DSGVO-Checkliste: Worauf du bei der Auswahl eines KI-Meeting-Tools achten musst

Disclaimer: Dieser Artikel stellt keine Rechtsberatung dar, er beruht auf eigenständiger Recherche. Für deinen spezifischen Fall empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.

Der Einkaufsguide für Datenschutzbeauftragte, IT-Leiter und Entscheider (2026)

Du evaluierst gerade ein KI-Meeting-Tool – oder hast bereits eines im Einsatz und fragst dich, ob es wirklich DSGVO-konform ist? Dann bist du hier richtig. Die Auswahl eines solchen Tools ist keine reine IT-Entscheidung: Sie ist eine Datenschutzentscheidung mit rechtlichen, organisatorischen und technischen Dimensionen, die du von Anfang an richtig angehen musst.

Denn KI-Meeting-Assistenten, die automatisch aufzeichnen, transkribieren und zusammenfassen, verarbeiten nicht irgendwelche Daten – sie verarbeiten gesprochene Worte. Oft sensible Inhalte aus HR-Gesprächen, Vertragsverhandlungen oder Kundenmeetings. Und das in einem Format, das durchsuchbar, exportierbar und potenziell dauerhaft gespeichert ist.

Dieser Artikel gibt dir eine vollständige, praxiserprobte Checkliste – entwickelt auf Basis der DSGVO-Anforderungen, aktueller Aufsichtsbehörden-Empfehlungen und realer Beschaffungserfahrungen im DACH-Raum.

Das Wichtigste auf einen Blick

• Ein AVV ist Pflicht – und muss weit mehr regeln als ein generisches Click-Through-Addendum.
• Sub-Prozessoren sind das versteckte Risiko – prüfe jeden einzelnen Dienstleister in der Verarbeitungskette.
• KI-Training auf Kundendaten ist ein K.O.-Kriterium – lass dir das schriftlich ausschließen.
• Serverstandort allein reicht nicht – Support-Zugriff, Schlüsselverwaltung und Drittlandtransfers müssen mitgedacht werden.
• Red Flags gibt es genug – wer sie kennt, erkennt unsichere Anbieter sofort.

Warum die Tool-Auswahl so kritisch ist

Ein KI-Meeting-Assistent ist kein gewöhnliches SaaS-Tool. Die Besonderheit liegt in der Tiefe der Verarbeitung: Das Tool nimmt nicht nur strukturierte Daten entgegen, die du bewusst eingibst. Es hört zu. Es transkribiert. Es interpretiert. Und es erzeugt aus dem Gesagten neue Datenobjekte – Zusammenfassungen, Action Items, Speaker-Labels, Suchindizes – die ein eigenständiges Datenleben führen.

Was das für die DSGVO bedeutet: Du hast es nicht mit einer einzigen Verarbeitungsoperation zu tun, sondern mit einer Kette von Verarbeitungsstufen, die jeweils eigene Anforderungen an Rechtsgrundlage, Zweckbindung, Zugriffskontrolle und Löschung mitbringen. Wer das bei der Tool-Auswahl nicht mitdenkt, baut eine Compliance-Lücke ein – die erst beim nächsten Audit oder Datenschutzvorfall sichtbar wird.

Hinzu kommt: Viele Meeting-Inhalte berühren besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO – Gesundheitsinformationen in HR-Meetings, gewerkschaftliche Informationen, persönliche Lebensumstände. Das Tool muss damit umgehen können. Und du musst wissen, wie.

Teil 1: Datenschutz & Vertragswerk

Ist der Anbieter als Auftragsverarbeiter klar positioniert?

Das klingt nach einer Selbstverständlichkeit – ist es aber nicht. Manche Anbieter versuchen, sich als eigenverantwortliche Controller zu positionieren, um eigene Spielräume bei der Datennutzung zu behalten. Das ist für dich als Kunde ein Problem, weil du dann keine Weisungsbefugnis über die Verarbeitung hast.

Was du prüfen solltest:

• Verpflichtet sich der Anbieter ausdrücklich, alle Meeting-Inhalte und abgeleiteten Daten ausschließlich auf deine dokumentierten Weisungen hin zu verarbeiten?
• Ist das vertraglich bindend – und nicht nur in einer Datenschutzerklärung auf der Website formuliert?

