DSGVO-konforme Meeting-Tools 2026 — die praktische Checkliste
Eine praktische Checkliste ohne Juristendeutsch, um 2026 ein DSGVO-konformes Video- und KI-Transkriptionstool auszuwählen — Datenresidenz, Rechtsgrundlage, Aufbewahrung, Subprozessoren, AVV und grenzüberschreitende Transfers.
Die meisten „DSGVO-konform“-Behauptungen von Meeting-Tools überleben keine ernsthafte DSFA. Diese Checkliste enthält, was Sie 2026 vor der Einführung einer Meeting-Plattform mit Audioaufnahme oder KI-Transkription tatsächlich prüfen müssen — nicht die Marketing-Version.
Nutzen Sie sie als Beschaffungsfilter. Zehn Ja-Antworten, und Sie sind wahrscheinlich auf der sicheren Seite. Ein kritisches Nein, und Sie haben ein Problem, das irgendwann bei Ihrer Rechtsabteilung landet.
Die 12 Fragen, auf die es ankommt
1. Wo werden die Daten physisch gespeichert?
Fragen Sie nach dem exakten Rechenzentrumsstandort für jeden Datentyp: Meeting-Metadaten, Audioaufnahmen, Transkripte, KI-Zusammenfassungen, Kontodaten, Logs. „EU-Region“ reicht nicht — verlangen Sie Land und Betreiber. Backups zählen mit.
2. Wer kontrolliert den Betreiber?
Ist die Muttergesellschaft in den USA eingetragen, gilt der CLOUD Act — egal, wo die Server stehen. Das ist das Schrems-II-Problem in einem Satz. EU-Hosting unter US-Kontrolle ist keine souveräne Datenresidenz.
3. Ist ein AVV verfügbar, unterzeichnet und Artikel-28-konform?
Ein Auftragsverarbeitungsvertrag (AVV) ist unter der DSGVO für jeden Auftragsverarbeiter verpflichtend. Er sollte Subprozessoren, Aufbewahrungsfristen, Löschverfahren und Auditrechte auflisten. „AVV auf Anfrage“ heißt: Er ist nicht Teil des Standardvertrags — verhandeln Sie nach.
4. Sind Subprozessoren offengelegt?
Die meisten Tools stützen sich auf KI-Anbieter, Transkriptions-Engines, E-Mail-Versender und Analytics-Dienste. Jeder davon ist ein Subprozessor. Verlangen Sie die vollständige Liste. Jeder US-Subprozessor reaktiviert die Schrems-II-Analyse. Drei US-Subprozessoren in der Kette sind drei Dokumente, die Sie schreiben müssen.
5. Wird Audio aufgezeichnet? Wenn ja: Wird es aufbewahrt?
Audioaufnahmen sind der riskanteste Datentyp — die Stimme ist nach Erwägungsgrund 51 und Artikel 9 DSGVO ein biometrisches Datum, wenn sie zur Identifizierung dient. Das sicherste Muster: Audio im Speicher verarbeiten, transkribieren, den Buffer sofort verwerfen, nur das Text-Transkript persistieren. Null Audio-Aufbewahrung by design.
6. Welche Rechtsgrundlage werden Sie dokumentieren?
Für eigene Mitarbeiter: meist berechtigtes Interesse mit Abwägungstest und Informationsschreiben. Für externe Teilnehmer: ausdrückliche Einwilligung vor Aufnahmebeginn, mit klarer Zweckangabe. Wenn Ihr Tool vor der Einwilligung aufzeichnet, ist das ein Prozessfehler, kein Compliance-Feature.
7. Werden Teilnehmerdaten minimiert?
Verlangt das Tool Teilnehmerkonten? Protokolliert es IP-Adressen, Browser-Fingerprints, Geräte-IDs? Datenminimierung ist Artikel 5 Abs. 1 lit. c. Ein Tool, bei dem Teilnehmer mit Link und Anzeigenamen beitreten, ist konformer als eines mit Kontopflicht.
