Sind KI-Meeting-Assistenten sicher? Datenschutzrisiken bei Cloud-Transkription

Illustration zu Datenschutzrisiken und Sicherheitsbedenken bei KI-Meeting-Assistenten

TL;DR

Sind KI-Meeting-Assistenten sicher? Nicht alle. Im Jahr 2025 sah sich Otter.ai einer Sammelklage gegenueber(opens in new tab) wegen Aufnahmen ohne Einwilligung, Fireflies.ai wurde wegen biometrischer Datenerfassung verklagt(opens in new tab), und die Chapman University verbot Read AI(opens in new tab) aufgrund von Sicherheitsbedenken. Cloud-Meeting-Tools bergen echte Datenschutzrisiken: Daten auf Drittanbieter-Servern, KI-Training mit Ihren Gespraechen und Aufnahmen ohne ordnungsgemaesse Einwilligung. Fuer wirklich sichere Meeting-Transkription haelt lokale Verarbeitung (wie Meetily) Ihre Daten auf Ihrem Geraet.

Ueber 62% der Unternehmen(opens in new tab) nutzen mittlerweile KI-Meeting-Assistenten. Der Markt ist auf $3,5 Milliarden im Jahr 2025(opens in new tab) explodiert und soll bis 2035 auf 34 Milliarden Dollar anwachsen.

Doch mit der zunehmenden Verbreitung wachsen auch die Klagen, Universitaetsverbote und Datenschutzskandale.

Wenn Sie cloudbasierte Meeting-KI nutzen, muessen Sie die Risiken verstehen. Und wenn Sie Optionen evaluieren, hilft Ihnen dieser Leitfaden, sichere Tools von problematischen zu unterscheiden.

Der Weckruf: Die KI-Meeting-Assistenten-Klagen von 2025

Otter.ai Sammelklage (August 2025)

Im August 2025 reichte Justin Brewer eine Sammelklage(opens in new tab) gegen Otter.ai vor einem kalifornischen Bundesgericht ein. Die Vorwuerfe sind schwerwiegend:

"Der KI-gesteuerte Transkriptionsdienst des Unternehmens... fragt Meeting-Teilnehmer standardmaessig nicht um Erlaubnis zur Aufnahme und informiert die Teilnehmer nicht darueber, dass Aufnahmen mit Otter geteilt werden, um dessen KI-Systeme zu verbessern."

Hauptvorwuerfe aus der Klageschrift(opens in new tab):

Otters "OtterPilot" tritt Meetings automatisch bei ohne Einwilligung aller Teilnehmer
Meeting-Daten werden verwendet, um Otters KI-Modelle zu trainieren ohne ausdrueckliche Genehmigung
Der Dienst uebertraegt die Einwilligungspflichten auf die Kunden, anstatt diese direkt einzuholen
Verstoesse gegen den Electronic Communications Privacy Act (ECPA)(opens in new tab), Computer Fraud and Abuse Act (CFAA)(opens in new tab) und California Invasion of Privacy Act (CIPA)(opens in new tab)

Der Fall (Brewer v. Otter.ai Inc., Case No. 5:25-cv-06911) ist noch anhaengig, wobei Otters Antwortfrist auf November 2025 verlaengert wurde(opens in new tab).

Kalifornien ist ein Zwei-Parteien-Einwilligungsstaat

Das kalifornische Recht erfordert die Einwilligung ALLER Parteien(opens in new tab) vor der Aufnahme eines Gespraechs. Otters Ansatz, nur vom Meeting-Gastgeber die Einwilligung einzuholen - nicht von allen Teilnehmern - steht in direktem Widerspruch zu dieser Anforderung.

Fireflies.ai Klage (Dezember 2025)

Nur wenige Monate spaeter stand Fireflies.ai vor seiner eigenen rechtlichen Herausforderung(opens in new tab). Die Einwohnerin von Illinois, Katelin Cruz, reichte eine Klage ein, in der sie behauptete:

"Fireflies.AIs Meeting-Assistent zeichnet auf, analysiert, transkribiert und speichert die einzigartigen Stimmmerkmale (d.h. 'Stimmabdruecke') jedes Meeting-Teilnehmers... einschliesslich Personen, die nie ein Fireflies-Konto erstellt haben, nie den Nutzungsbedingungen zugestimmt haben und nie eine schriftliche Einwilligung gegeben haben."