Was steht im Auftragsverarbeitungsvertrag (AVV)?

Ein AVV nach Art. 28 DSGVO ist Pflicht, wenn du ein externes Tool zur Aufzeichnung, Transkription oder Speicherung von Meeting-Inhalten nutzt. Aber nicht jeder AVV ist gleich. Ein schwacher AVV ist kaum besser als keiner.

Ein belastbarer AVV für KI-Meeting-Tools muss mindestens regeln:

• Zweckbindung für alle Datenarten: Nicht nur für die Aufzeichnung, sondern ausdrücklich auch für Transkripte, Zusammenfassungen, Embeddings, Suchindizes und Metadaten.
• KI-Training und Produktverbesserung: Klare, bindende Aussage dazu, ob und wie Kundendaten für das Training von Modellen oder die Verbesserung des Produkts genutzt werden – und eine durchsetzbare Opt-out- oder Verbotsoption.
• Sub-Prozessoren: Vollständige Liste aller Unterauftragnehmer, Änderungsbenachrichtigungspflicht und dein Widerspruchsrecht.
• Löschung und Rückgabe: Konkrete Löschworkflows für Aufzeichnungen, Transkripte, abgeleitete Artefakte, Backups und Logs – mit realistischen Fristen und Nachweispflichten.
• Betroffenenrechte: Wie unterstützt der Anbieter Auskunfts- und Löschanfragen von Meeting-Teilnehmern, die keine Mitarbeiter deines Unternehmens sind?
• Datenpannenmeldung: Meldepflicht mit kürzeren Fristen als der gesetzliche Maximalrahmen, plus definierter Mindestinhalt der Meldung.
• Audit und Nachweise: Welche Belege erhältst du – SOC 2 Report, ISO 27001 Zertifikat, Penetrationstest-Zusammenfassung, TOM-Anlage – und wie oft?

Red Flag: Ein Anbieter, der keinen individuellen AVV anbietet oder nur ein generisches Click-Through-Addendum bereitstellt, erfüllt die Mindestanforderungen von Art. 28 DSGVO nicht. Das ist ein K.O.-Kriterium.

Werden Kundendaten für KI-Training genutzt?

Das ist eine der kritischsten Fragen überhaupt – und gleichzeitig eine, bei der Anbieterantworten oft unscharf formuliert sind. „Wir trainieren keine Foundation Models auf Kundendaten" klingt beruhigend, sagt aber nichts über Telemetrie, Feedback-Schleifen, menschliche Review-Pipelines oder Feintuning auf aggregierten Daten aus.

Was du konkret fragen und vertraglich festhalten solltest:

• Werden Audio, Transkripte oder Zusammenfassungen zu irgendeinem Zweck genutzt, der über die direkte Leistungserbringung für dein Unternehmen hinausgeht?
• Werden Prompts, Feedback oder Nutzungstelemetrie in Modelltraining oder -evaluation eingespeist?
• Gibt es eine menschliche Überprüfung von Kundendaten – und wenn ja: unter welchen Bedingungen und mit welchen Zugriffskontrollen?

Lass dir die Antworten schriftlich geben – am besten als Teil des AVV oder als gesonderte Datenschutzadditional.

Sub-Prozessoren: Das versteckte Risiko

Ein KI-Meeting-Assistent ist in der Regel kein monolithisches System. Hinter dem sichtbaren Tool verbirgt sich typischerweise eine Kette von Dienstleistern: ein Spracherkennungsanbieter für die Transkription, ein LLM-Anbieter für die Zusammenfassung, ein Cloud-Hoster für die Speicherung, ein Analytics-Dienst, ein Support-Tool. Jeder dieser Sub-Prozessoren verarbeitet potenziell deine Meeting-Inhalte.

Was du wissen musst:

• Vollständige Liste aller Sub-Prozessoren mit geografischem Standort der Verarbeitung
• Für jeden Sub-Prozessor: Ist ein Drittlandtransfer involviert? Auf welcher Basis?
• Fließen Sicherheits- und Vertraulichkeitspflichten vertraglich auf alle Sub-Prozessoren durch?
• Wie wirst du bei Änderungen der Sub-Prozessor-Liste informiert – und wie lange ist deine Widerspruchsfrist?

