Einsatz einer KI-Transkriptions- oder Protokollierungslösung trotz aller Vorbehalte ernsthaft in Betracht gezogen wird, sind aus Verantwortlichensicht die folgenden Pflichten zu organisieren:

1. Schwellwertprüfung und ggf. DSFA Für KI-Transkription mit Beschäftigtenbezug spricht vieles dafür, dass die Schwellwertprüfung zu einer DSFA-Pflicht führt: Es liegt eine Verarbeitung mit „neuer Technologie" und regelmäßig mehreren EDSA-Kriterien gleichzeitig vor (Bewertung, systematische Überwachung, ggf. besondere Kategorien, schutzbedürftige Betroffene). Die Muss-Listen der Aufsichtsbehörden – darunter die der LfD Sachsen-Anhalt – nennen KI-gestützte Bewertung Beschäftigter ausdrücklich. Vor produktivem Betrieb ist daher regelmäßig eine dokumentierte Schwellwertprüfung und, wo deren Ergebnis es nahelegt, eine vollständige DSFA geboten. Querverweis: Themenseite DSFA. Art. 35 DSGVO; Muss-Liste LfD LSA; EDSA-Leitlinien WP 248 rev.01
2. Transparenzpflichten Klare und verständliche Information aller Sitzungsteilnehmenden vor Beginn der Aufzeichnung (Art. 13/14 DSGVO). Akustisches und sichtbares Aufzeichnungs-Hinweissignal. Klärung, ob Externe (Gäste, Studierende, Bewerberinnen und Bewerber) anwesend sind – und ob diese eine eigene Rechtsgrundlage voraussetzen.
3. Auftragsverarbeitungsvertrag Vertrag nach Art. 28 DSGVO mit ausdrücklichem Trainings-Verbot. Sub-AV-Liste mit Stand und Genehmigungsverfahren. Zugangs- und Speicherungsregelungen. Querverweis: Themenseite AVV.
4. Technisch-organisatorische Maßnahmen Speicherbegrenzung (Aufzeichnungen werden nach Erstellung des freigegebenen Protokolls binnen klarer Frist gelöscht); Zugriffsbeschränkung auf eng definierten Personenkreis; manuelle Aktivierung pro Sitzung statt Daueraufzeichnung; aktive Bestätigung aller Teilnehmenden vor Aufzeichnungsbeginn. Querverweis: Themenseite TOMs.
5. Löschkonzept Definition, wann Audio gelöscht wird (idealerweise nach Genehmigung des Protokolls); wann das Transkript gelöscht wird; was vom KI-Protokoll als Geschäftsdokument erhalten bleibt. Verzeichnis der Verarbeitungstätigkeiten ist entsprechend anzupassen.
6. KI-Kompetenz nach Art. 4 KI-VO Beschäftigte, die das System bedienen, brauchen ausreichendes Verständnis der Risiken (Halluzinationen, Bias, Sinnverfälschung). Eine kurze schriftliche Anweisung mit Pflicht zur menschlichen Endprüfung des Protokolls ist Mindeststandard.

Die KI-Verordnung (Verordnung (EU) 2024/1689) ist seit 02. Februar 2025 gestaffelt anwendbar. Für KI-Transkription und KI-Protokollierung sind drei Anknüpfungspunkte relevant:

Art. 4 KI-VO – KI-Kompetenz. Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass Personen, die mit dem System arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen. Das gilt für Hochschulen ebenso wie für jede andere öffentliche Stelle. Eine schriftliche Anweisung mit Hinweis auf die Halluzinationsrisiken und die Pflicht zur menschlichen Nachprüfung ist Pflichtinhalt einer Compliance-Dokumentation.

Anhang III KI-VO – Hochrisiko bei Bewertung Beschäftigter. Wenn das KI-System dazu eingesetzt wird, Beschäftigte zu bewerten oder Personalentscheidungen zu treffen oder vorzubereiten, ist es nach Anhang III Nr. 4 ein Hochrisiko-System mit den Pflichten der Art. 9 ff. KI-VO. Diese Pflichten greifen nach Art. 113 KI-VO vollumfänglich erst ab dem 02. August 2026; bis dahin sollten Verantwortliche den nahenden Stichtag in Beschaffungs- und Einführungsentscheidungen einplanen. In der reinen Protokollierung ohne Bewertungsfunktion ist die Hochrisiko-Schwelle in der Regel nicht überschritten – wohl aber, wenn die Zusammenfassung Eindrücke wie „gute Argumentation" oder „mangelhafte Vorbereitung" generiert oder wenn das System in einer Berufungs-, Beurteilungs- oder Disziplinarsituation eingesetzt wird.

