KI-Meeting-Tools nach Schweizer nDSG: Was das Gesetz verlangt

Ein Berater nimmt an einem Videocall mit einem neuen Kunden teil. Fireflies.ai ist bereits mit dem Kalender verknüpft, also tritt der Bot ebenfalls bei, zeichnet das Gespräch auf und erstellt ein Transkript. Die Audiodatei wird auf US-Servern verarbeitet. Der Name, die Stimme, die Anliegen und die Geschäftsdetails des Kunden sind jetzt bei einem Dritten gespeichert, von dem der Kunde nie gehört hat, in einer Rechtsordnung, der er nie zugestimmt hat.

Der Berater hat nichts davon erwähnt. Unter dem nDSG (neues Datenschutzgesetz) ist das ein Problem, und die Haftung liegt bei der Person, die die Aufnahme veranlasst hat.

Dieser Artikel erklärt, was das Schweizer Recht verlangt, wenn du KI-gestützte Meeting-Tools mit Kunden einsetzt, wie du die Einwilligung korrekt einholst und wie du compliant bleibst, ohne auf die Tools zu verzichten, die dich produktiv machen.

Was verlangt das nDSG beim Einsatz von KI-Tools?

Das nDSG erwähnt KI-Meeting-Tools nicht namentlich. Das muss es auch nicht. Drei Kernprinzipien greifen direkt.

Informationspflicht (Art. 19)

Wenn du Personendaten erhebst, musst du die betroffene Person über den Zweck, die Identität des Verantwortlichen und allfällige Empfänger oder Empfängerkategorien informieren. Eine Sprachaufnahme, die von Fireflies.ai verarbeitet wird, beinhaltet die Erhebung von Personendaten (Stimme, Aussagen und potenziell sensible Geschäftsinformationen des Kunden) und deren Weitergabe an einen Auftragsbearbeiter (Fireflies). Der Kunde hat ein Recht, das vorab zu erfahren.

Zweckbindung

Daten, die für einen Zweck erhoben wurden, dürfen nicht ohne zusätzliche Einwilligung umgewidmet werden. Eine Meeting-Aufnahme für deine eigenen Notizen ist ein Zweck. Diese Aufnahme einer KI zu übergeben, die mit Nutzerdaten trainiert, Analysen generiert oder aggregierte Erkenntnisse teilt, ist ein anderer Zweck. Prüfe die Nutzungsbedingungen deines Tools sorgfältig: Viele KI-Transkriptionsdienste behalten Daten zur Modellverbesserung, wenn du nicht explizit widersprichst.

Datenminimierung

Du solltest nur erheben, was du brauchst. Wenn du nur Aktionspunkte aus einem Meeting benötigst, erreicht eine manuelle Zusammenfassung dasselbe Ergebnis, ohne das gesamte Gespräch aufzuzeichnen. Das nDSG verbietet Aufnahmen nicht, aber es verlangt, dass du den Umfang der Datenerhebung im Verhältnis zum Zweck rechtfertigst.

Meeting-Aufnahmen: Was Einwilligung bedeutet

«Ich habe am Anfang erwähnt, dass der Call aufgezeichnet wird» ist gängige Praxis. Es ist in den meisten kundennahen Szenarien nach Schweizer Recht aber unzureichend.

Ausdrückliche oder stillschweigende Einwilligung

Stillschweigende Einwilligung (den Call fortsetzen, nachdem man über die Aufnahme informiert wurde) ist eine schwache Rechtsposition. Das nDSG verlangt, dass betroffene Personen auf klare und verständliche Weise informiert werden. Bei Aufnahmen mit Drittanbieter-Verarbeitung ist die Best Practice eine ausdrückliche Einwilligung: Der Kunde stimmt aktiv zu, idealerweise schriftlich oder durch dokumentierte mündliche Bestätigung.

Für interne Teamsitzungen liegt die Schwelle tiefer. Mitarbeitende können über Unternehmensrichtlinien und Arbeitsverträge informiert werden. Für externe Stakeholder (Kunden, Interessenten, Partner) brauchst du einen bewussteren Ansatz.

Wann die Einwilligung einzuholen ist

Vor Beginn der Aufnahme. Das klingt offensichtlich, aber viele KI-Tools treten geplanten Meetings automatisch bei oder beginnen die Aufnahme, sobald der Call verbunden ist. Bei aktiviertem Auto-Record läuft die Aufnahme möglicherweise bereits, bevor du ein Wort gesagt hast.