Die Klage behauptet Verstoesse gegen den Illinois Biometric Information Privacy Act (BIPA)(opens in new tab):

Erfassung biometrischer Stimmdaten ohne Einwilligung
Keine veroeffentlichte Richtlinie zur Datenaufbewahrung oder -loeschung
Nutzer berichten, dass der Bot weiterhin Meetings beitritt, selbst nach Loeschung ihres Kontos(opens in new tab)

Chapman University verbietet Read AI (August 2025)

Auch akademische Institutionen ergreifen Massnahmen. Im August 2025 veroeffentlichte die Abteilung fuer Informationssysteme der Chapman University eine Sicherheitsmitteilung(opens in new tab):

"Nach Untersuchung ist die Nutzung von Read AI verboten aufgrund von Sicherheits-, Datenschutz- und institutionellen Datenrisiken."

Die Universitaet nannte Bedenken bezueglich:

Daten, die die institutionelle Kontrolle verlassen
Mangelnder angemessener Datenschutz
Sicherheitsluecken bei kostenlosen KI-Tools

Dies war keine Einzelentscheidung. Organisationen in Gesundheitswesen, Bildung und Regierung schraenken cloudbasierte Meeting-KI zunehmend ein.

Warum Cloud-Meeting-KI Datenschutzrisiken birgt

Die oben genannten Klagen sind kein Zufall - sie spiegeln systemische Probleme wider, wie Cloud-Meeting-Tools mit Ihren Daten umgehen.

1. Ihre Gespraeche trainieren deren KI

Die meisten Cloud-Meeting-Tools nutzen Ihre Transkripte, um ihre Modelle zu verbessern. Aus Otter.ais eigener Dokumentation(opens in new tab):

"Otter verwendet eine proprietaere Methode zur De-Identifizierung von Nutzerdaten, bevor unsere Modelle trainiert werden."

Selbst "de-identifizierte" Daten schaffen Risiken. Die Otter.ai-Klage behauptet(opens in new tab), dass Teilnehmer nicht informiert wurden, dass ihre Gespraeche KI trainieren wuerden - eine erhebliche Einwilligungsverletzung.

2. Daten auf Drittanbieter-Servern gespeichert

Wenn Sie Cloud-Meeting-KI nutzen, befinden sich Ihre Aufnahmen auf fremden Servern:

Anbieter	Datenstandort	Ihre Kontrolle
Otter.ai	AWS (USA)	Eingeschraenkt
Fireflies	Cloud (USA)	Eingeschraenkt
Read AI	Cloud	Eingeschraenkt
Meetily	Ihr Geraet	Vollstaendig

Das ist wichtig, weil:

29% der KI-Verstaesse von SaaS-Drittanbieterplattformen stammen(opens in new tab)
Die durchschnittlichen Kosten eines KI-bezogenen Verstosses 5,72 Millionen Dollar betragen(opens in new tab)
Organisationen mit unueberwachter KI Verstosskosten von 670.000 Dollar mehr haben(opens in new tab) als solche mit Kontrollen

3. Auto-Beitritt ohne Einwilligung

Ein besonders besorgniserregendes Muster: Cloud-Meeting-Tools, die automatisch Meetings beitreten ohne ausdrueckliche Genehmigung aller Teilnehmer.

Aus Nutzerbeschwerden ueber Fireflies(opens in new tab):

"Standardmaessig tritt Fireflies jedem Kalenderereignis bei und teilt Meeting-Notizen mit allen Teilnehmern... Es zum Schweigen zu bringen/abzuschalten ist wie der Versuch, eine Zecke vom Bein zu entfernen."