8. Wie werden Auskunftsersuchen (DSAR) behandelt?
Teilnehmer haben das Recht, binnen eines Monats kostenlos eine Kopie aller sie betreffenden Daten zu erhalten (Art. 15). Fragen Sie den Anbieter: Wie funktioniert das bei Transkripten, die diese Person nur beiläufig erwähnen? „Wenden Sie sich an unseren Support“ trägt nicht, wenn 50 Kunden gleichzeitig fragen.
9. Können Daten auf Anfrage gelöscht werden — inklusive Backups?
Recht auf Löschung (Art. 17) heißt: Aufnahmen, Transkripte und abgeleitete Zusammenfassungen müssen löschbar sein. Backups sind notorisch schwierig. Bestätigen Sie das Lösch-SLA und ob es Backups innerhalb eines definierten Fensters einschließt.
10. Werden KI-Modelle auf Ihren Daten trainiert?
Diese Frage erwischt die meisten Enterprise-SaaS. „Wir können de-identifizierte Daten zur Verbesserung unserer Modelle nutzen“ in den AGB ist mit den meisten Enterprise-AVVs unvereinbar. Holen Sie eine schriftliche Null-Training-Zusage Ihrer Transkriptions- und Zusammenfassungsanbieter ein — oder wählen Sie Anbieter mit Zero-Retention-Enterprise-Verträgen.
11. Was passiert bei Vertragsende?
Datenexportformat, Löschfrist, Löschbestätigung. Ohne diese drei wird das Vertragsende zum schleichenden Datenleck. Bestehen Sie auf einer schriftlichen Löschbestätigung in der Exit-Klausel des AVV.
12. Wie werden Sie über Datenpannen informiert?
Art. 33 DSGVO gibt Ihnen 72 Stunden für die Meldung an Ihre Aufsichtsbehörde. Der Anbieter braucht ein schnelleres SLA — typischerweise 48 Stunden, idealerweise 24 — damit Ihnen Zeit für Bewertung und Meldung bleibt. Suchen Sie die Breach-Klausel im AVV und lesen Sie sie vor der Unterschrift.
Rote Flaggen, die den Deal beenden sollten
- Das Tool trainiert seine Modelle auf Ihren Daten „standardmäßig, nur Opt-out“.
- Der AVV ist nicht im Standardvertrag und erfordert einen Sales-Call.
- Subprozessoren werden nicht offengelegt oder ändern sich ohne Ankündigung.
- Audio liegt auf der Anbieter-Infrastruktur mit unklarer Aufbewahrung.
- Löschanfragen laufen über E-Mail-Support, ohne automatisierten Prozess.
- Serverstandort ist „global“ oder „bald EU“.
- Der AVV verweist auf US-Recht ohne SCCs.
Grüne Flaggen, für die sich Zahlen lohnt
- Server betrieben von einer EU-eingetragenen Einheit, nicht nur in der EU gehostet.
- Null Audio-Aufbewahrung by design — das Tool kann Ihr Gesprächs-Audio buchstäblich nicht behalten.
- Kurze Subprozessoren-Liste, alle benannt, alle EU oder selbst gehostet.
- Rechtsgrundlage explizit im Onboarding (Einwilligungsfluss vor Aufnahme).
- Open-Source-Komponenten für die sensibelsten Datenpfade.
- Breach-Notification-SLA ≤ 24 h.
- Standardisierte Endpunkte für Datenexport und Löschung.
Wo Punkto auf dieser Checkliste steht
Volle Transparenz: Wir betreiben Punkto, eine EU-jurisdiktionale Meeting-Plattform — wir sind also nicht neutral. So schneiden wir bei den 12 Fragen ab, im Klartext.
- Wo: Infrastruktur in der Europäischen Union, ausschließlich.
- Betreiber: EU-eingetragen, keine US-Mutter, nicht dem CLOUD Act unterworfen.
- AVV: auf Enterprise-Plänen verfügbar, Artikel-28-konform, vor Vertragsschluss unterzeichnet.
- Subprozessoren: kurze Liste, vollständig offengelegt, alle EU.