Praxishinweis: „Sub-Prozessor-Sprawl" – die unkontrollierte Ausweitung der Unterauftragnehmer-Kette – ist eines der häufigsten Compliance-Probleme bei KI-SaaS-Anbietern. Hinterfrage auch Anbieter, die eine kurze Sub-Prozessor-Liste präsentieren: Entweder ist das Produktionssystem sehr schlank, oder die Liste ist unvollständig.

Teil 2: Transparenz & Betrieb

Wie werden Meeting-Teilnehmer informiert?

Die DSGVO verlangt Transparenz gegenüber allen betroffenen Personen – also nicht nur gegenüber den Mitarbeitern deines Unternehmens, sondern auch gegenüber externen Teilnehmern, Kunden und Partnern. Das Tool muss diese Transparenz technisch unterstützen.

Minimalanforderungen:

• Automatische Benachrichtigung aller Teilnehmer beim Start der Aufzeichnung (Banner, Bot-Ankündigung oder Systemhinweis)
• Möglichkeit, den Benachrichtigungstext anzupassen – um deutschen Rechtsan­forderungen gerecht zu werden
• Klar erkennbare Aufzeichnungsindikation während des gesamten Meetings

Best Practice:

• Vierstufige Transparenz: Richtlinienebene, Einladungsebene, Meeting-Ebene, nachgelagerte Ebene (vgl. DSK-Orientierungshilfe Videokonferenzsysteme)
• Nachweisbare Protokollierung, dass die Benachrichtigung zugestellt wurde

Kann die Aufzeichnung selektiv deaktiviert werden?

Nicht jedes Meeting darf oder sollte aufgezeichnet werden. HR-Gespräche, Betriebsratssitzungen, Strategiegespräche mit besonderem Vertraulichkeitsanspruch – für all das brauchst du granulare Kontrolle.

Was das Tool bieten muss:

• Aufzeichnung und Transkription können pro Meeting, pro Teilnehmergruppe oder pro Domain deaktiviert werden
• Die Standardeinstellung ist „Aufzeichnung aus" – nicht „Aufzeichnung ein"
• Rollenbasierte Zugriffskontrollen: Wer darf Aufzeichnungen starten, stoppen, ansehen, exportieren, löschen?

Red Flag: Ein Tool, das standardmäßig alle Meetings aufzeichnet und keine granulare Deaktivierung ermöglicht, ist mit dem Prinzip der Datenminimierung (Art. 5 Abs. 1c DSGVO) nicht vereinbar.

Wer hat Zugriff auf Aufzeichnungen und Transkripte?

Das Prinzip der Zweckbindung gilt nicht nur für die Verarbeitung, sondern auch für den Zugriff. Zugriffsrechte müssen dem Verarbeitungszweck entsprechen – und nicht weiter reichen.

Fragen, die du stellen solltest:

• Können Zugriffsrechte rollenbasiert konfiguriert werden (z. B. HR-only für HR-Meetings)?
• Werden Zugriffe protokolliert – wer hat wann auf welche Aufzeichnung zugegriffen?
• Können einzelne Meetings als „nicht zugänglich" für bestimmte Nutzergruppen markiert werden?
• Welche Zugriffsrechte haben Support-Mitarbeiter des Anbieters auf deine Daten?

Teil 3: Sicherheit & Zertifizierungen

Welche Sicherheitsnachweise bringt der Anbieter mit?

Sicherheitsmarketing ist kein Sicherheitsnachweis. „Wir nehmen Datensicherheit sehr ernst" ist keine belastbare Aussage. Was du brauchst, sind auditierte, unabhängig geprüfte Belege.