Art. 50 KI-VO – Transparenzpflichten. Für KI-erzeugte Inhalte sieht Art. 50 KI-VO differenzierte Transparenzpflichten vor; ob und in welchem Umfang sie auf ein KI-Protokoll anwendbar sind, hängt vom konkreten Einsatzszenario ab. Unabhängig von der unionsrechtlichen Pflicht ist ein klarer Hinweis im Dokument empfehlenswert, etwa: „Dieses Protokoll wurde KI-gestützt erstellt und durch <Name> redaktionell geprüft". Das schafft Transparenz, dokumentiert die menschliche Endkontrolle und ist in einer späteren Auseinandersetzung ein zusätzliches Argument für eine sorgfältige Erstellung. Verordnung (EU) 2024/1689 (KI-VO) Art. 4, Anhang III Nr. 4, Art. 50, Art. 113; Erwägungsgründe 53 ff.

Wer den klassischen Weg über kommerzielle Cloud-Anbieter mit US-Bezug nicht beschreiten will – aus den oben genannten Gründen häufig zu Recht –, hat mehrere tragfähige Alternativen. Vier Kategorien:

Eine pragmatische Reihenfolge für die Beratungspraxis lautet daher: erst die EU-Werkzeuge prüfen, dann On-Premises-Lösungen, dann EU-Anbieter, und nur in sehr engen Konstellationen kommerzielle Cloud-Lösungen – stets mit DSFA, Personalratsbeteiligung und Auftragsverarbeitungsvertrag. Für viele Sitzungen bleibt am Ende die manuelle Protokollierung der saubere Weg.

Die folgenden didaktischen Fallgruppen beschreiben typische Konstellationen, wie sie in der DSB-Praxis an einer öffentlichen Hochschule aufschlagen. Sie ersetzen keine Einzelfallprüfung.

• „Pilotphase" als Schlupfloch: Wer eine KI-Transkription nur „pilotiert", aber tatsächlich produktiv mit echten Sitzungsinhalten arbeitet, hat regelmäßig denselben Mitbestimmungs-Bedarf wie im Regelbetrieb. Die Mitbestimmung knüpft typischerweise an die Einführung als solche an, nicht an die formale Bezeichnung.
• Schweigen als Einwilligung: Eine Einwilligung nach Art. 4 Nr. 11 DSGVO setzt eine eindeutige bestätigende Handlung voraus. Die im Plenum gestellte Frage „Wer ist gegen die Aufzeichnung?" erfüllt dieses Kriterium regelmäßig nicht zuverlässig.
• Trainings-Klausel im AVV übersehen: In den Standardverträgen vieler kommerzieller Anbieter ist die Nutzung der Daten für Modellverbesserungen verankert – teils tief versteckt, teils nur per Opt-out abwendbar. Wer das nicht prüft, baut sich eine eigenständige Verarbeitung des Anbieters in den eigenen AVV ein.
• Schatten-IT durch Plug-ins: Browser-Plug-ins, die Sitzungen ohne Wissen der Verantwortlichen mitschneiden, sind je nach Konstellation meldepflichtige Datenschutzvorfälle nach Art. 33 DSGVO. Eine zentrale Genehmigungs- und Sperrliste an der Hochschule kann hier vieles abfangen. Querverweis: Themenseite Datenpannen.
• Fehlendes Löschkonzept: Audio-Aufnahmen werden „bis auf Weiteres" gespeichert, weil die Verantwortlichkeit unklar ist. Das verstößt gegen Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und ist einer der häufigsten Aufsichtsfunde.
• Vernachlässigung der KI-VO: Art. 4 KI-VO und Art. 50 KI-VO werden in Beschaffungsprozessen oft übersehen. Dabei sind die Anforderungen niedrigschwellig erfüllbar – eine kurze schriftliche Anweisung und ein Kennzeichnungs-Vermerk im Protokoll genügen häufig.
• Verwechslung von DSFA-Pflicht und -Erfüllung: Eine pauschale DSFA, die nur die Einrichtung als Ganzes betrachtet, genügt der Anforderung des Art. 35 Abs. 7 DSGVO nicht. Die DSFA muss verarbeitungs- und kontextbezogen sein.