Praktischer Ansatz:

1. Deaktiviere Auto-Record und Auto-Join für externe Meetings.
2. Erkläre zu Beginn des Calls, was du aufzeichnest, warum und wohin die Daten gehen.
3. Hole vor Aktivierung des Tools explizit die Einwilligung ein.
4. Falls der Kunde ablehnt: Mache manuelle Notizen.

Mündliche oder schriftliche Einwilligung

Schriftliche Einwilligung (E-Mail, unterschriebene Offenlegung) schafft einen klaren Nachweis. Mündliche Einwilligung ist rechtlich gültig, aber schwerer zu beweisen. Ein sinnvoller Mittelweg: Sende vor dem Meeting eine kurze E-Mail, die deine Aufnahmepraktiken erklärt, und bestätige mündlich im Call. Die E-Mail dient als Dokumentation.

Wohin gehen deine Daten?

Die Aufnahme selbst ist nur ein Teil des Bildes. Ebenso relevant ist, wo die Daten nach dem Call verarbeitet und gespeichert werden.

US-basierte KI-Dienste und der CLOUD Act

Die meisten populären KI-Meeting-Tools (Fireflies.ai, Otter.ai, Grain und Fathom) verarbeiten Daten auf US-basierter Infrastruktur. Der US CLOUD Act erlaubt US-Strafverfolgungsbehörden, US-basierte Unternehmen zur Herausgabe gespeicherter Daten zu zwingen, unabhängig davon, wo sich die betroffene Person befindet. Das erzeugt eine strukturelle Spannung mit den Schweizer Datenschutzerwartungen.

Das nDSG erlaubt grenzüberschreitende Datenübermittlungen in Länder mit angemessenem Datenschutzniveau (vom Bundesrat gelistet) oder bei geeigneten Garantien (Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften). Seit dem 15. September 2024 anerkennt die Schweiz die USA als angemessenes Schutzniveau, aber nur für US-Unternehmen, die unter dem Swiss-US Data Privacy Framework (DPF) zertifiziert sind. Die Nutzung eines US-basierten KI-Transkriptionsdienstes mit Kundendaten erfordert daher entweder eine DPF-Zertifizierung des Anbieters, Standardvertragsklauseln für nicht zertifizierte Anbieter, eine ausdrückliche informierte Einwilligung des Kunden (inklusive der grenzüberschreitenden Übermittlung) oder eine dokumentierte Risikobeurteilung, dass die Übermittlung im konkreten Kontext vertretbar ist.

EU/Schweiz-gehostete Alternativen

Manche Anbieter bieten EU-Data-Residency-Optionen. Microsoft Teams (mit Copilot) kann für europäische Datenverarbeitung konfiguriert werden. Otter.ai und Fireflies.ai verarbeiten Daten zum Zeitpunkt dieses Artikels primär in den USA. Wenn der Datenstandort für deine Kunden relevant ist (und bei regulierten Branchen ist er das meist), prüfe den Datenverarbeitungsstandort des Anbieters, bevor du dich festlegst.

Verschlüsselung bei Übertragung und Speicherung

Frage, ob das Tool Aufnahmen bei der Übertragung und Speicherung verschlüsselt. Ende-zu-Ende-Verschlüsselung ist der Goldstandard, bei KI-Transkriptionsdiensten aber selten, weil die KI Zugang zur unverschlüsselten Audiodatei braucht, um Transkripte zu erstellen. Achte mindestens auf TLS bei der Übertragung und AES-256 bei der Speicherung.

Über Meeting-Tools hinaus: Was solltest du noch offenlegen?

KI-Meeting-Recorder fallen auf, weil sie buchstäblich dem Call beitreten. Aber dieselbe Offenlegungspflicht gilt für jeden Drittdienst, der Kunden-Personendaten bearbeitet, selbst wenn die Verarbeitung unsichtbar abläuft.

Cloud-Speicher

Wenn du Kundendateien in Google Drive, Dropbox oder OneDrive speicherst, hat ein Dritter Zugang zu diesen Daten. Wo stehen die Server? Was sind die Datenbearbeitungsbedingungen des Anbieters? Kunden, die mit dir zusammenarbeiten, haben eine berechtigte Erwartung zu wissen, wo ihre Daten liegen.