Die relevanten Nachweise für KI-Meeting-Tools:

SOC 2 Type II Report Ein SOC-2-Bericht nach AICPA-Standard dokumentiert, dass ein unabhängiger Auditor die Kontrollumgebung des Anbieters geprüft hat – und zwar über einen definierten Zeitraum (Type II), nicht nur zu einem Stichtag (Type I). Für Meeting-Tools besonders relevant sind die Trust Service Criteria:

• Security: Zugriffskontrollen, Logging, Schwachstellenmanagement, Incident Response
• Confidentiality: Schutz sensibler Meeting-Inhalte
• Privacy: Übereinstimmung der Datenverarbeitung mit kommunizierten Grundsätzen

Lass dir den vollständigen Report unter NDA aushändigen und prüfe: Was ist im Scope? Gibt es Ausnahmen (Exceptions)? Welche Controls lagen im Berichtszeitraum nicht vor?

ISO 27001 Zertifikat ISO 27001 zertifiziert ein Informationssicherheits-Managementsystem (ISMS). Es ist kein Produktzertifikat, aber ein starkes Signal für eine reife Sicherheitskultur. Wichtig: Prüfe, ob der Scope des Zertifikats die tatsächlich für dich relevanten Systeme – also die Cloud-Infrastruktur für Meeting-Aufzeichnungen – umfasst. Seit 2022 gibt es eine neue Version (ISO 27001:2022), frage nach dem Transitionsstatus.

Praxistipp: ISO 27001 + SOC 2 Type II ist die belastbarste Kombination für DACH-Beschaffung. Aber auch hier gilt: Zertifikate belegen eine Kontrollumgebung – sie ersetzen keine DSGVO-konforme Rechtsgrundlage, kein Transparenzkonzept und keinen AVV. Fairerweise muss man natürlich beachten, dass Zertifizierungen oft Monate bis Jahre dauern. Im jungen Markt von KI-Tools kommt es natürlich vor, dass absolut seriöse Anbieter diese Zertifikate noch nicht haben - einfach weil sie nicht lange genug auf dem Markt sind.

Verschlüsselung und Zugangskontrolle

Mindestanforderungen:

• Verschlüsselung aller Daten in Transit (TLS 1.2 oder höher) und at Rest (AES-256 oder gleichwertig)
• Unterstützung von Enterprise Identity Controls: SSO (Single Sign-On), MFA (Multi-Faktor-Authentifizierung), SCIM für automatisiertes User Provisioning
• Least-Privilege-Prinzip: Jeder Nutzer hat nur die Zugriffsrechte, die er für seine Aufgabe benötigt
• Session Logging: Alle Zugriffe auf Meeting-Inhalte werden protokolliert

Fortgeschrittene Anforderung für sensible Umgebungen:

• Customer-Managed Keys (CMK): Du hältst die Verschlüsselungsschlüssel selbst – der Anbieter kann deine Daten ohne dein Zutun nicht entschlüsseln.

Wie geht der Anbieter mit Datenpannen um?

Meeting-Inhalte können Zugangsdaten, Geschäftsgeheimnisse, sensible HR-Informationen oder medizinische Daten enthalten. Ein Datenleck hätte potenziell hohe Auswirkungen. Deshalb ist nicht nur die Prävention, sondern auch die Reaktion im Ernstfall entscheidend.

Was vertraglich geregelt sein muss:

• Meldepflicht des Anbieters gegenüber dir innerhalb von 24–48 Stunden nach Bekanntwerden einer Panne (nicht erst nach 72 Stunden, wie die DSGVO dir gegenüber den Behörden gewährt)
• Definierter Mindestinhalt der Meldung: Art des Vorfalls, betroffene Daten, betroffene Personen, ergriffene Maßnahmen
• Nachgewiesener Incident-Response-Prozess – idealerweise durch Audit-Belege oder Übungsszenarien dokumentiert

Teil 4: Datentransfers & Serverstandort

Wo werden deine Daten gespeichert und verarbeitet?

Die Frage nach dem Serverstandort ist wichtig – aber sie ist nicht die einzige Frage, die du stellen musst. Entscheidend ist nicht nur, wo die Daten liegen, sondern wer unter welchen Umständen darauf zugreifen kann.

Die vollständige Transfer-Map, die du brauchst:

• Wo werden Aufzeichnungen, Transkripte und Zusammenfassungen gespeichert?
• Wo laufen die Spracherkennung (STT) und die LLM-Verarbeitung ab?
• Von wo können Support-Mitarbeiter des Anbieters auf Produktionsdaten zugreifen?
• Wer hält die Verschlüsselungsschlüssel?