Das ist nicht nur aergerlich - es verstoesst potenziell gegen Abhoergesetze in 12 US-Bundesstaaten, die Allparteien-Einwilligung erfordern(opens in new tab):

Kalifornien
Florida
Illinois
Maryland
Massachusetts
Michigan
Montana
New Hampshire
Pennsylvania
Washington
Connecticut (zivilrechtliche Haftung)
Delaware

4. Schatten-KI explodiert

Gartner prognostiziert, dass 40% der Datenverstaesse bis 2027 "Schatten-KI" betreffen werden(opens in new tab) - nicht autorisierte KI-Tools, die von Mitarbeitern ohne IT-Genehmigung genutzt werden.

Meeting-KI ist besonders anfaellig, weil:

Mitarbeiter Browsererweiterungen ohne Aufsicht installieren
Kalenderintegrationen automatisch aktiviert werden
Die IT moeglicherweise nicht weiss, welche Meetings aufgezeichnet werden

40% der Organisationen haben bereits einen KI-bezogenen Datenschutzvorfall erlebt(opens in new tab), und 97% der von Verstoessen betroffenen Organisationen fehlten angemessene KI-Zugriffskontrollen(opens in new tab).

Cloud vs. Lokal: Ein Sicherheitsvergleich

Feature	Lokale KI (Meetily)Recommended	Cloud-KI (Otter, Fireflies)
DatenstandortWo Aufnahmen gespeichert werden	Nur Ihr Geraet	Drittanbieter-Server
KI-TrainingIhre Daten zur Modellverbesserung verwendet	Niemals	Ja (de-identifiziert)
Einwilligung erforderlichWer muss der Aufnahme zustimmen	Sie entscheiden	Oft nur Gastgeber
Verstoss-ExpositionRisiko bei Anbieter-Hack	Keine (keine Cloud)	Hoch
Offline-FaehigkeitFunktioniert ohne Internet	Vollstaendig	Keine
Compliance-KontrolleHIPAA/DSGVO von Grund auf	Vollstaendig	Eingeschraenkt
Audit-TransparenzKann verifizieren, was mit Daten passiert	Open Source	Proprietaer

Wer sollte Cloud-Meeting-KI meiden?

Basierend auf der rechtlichen Landschaft und den Compliance-Anforderungen sollten diese Organisationen cloudbasierte Meeting-Transkription ueberdenken:

Gesundheitsorganisationen (HIPAA)

Meeting-Aufnahmen enthalten oft geschuetzte Gesundheitsinformationen (PHI). Waehrend Otter.ai im Juli 2025 HIPAA-Konformitaet erreichte(opens in new tab) und Fireflies "Fireflies for Healthcare" einfuehrte(opens in new tab), erfordern diese:

Enterprise-Plaene ($25-35+/Nutzer/Monat)
Business Associate Agreements (BAAs)
Vertrauen in die Datenhandhabung durch Dritte

Lokale Verarbeitung eliminiert Drittanbieter-Risiken vollstaendig - kein BAA erforderlich, wenn PHI niemals Ihr Geraet verlaesst.

Anwaltskanzleien (Mandantengeheimnis)

Rechtsexperten warnen(opens in new tab), dass das Gewaehren von Transkriptzugriff fuer Meeting-KI-Anbieter das Anwaltsgeheimnis aufheben koennte:

"Das Gestatten, dass Notiz-Anbieter auf Transkripte zugreifen oder diese fuer eigene Zwecke nutzen, koennte Gruende fuer eine Aufhebung des Privilegs liefern, was bei einem Rechtsstreit problematisch ist."

Finanzdienstleistungen (SOX, PCI, SEC)

Finanzvorschriften erfordern strenge Datenkontrollen. GSC-Daten zeigen aktive Suchen(opens in new tab) nach "ki meeting assistenten datensicherheit finanz" und "ki meeting assistent finanzvorschriften."

Cloud-Tools schaffen Audit-Komplexitaet, die lokale Verarbeitung vermeidet.

Bildung (FERPA, Institutionelle Richtlinien)

Nach dem Vorbild der Chapman University implementieren viele Institutionen KI-Tool-Ueberpruefungsprozesse(opens in new tab). Cloud-Meeting-KI besteht diese Ueberpruefungen oft nicht.