E-Mail und Kommunikation

Gmail scannt E-Mail-Inhalte zur Spam-Filterung und (je nach Plan) für Werbung. Enterprise-Pläne haben typischerweise strengere Datenbearbeitungsvereinbarungen, aber die Offenlegungspflicht bleibt.

Projektmanagement-Tools

Asana, Monday.com und Notion: Wenn du Kundenprojektdetails in diesen Tools erfasst, sind Kundennamen, Projektbeschreibungen und Zeitpläne auf Drittanbieter-Servern gespeichert. Dieselbe Transparenzpflicht gilt.

Passwörter und Zugangsdaten teilen

Teilst du Login-Daten mit Kunden? Nutze einen Passwort-Manager mit sicheren Sharing-Funktionen statt Passwörter per E-Mail oder Chat zu senden. Das ist sowohl eine Sicherheitsmassnahme als auch eine Social-Engineering-Abwehr: Kunden daran zu gewöhnen, Zugangsdaten über einen sicheren Kanal zu erhalten, reduziert die Wirksamkeit von Phishing-Angriffen gegen sie.

Das allgemeine Prinzip

Wenn ein Drittdienst Kunden-Personendaten bearbeitet, haben Kunden ein Recht, das zu erfahren. Du musst nicht jedes SaaS-Abo in deinem Tech-Stack auflisten. Aber eine allgemeine Offenlegung, die Kategorien von Tools (Cloud-Speicher, Kommunikation, Projektmanagement und KI-gestützte Transkription) und deren Datenverarbeitungsstandorte umfasst, zeigt guten Willen und erfüllt die Transparenzanforderung des nDSG.

Ein praktischer Rahmen vor Mandatsbeginn

Compliance braucht keine Rechtsabteilung. Ein strukturierter Ansatz deckt die meisten Szenarien ab.

Schritt 1: Tools auditieren

Liste jeden Dienst auf, der mit Kundendaten in Berührung kommt. Notiere jeweils:

• Datentyp: Welche Kundeninformationen bearbeitet der Dienst? (Namen, E-Mails, Sprachaufnahmen, Dateien und Projektdetails)
• Datenstandort: Wo stehen die Server? (USA, EU oder Schweiz)
• Aufbewahrungsdauer: Wie lange behält der Dienst Kundendaten? Kannst du sie löschen?
• Sub-Auftragsbearbeiter: Gibt der Dienst Daten an weitere Dritte weiter?

Dieses Audit dauert eine Stunde. Aktualisiere es, wenn du neue Tools hinzufügst.

Schritt 2: Offenlegungsvorlage erstellen

Erstelle ein einseitiges Dokument, das abdeckt:

• Kategorien von Tools, die du zur Bearbeitung von Kundendaten nutzt
• Datenverarbeitungsstandorte
• Deine Verschlüsselungs- und Sicherheitsmassnahmen
• Wie Datenlöschung beantragt werden kann
• Deine Kontaktdaten für Datenschutzanfragen

Das geht an Kunden zu Beginn eines Mandats, idealerweise als Anhang zum Dienstleistungsvertrag oder in einer separaten E-Mail.

Schritt 3: Einwilligungstext für Aufnahmen einfügen

Wenn du KI-Meeting-Tools einsetzt, füge spezifische Angaben hinzu zu:

• Tool-Name und Anbieter
• Welche Daten erfasst werden (Audio, Video, Transkript und Sprecheridentifikation)
• Wo die Daten verarbeitet und gespeichert werden
• Wie lange Aufnahmen aufbewahrt werden
• Wie der Kunde die Aufnahme ablehnen kann

Ein einzelner Absatz im Mandatsvertrag oder eine E-Mail vor dem Meeting erledigt das. Die Kernanforderung: Die Information muss den Kunden vor der Aufnahme erreichen, nicht danach.

Schritt 4: Operative Schutzmassnahmen umsetzen

• Deaktiviere Auto-Record für externe Meetings.
• Lege Aufbewahrungsfristen in deinen KI-Tools fest (Aufnahmen nach 30/60/90 Tagen löschen).
• Überprüfe und bereinige Kundendaten bei Mandatsende.
• Nutze einen VPN, wenn du von öffentlichen Netzwerken auf Kundendaten zugreifst.
• Aktiviere 2FA auf jedem Tool, das Kundendaten bearbeitet.