Nur wenn du alle vier Fragen beantworten kannst, hast du eine vollständige Transferübersicht.

EU-US Datentransfers: Was gilt in 2026?

Der EU-US Data Privacy Framework (DPF) ist seit 2023 in Kraft und hat 2025 eine erste gerichtliche Anfechtung überstanden. Allerdings wurde Berufung eingelegt – das Thema ist nicht abgeschlossen. Für deine Beschaffungsentscheidung bedeutet das:

• DPF ist nutzbar, aber kein „set and forget"-Mechanismus
• Prüfe, ob der Anbieter tatsächlich DPF-zertifiziert ist (Zertifizierungsstatus auf der offiziellen DPF-Liste verifizierbar)
• Frage nach dem Contingency-Plan: Was passiert mit deinen Daten, wenn der DPF eingeschränkt oder gekippt wird?
• Für US-Anbieter ohne DPF-Zertifizierung: Auf welcher Grundlage (Standardvertragsklauseln, BCR) erfolgt der Transfer – und welche ergänzenden Maßnahmen sind implementiert?

Was bedeutet der CLOUD Act für europäische Unternehmen?

Der US CLOUD Act ermöglicht es US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen – auch wenn diese auf europäischen Servern gespeichert sind. Das Europäische Datenschutzgremium (EDPB) hat darauf hingewiesen, dass der CLOUD Act Konflikt-of-Law-Szenarien erzeugen kann, die klassische MLAT-Rechtshilfewege umgehen.

Für dich als europäischer Käufer bedeutet das: Wenn dein Meeting-Tool-Anbieter ein US-Unternehmen ist oder einer US-Konzernmutter gehört, ist „EU-Region-Hosting" allein kein ausreichender Schutz. Du musst zusätzlich prüfen:

• Welche Jurisdiktion hat rechtliche Kontrolle über den Anbieter?
• Wie lautet die Policy des Anbieters bei Regierungsanfragen – und verpflichtet er sich, diese anzufechten, zu minimieren und dich zu benachrichtigen, soweit rechtlich möglich?
• Gibt es technische Maßnahmen (z. B. Customer-Managed Keys), die einen Zugriff auch bei Behördenanfragen faktisch verhindern?

Fazit: Für wirklich sensible Daten ist ein Anbieter mit Sitz und vollständiger Wertschöpfung in der EU die rechtssicherste Wahl.

Teil 5: Organisatorische Anforderungen

Braucht ihr eine Datenschutz-Folgenabschätzung (DSFA)?

Sehr wahrscheinlich ja. Wenn ein KI-Tool systematisch Kommunikation aufzeichnet, transkribiert und mit KI auswertet, liegen in der Regel zwei Faktoren vor, die eine DSFA nach Art. 35 DSGVO erforderlich machen: der Einsatz neuer Technologien und die systematische Verarbeitung von Mitarbeiterdaten. Die DSK empfiehlt in ihrer KI-Orientierungshilfe ausdrücklich, bei der Einführung von KI-Tools eine DSFA zu prüfen.

Eine DSFA ist keine bürokratische Übung – sie ist das Instrument, mit dem du die Risiken des Tools dokumentierst, bewertest und (wo nötig) mitigierst. Sie ist auch der Nachweis, den du bei einem Audit oder einer Behördenanfrage brauchst.

Wie unterstützt der Anbieter Betriebsratsanforderungen?

In Unternehmen mit Betriebsrat ist dessen Mitbestimmung bei der Einführung eines KI-Meeting-Tools zwingend (§ 87 Abs. 1 Nr. 6 BetrVG). Ein guter Anbieter weiß das – und bietet aktive Unterstützung an.

Was du fragen solltest:

• Kann der Anbieter technisch sicherstellen, dass das Tool nicht zur Leistungs- oder Verhaltensüberwachung genutzt werden kann – z. B. durch das Deaktivieren von Speaker-Analytics?
• Gibt es administrative Kontrollen, die in einer Betriebsvereinbarung als technische Garantien dokumentiert werden können?
• Hat der Anbieter Erfahrung mit Betriebsratsverfahren in deutschen Unternehmen und kann er Dokumentation oder Vorlagen beisteuern?