Europaeische Organisationen (DSGVO)

Fireflies verarbeitet Daten auf US-Servern(opens in new tab), was DSGVO-Transferprobleme schafft. Die DSGVO erfordert(opens in new tab) angemessenen Schutz fuer Daten, die die EU verlassen - US-Cloud-Dienste stehen hier vor anhaltender rechtlicher Unsicherheit.

DSGVO-Tipp: Einwilligung ist nicht immer genug

Selbst mit Einwilligung kann das Datenminimierungsprinzip(opens in new tab) der DSGVO mit Meeting-KI in Konflikt geraten, die alles aufzeichnet, speichert und analysiert. Lokale Verarbeitung mit nutzergesteuerter Aufbewahrung ist der sicherste Ansatz.

Wie man Meeting-KI-Sicherheit bewertet

Bevor Sie einen Meeting-Assistenten waehlen, stellen Sie diese Fragen:

1. Wohin gehen die Daten?

Am besten: Bleibt auf Ihrem Geraet (lokale Verarbeitung)
Akzeptabel: Ihre Unternehmens-Cloud (selbst gehostet)
Riskant: Server des Anbieters

2. Ist es Bot-frei?

Sichtbare Meeting-Bots erzeugen Reibung und loesen oft die Einwilligungsprobleme aus, die im Zentrum aktueller Klagen stehen. Bot-freie Optionen:

Meetily - Erfasst System-Audio lokal
Granola - Mac-nativ, Bot-frei (aber Cloud-Verarbeitung)
Plattform-nativ - Zoom AI, Microsoft Copilot (kein externer Bot)

3. Was ist das Einwilligungsmodell?

Erfordert es Einwilligung von ALLEN Teilnehmern?
Kann es ohne ausdrueckliche Genehmigung automatisch beitreten?
Was passiert, wenn jemand sagt "nicht aufnehmen"?

4. Ist der Code ueberpruefbar?

Open-Source-Tools lassen Sie genau verifizieren, was mit Ihren Daten passiert. Proprietaere Tools erfordern Vertrauen.

Tool	Open Source	Ueberpruefbar
Meetily	Ja (MIT)	Vollstaendig
Otter.ai	Nein	Nein
Fireflies	Nein	Nein
Whisper (Modell)	Ja	Vollstaendig

5. Was ist die Datenaufbewahrungsrichtlinie?

Die Fireflies-Klage fuehrt spezifisch(opens in new tab) das Fehlen veroeffentlichter Aufbewahrungs-/Loeschungsrichtlinien als BIPA-Verstoss an.

Die Local-First-Alternative

Wenn Sie die oben genannten Risiken beunruhigen, loest lokale KI-Verarbeitung sie architektonisch - nicht durch Richtlinienversprechen, sondern durch technisches Design.

Wie lokale Meeting-KI funktioniert:

Audio wird vom System-Audio Ihres Geraets erfasst
Transkription laeuft auf Ihrer CPU/GPU mit Modellen wie OpenAI Whisper(opens in new tab)
Zusammenfassungen werden lokal generiert (oder mit Ihrer gewaehlten API)
Alle Daten bleiben auf Ihrem Geraet

Was das fuer den Datenschutz bedeutet:

Kein Server-Verstoss kann Ihre Meetings offenlegen (Daten sind nicht dort)
Keine Einwilligungsunklarheit (Sie kontrollieren die Aufnahme)
Kein KI-Training mit Ihren Gespraechen (Daten verlassen nie Ihr Geraet)
Vollstaendige DSGVO/HIPAA-Konformitaet (keine Drittanbieter-Verarbeiter)

Lokale Meeting-KI ausprobieren

Meetily ist kostenlos, Open Source und verarbeitet alles auf Ihrem Geraet. Keine Cloud, keine Bots, keine Kompromisse.