- Audio: im Speicher verarbeitet, dann sofort verworfen — nie gespeichert, nirgendwo.
- Rechtsgrundlage: Teilnehmer werden vor jeder Aufnahme informiert.
- Teilnehmerdaten: Link und Anzeigename genügen. Kein Konto erforderlich.
- DSAR: Kontoinhaber exportieren alle Daten aus dem Dashboard.
- Löschung: Kontolöschung kaskadiert auf alle Sitzungen, Transkripte und Zusammenfassungen; Soft-Deletes werden nach definierter Frist endgültig gelöscht.
- KI-Training: niemals. Unsere KI-Anbieter arbeiten mit Zero-Retention-Enterprise-Verträgen.
- Vertragsende: Datenexport verfügbar; Löschbestätigung auf Anfrage.
- Breach-SLA: 24 h, im AVV.
Wenn diese Liste banal wirkt — genau das ist der Punkt. DSGVO-Compliance ist keine Magie, sondern eine Reihe langweiliger Häkchen und eine Handvoll früher Architekturentscheidungen.
Quellen. Verordnung (EU) 2016/679 (DSGVO) gdpr-info.eu. EDSA-Empfehlungen 01/2020 zu zusätzlichen Maßnahmen für internationale Transfers (Schrems II). EDSA-Leitlinien 03/2018 zum räumlichen Anwendungsbereich.
Häufige Fragen
Ist Google Meet DSGVO-konform?
Google Meet kann DSGVO-konform genutzt werden, wenn Sie den Google-Workspace-AVV unterzeichnen, den Datenstandort wo verfügbar auf „Europäische Union“ stellen und akzeptieren, dass Google LLC (ein US-Unternehmen) Ihr Auftragsverarbeiter ist. Die Schrems-II-Konformität hängt weiterhin von Ihren zusätzlichen Maßnahmen und Ihrer DSFA ab.
Was ist der Unterschied zwischen EU-Hosting und EU-Jurisdiktion?
EU-Hosting heißt: Die Daten liegen in einem Rechenzentrum, das physisch in der EU steht. EU-Jurisdiktion heißt: Das Unternehmen, dem die Daten anvertraut sind, ist in der EU eingetragen und unterliegt keinen extraterritorialen Gesetzen wie dem US CLOUD Act. Hosting allein reicht nicht.
Muss ich Meetings aufzeichnen, um DSGVO-konform zu sein?
Nein — die DSGVO verlangt keine Aufzeichnung. Eher das Gegenteil: Datenminimierung (Art. 5 Abs. 1 lit. c) spricht dagegen, ohne klare Rechtsgrundlage und expliziten Zweck aufzuzeichnen. Wenn Sie aufzeichnen, bevorzugen Sie Tools, die Audio nach der Transkription verwerfen.
Kann ein US-Meeting-Tool überhaupt DSGVO-konform sein?
Im Prinzip ja — mit unterzeichnetem AVV, SCCs (Standardvertragsklauseln) und zusätzlichen Maßnahmen. In der Praxis macht die CLOUD-Act-Exposition eine saubere DSFA schwer. EU-jurisdiktionale Alternativen beseitigen diese Komplikation vollständig.
Was ist die sicherste Rechtsgrundlage für Meeting-Aufnahmen?
Für interne Meetings greift meist das „berechtigte Interesse“ (Art. 6 Abs. 1 lit. f) — sofern Sie Erforderlichkeit, Verhältnismäßigkeit und Abwägungstest dokumentieren können. Bei externen Teilnehmern ist die ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a) vor Aufnahmebeginn sicherer.
Wie lange darf ich Meeting-Transkripte unter der DSGVO aufbewahren?
Keine feste Frist. Der Grundsatz lautet „nicht länger als nötig“ (Art. 5 Abs. 1 lit. e). Dokumentieren Sie eine Aufbewahrungsfrist in Ihrer Datenschutzerklärung — typischerweise 30, 90 oder 365 Tage für Transkripte — und erzwingen Sie die automatische Löschung im Tool.