Die vollständige Checkliste auf einen Blick

Datenschutz & Vertragswerk

• ✓ Anbieter positioniert sich klar als Auftragsverarbeiter
• ✓ AVV liegt vor und deckt alle Datenarten ab (inkl. Transkripte, Zusammenfassungen, Indizes)
• ✓ KI-Training auf Kundendaten ist vertraglich ausgeschlossen
• ✓ Vollständige Sub-Prozessor-Liste mit Standorten liegt vor
• ✓ Löschworkflows für alle Datenarten sind definiert und nachweisbar
• ✓ Unterstützung bei Betroffenenrechten ist geregelt
• ✓ Datenpannenmeldung innerhalb von 24–48 Stunden vertraglich fixiert

Transparenz & Betrieb

• ✓ Automatische Teilnehmerbenachrichtigung beim Start der Aufzeichnung
• ✓ Benachrichtigungstext ist anpassbar
• ✓ Aufzeichnung kann granular deaktiviert werden (pro Meeting, Domain, Rolle)
• ✓ Standardeinstellung ist „Aufzeichnung aus"
• ✓ Rollenbasierte Zugriffskontrollen sind konfigurierbar
• ✓ Zugriffslogs sind verfügbar

Sicherheit & Zertifizierungen

• ✓ SOC 2 Type II Report liegt vor und wurde geprüft
• ✓ ISO 27001 Zertifikat liegt vor (Scope umfasst relevante Systeme)
• ✓ BSI C5 vorhanden oder Mapping auf C5-Kriterien verfügbar (ggf. für öffentliche Hand)
• ✓ Verschlüsselung in Transit und at Rest nachgewiesen
• ✓ SSO, MFA und SCIM werden unterstützt
• ✓ Customer-Managed Keys verfügbar (für höchste Sicherheitsanforderungen)

Datentransfers & Serverstandort

• ✓ Vollständige Transfer-Map liegt vor (Speicherung, Verarbeitung, Support-Zugriff, Schlüssel)
• ✓ EU-Hosting oder DPF-Zertifizierung nachgewiesen
• ✓ Contingency-Plan für DPF-Invalidierung vorhanden
• ✓ Policy für Regierungsanfragen ist klar und vertraglich geregelt

Organisatorisches

• ✓ DSFA wurde geprüft und ggf. durchgeführt
• ✓ Betriebsrat wurde eingebunden (sofern vorhanden)
• ✓ Anbieter unterstützt Betriebsvereinbarungsprozess

Die häufigsten Red Flags bei der Tool-Auswahl

Nach der Prüfung vieler Anbieter im DACH-Markt kristallisieren sich immer wieder dieselben Warnsignale heraus:

Verweigerung der Sub-Prozessor-Transparenz: „Unsere Sub-Prozessoren sind vertraulich" ist keine akzeptable Antwort. Art. 28 DSGVO gibt dir das Recht, über alle Unterauftragnehmer informiert zu sein.

Vage Aussagen zum KI-Training: Wenn ein Anbieter nicht klar und schriftlich zusagen kann, dass Kundendaten nicht für Training, Evaluation oder Produktverbesserung genutzt werden, ist das ein erhebliches Risiko.

Nur SOC 2 Type I – kein Type II: Type I ist eine Momentaufnahme. Type II belegt operative Kontrollwirksamkeit über Zeit. Für Produktivnutzung ist Type II der relevante Standard.

„EU-Region" als einzige Transferantwort: Wie oben erläutert: EU-Hosting ohne Betrachtung von Supportzugriffen, Konzernstruktur und Schlüsselverwaltung ist kein vollständiger Transferschutz.

Keine konfigurierbare Deaktivierung der Aufzeichnung: Wer kein „off by default" anbietet, hat das Prinzip der Datenminimierung nicht verinnerlicht.

Fehlende oder generische Löschkonzepte: „Daten werden auf Anfrage gelöscht" ist kein Löschkonzept. Du brauchst automatisierte, dokumentierte, auf alle Datenarten anwendbare Löschprozesse.