Kostenlos herunterladen

Best Practices fuer jede Meeting-KI

Ob Sie Cloud oder lokal waehlen, befolgen Sie diese Richtlinien:

Fuer Organisationen

Erstellen Sie eine Liste genehmigter Tools - Lassen Sie Mitarbeiter nicht beliebige Meeting-KI installieren
Ueberpruefen Sie Datenschutzrichtlinien - Besonders Datentraining und Aufbewahrungsklauseln
Etablieren Sie Einwilligungsprotokolle - Wie benachrichtigen Sie Teilnehmer?
Beruecksichtigen Sie die Rechtsprechung - 12 US-Staaten erfordern Allparteien-Einwilligung(opens in new tab)
Fuehren Sie regelmaessige Audits durch - Welche KI-Tools haben Kalenderzugriff?

Fuer Einzelpersonen

Lesen Sie die Datenschutzrichtlinie - Besonders den Abschnitt zum KI-Training
Ueberpruefen Sie Auto-Beitritt-Einstellungen - Deaktivieren Sie diese wenn moeglich
Kuendigen Sie Aufnahmen an - Auch wenn das Tool das nicht tut
Ueberpruefen Sie die Datenaufbewahrung - Loeschen Sie Aufnahmen, die Sie nicht benoetigen
Erwaegen Sie lokale Optionen - Fuer sensible Gespraeche

Fuer Meetings mit externen Parteien

Legen Sie KI-Aufnahmen immer offen - Rechtliche und ethische Anforderung
Bieten Sie an, fuer sensible Themen zu deaktivieren - Baut Vertrauen auf
Verlassen Sie sich nicht auf Bot-Erkennung - Einige Tools machen Bots nicht offensichtlich
Holen Sie ausdrueckliche Einwilligung ein - Muendlich reicht in einigen Staaten nicht

Haeufig gestellte Fragen

Frequently Asked Questions

Das haengt vom Tool ab. Cloudbasierte KI-Meeting-Assistenten wie Otter.ai, Fireflies und Read AI waren mit Klagen und institutionellen Verboten wegen Datenschutzbedenken konfrontiert. Lokale KI-Tools wie Meetily, die Daten auf Ihrem Geraet verarbeiten, sind architektonisch sicherer, weil Ihre Daten niemals Ihre Kontrolle verlassen.

Otter.ai sieht sich derzeit einer Sammelklage gegenueber (Brewer v. Otter.ai, August 2025) mit Vorwuerfen der Aufnahme ohne Einwilligung und Nutzung von Daten zum KI-Training ohne Genehmigung. Otter hat SOC 2-Zertifizierung und erreichte im Juli 2025 HIPAA-Konformitaet, aber das Einwilligungsmodell - bei dem der Bot automatisch beitritt und nur die Einwilligung des Gastgebers einholt - bleibt in Allparteien-Einwilligungsstaaten rechtlich umstritten.

Fireflies.ai sieht sich einer Klage vom Dezember 2025 gegenueber, die illegale biometrische Datenerfassung unter Illinois BIPA behauptet. Nutzer haben berichtet, dass der Bot weiterhin Meetings beitritt, selbst nach Kontoloeschung. Das Tool verarbeitet alle Daten auf Cloud-Servern, was bei einem Fireflies-Verstoss zu Exposition fuehrt.

Die Chapman University verbot Read AI im August 2025 unter Berufung auf Sicherheits-, Datenschutz- und institutionelle Datenrisiken. Das Tool hatte besorgniserregende Verhaltensweisen wie automatisches Beitreten zu Meetings und Folgen von Nutzern ueber Plattformen hinweg. Universitaeten muessen Studentendaten unter FERPA und institutionellen Richtlinien schuetzen, die Cloud-KI-Tools oft verletzen.

Die sichersten KI-Meeting-Assistenten nutzen lokale Verarbeitung, was bedeutet, dass Daten niemals Ihr Geraet verlassen. Meetily ist die fuehrende Option - es ist Open Source (MIT-Lizenz), Bot-frei, funktioniert offline und haelt alle Daten auf Ihrem Geraet. Fuer Cloud-Tools vermeiden plattform-native Optionen (Microsoft Copilot, Zoom AI) Drittanbieter-Datenexposition, nutzen aber dennoch Cloud-Verarbeitung.