Diese Gewohnheiten reduzieren das Risiko und belegen die «angemessenen technischen und organisatorischen Massnahmen», die das nDSG verlangt. Für eine umfassendere Anleitung: unser Security-Setup-Guide für Freelancer oder der Überblick zu Security-Tools für Founder.

Konforme Alternativen und Abhilfen

Du musst nicht aufhören, KI-Produktivitätstools zu nutzen. Aber du solltest bewusst wählen.

Tools mit EU/Schweizer Data Residency bevorzugen

Wähle wenn möglich Anbieter, die Datenverarbeitung in der Schweiz oder der EU anbieten. Microsoft Teams mit europäischer Data Residency ist eine Option für Organisationen im Microsoft-Ökosystem. Für selbst gehostete Alternativen kann Jitsi Meet (Open-Source-Videokonferenzen) auf Schweizer Infrastruktur betrieben werden.

Lokale Transkription

Wenn du hochsensible Kundengespräche führst (Recht, Medizin oder Finanzen), ziehe lokale Transkriptionstools in Betracht, die Audio auf deinem eigenen Gerät verarbeiten. Whisper (das Open-Source-Spracherkennungsmodell von OpenAI) kann lokal laufen und hält Aufnahmen komplett von Drittanbieter-Servern fern. Die Transkriptionsqualität ist für die meisten europäischen Sprachen konkurrenzfähig mit Cloud-Diensten.

Die Filesharing-Ebene stärken

Meeting-Aufnahmen und Transkripte brauchen nach dem Call ein sicheres Zuhause. Aufnahmen per E-Mail zu versenden oder in einem allgemeinen Cloud-Speicher abzulegen, schafft unnötige Exposition. Tresorit bietet Zero-Knowledge-Ende-zu-Ende-verschlüsseltes Filesharing mit Schweizer Datenstandort und eignet sich damit gut für die Speicherung und Weitergabe sensibler Meeting-Artefakte an Kunden. Dateien werden verschlüsselt, bevor sie dein Gerät verlassen, sodass selbst der Speicheranbieter den Inhalt nicht einsehen kann.

Vertragliche Abhilfen

Wenn ein Tool-Wechsel nicht praktikabel ist, mildere das Risiko vertraglich:

• Nimm die Offenlegung der Datenbearbeitung in deine Dienstleistungsverträge auf.
• Schliesse Standardvertragsklauseln für grenzüberschreitende Übermittlungen ein.
• Dokumentiere deine Risikobeurteilung für jedes Tool.
• Biete Kunden die Möglichkeit, die Aufnahme abzulehnen.

Das eliminiert nicht die strukturellen Probleme mit US-basierter Datenverarbeitung, aber es bringt dich in eine verteidigungsfähige Position und erfüllt die Transparenzanforderungen des nDSG.

Das Ganze zusammensetzen

KI-Meeting-Tools bringen echte Produktivitätsgewinne. Die rechtlichen Anforderungen sind handhabbar: Informiere deine Kunden vor der Aufnahme, erkläre, wohin die Daten gehen, hole die ausdrückliche Einwilligung ein und dokumentiere deine Praktiken. Ein einseitiges Offenlegungsdokument und eine konsequente Pre-Meeting-Gewohnheit decken den Grossteil der Pflichten ab.

Die breitere Lektion geht über Meeting-Recorder hinaus. Jedes SaaS-Tool in deinem Stack, das Kunden-Personendaten bearbeitet, erzeugt eine Offenlegungspflicht. Ein jährliches Tool-Audit und ein klares Offenlegungsdokument für Kunden verwandeln das von einer permanenten Sorge in ein gelöstes Problem.

Hinweis zur Rechtsberatung: Dieser Artikel bietet allgemeine Orientierung zu Einwilligungs- und Offenlegungspflichten nach Schweizer Recht. Er stellt keine Rechtsberatung dar und ersetzt nicht die Konsultation eines qualifizierten Anwalts. Anforderungen variieren je nach Branche, Kundenbeziehungen und den eingesetzten Tools. Wenn du Hilfe beim Erstellen von Offenlegungsdokumenten oder Einwilligungstexten brauchst, ziehe einen auf Schweizer Datenschutzrecht spezialisierten Anwalt bei. Plattformen wie GetYourLawyer können bei der Suche helfen.

---

Für Links auf dieser Seite kann NeoGuard eine Provision vom Anbieter erhalten. Dies hat keinen Einfluss auf unsere redaktionellen Empfehlungen. Siehe unsere Datenschutzerklärung für Details.