FAQ – Häufig gestellte Fragen

Reicht es, wenn der Anbieter DSGVO-konform „ist"? Nein. „DSGVO-konform" ist keine Zertifizierung und kein rechtlich definierbarer Status. Jeder Anbieter kann das behaupten. Was zählt, sind konkrete, nachweisbare Maßnahmen: AVV, Sub-Prozessor-Transparenz, Löschkonzepte, Sicherheitszertifizierungen.

Müssen wir für jeden Meeting-Tool-Anbieter eine eigene DSFA machen? Ja – sofern das Tool die DSFA-Schwelle nach Art. 35 DSGVO überschreitet, was bei KI-Meeting-Assistenten in der Regel der Fall ist. Wenn du den Anbieter wechselst, ist eine neue DSFA erforderlich, da sich die Verarbeitungsumstände ändern.

Was passiert, wenn der AVV lückenhaft ist und es zu einem Datenschutzvorfall kommt? Du als Verantwortlicher (Controller) haftest gegenüber Betroffenen und Aufsichtsbehörden – auch wenn der Fehler beim Auftragsverarbeiter liegt. Ein lückenhafter AVV kann die Haftung zudem nicht auf den Anbieter verlagern. Die Auswahl eines ungeeigneten Auftragsverarbeiters ist selbst ein Compliance-Verstoß.

Können wir ein US-Tool nutzen, wenn der europäische Support und die Datenspeicherung in der EU liegen? Bedingt. Die rechtliche Kontrolle durch eine US-Muttergesellschaft bleibt ein Risiko, auch bei EU-Hosting. Entscheidend ist die Kombination aus Hosting, Support-Zugriffen, Schlüsselverwaltung und der CLOUD-Act-Exposition des Anbieters. Eine belastbare Risikoabwägung und dokumentierte ergänzende Maßnahmen sind in jedem Fall erforderlich.

Wie oft müssen wir einen bestehenden Anbieter re-evaluieren? Mindestens jährlich – oder anlassbezogen bei: Änderungen der Sub-Prozessor-Liste, neuen Produktfeatures mit Datenschutzrelevanz, Änderungen im Transferrahmen (z. B. DPF-Entwicklungen) oder nach einem Datenschutzvorfall.

Fazit: Compliance beginnt vor der Unterschrift

Die Entscheidung für ein KI-Meeting-Tool ist eine der datenschutzrechtlich weitreichendsten Software-Entscheidungen, die ein Unternehmen treffen kann. Sie betrifft nicht nur interne Prozesse, sondern alle Menschen, die jemals an einem Meeting teilnehmen – Mitarbeiter, Kunden, Partner.

Wer diese Checkliste konsequent abarbeitet, schützt nicht nur sein Unternehmen vor Bußgeldern und Reputationsschäden. Er trifft auch eine bessere Produktentscheidung: Anbieter, die bei Datenschutz und Sicherheit höchste Standards erfüllen, sind in der Regel auch in anderen Qualitätsdimensionen verlässlicher.

Wie Sally AI diese Checkliste erfüllt

Sally.io wurde als KI-Meeting-Assistent mit Sitz in Deutschland entwickelt – mit dem Anspruch, jede dieser Anforderungen nicht als Pflichtübung, sondern als Produktentscheidung zu verstehen:

• ✓ Klare Positionierung als Auftragsverarbeiter | AVV inklusive | vollständige Sub-Prozessor-Transparenz
• ✓ Vertraglich ausgeschlossenes KI-Training auf Kundendaten
• ✓ Server in Deutschland | keine US-Konzernstruktur | kein CLOUD-Act-Risiko
• ✓ Automatische Einwilligungsbenachrichtigung | konfigurierbare Löschfristen | „off by default"
• ✓ Rollenbasierte Zugriffskontrollen | SSO & MFA | Zugriffslogs
• ✓ SOC 2 in Vorbereitung | ISO 27001 in Vorbereitung| BSI-Alignment

→ Jetzt kostenlos testen: www.sally.io

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Für deinen spezifischen Fall empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.