Potenziell. 12 US-Bundesstaaten erfordern Allparteien-Einwilligung vor der Aufnahme: Kalifornien, Florida, Illinois, Maryland, Massachusetts, Michigan, Montana, New Hampshire, Pennsylvania, Washington, Delaware und Connecticut. Cloud-Meeting-Tools, die automatisch beitreten und nur die Einwilligung des Gastgebers einholen, koennten diese Gesetze verletzen - was genau das ist, was die Otter.ai-Klage behauptet.

Das haengt vom Landesgesetz und der Unternehmensrichtlinie ab. In Einparteien-Einwilligungsstaaten koennen Arbeitgeber aufnehmen, wenn sie teilnehmen. In Zweiparteien-Einwilligungsstaaten muessen alle Teilnehmer informiert werden. So oder so erfordern die meisten Arbeitsplatzrichtlinien eine Offenlegung. KI-Meeting-Tools sollten ihre Anwesenheit ankuendigen - aber nicht alle tun das deutlich.

Fragen Sie, ob das Meeting aufgezeichnet wird und mit welchem Tool. Bitten Sie darum, die Aufnahme fuer sensible Themen auszuschalten. In sensiblen Branchen setzen Sie sich fuer lokale KI-Tools ein, die keine Daten an Dritte hochladen. Ueberpruefen Sie die Liste genehmigter Tools Ihrer Organisation - Schatten-KI ist ein grosses Verstossrisiko.

Key Takeaways

1Cloud-Meeting-KI steht vor ernsthaften rechtlichen Herausforderungen: Otter.ai und Fireflies.ai sehen sich beide 2025 Klagen wegen Einwilligung und Datenpraktiken gegenueber
2Die Chapman University verbot Read AI wegen Datenschutzbedenken - weitere institutionelle Verbote sind wahrscheinlich
312 US-Bundesstaaten erfordern Allparteien-Einwilligung zur Aufnahme, was rechtliche Risiken fuer Auto-Beitritt-Meeting-Bots schafft
440% der Organisationen haben KI-bezogene Datenschutzvorfaelle erlebt; 97% fehlten angemessene Kontrollen
5Lokale KI-Verarbeitung (wie Meetily) eliminiert Drittanbieter-Datenexposition, indem alles auf Ihrem Geraet bleibt
6Fuer HIPAA-, DSGVO- und rechtliche Konformitaet ist lokale Verarbeitung architektonisch sicherer als Cloud-Versprechen
7Legen Sie KI-Aufnahmen gegenueber Meeting-Teilnehmern immer offen - es ist sowohl rechtlich als auch ethisch erforderlich

Fazit

Der Markt fuer KI-Meeting-Assistenten befindet sich an einem Wendepunkt. Die rasche Einfuehrung (62% der Organisationen) hat die Datenschutzmassnahmen ueberholt, was zu den Klagen und Verboten von 2025 gefuehrt hat.

Das Muster ist klar:

Cloud-Tools, die automatisch Meetings beitreten, sind rechtlich angreifbar
Daten, die ohne ausdrueckliche Einwilligung fuer KI-Training verwendet werden, verletzen Datenschutzerwartungen
Institutionen beginnen, Tools zu verbieten, die keinen angemessenen Datenschutz nachweisen koennen

Wenn Ihre Meetings sensible Informationen enthalten - Kundengespraeche, Gesundheitsdaten, Rechtsstrategien, Finanzdetails - schafft Cloud-Meeting-KI unnoetige Risiken.

Lokale Verarbeitung ist nicht nur eine Datenschutzpraeferenz; sie wird zur Compliance-Anforderung.

Tools wie Meetily, die Daten auf Ihrem Geraet behalten, loesen diese Probleme architektonisch. Kein Cloud-Verstoss kann Ihre Meetings offenlegen. Kein zweideutiges Einwilligungsmodell. Kein Drittanbieter-KI-Training mit Ihren Gespraechen.

Die Klagen werden vor Gericht entschieden. Aber Sie muessen nicht warten, um die sensibelsten Gespraeche Ihrer Organisation zu schuetzen.

Fuer mehr zum Thema Meeting-Datenschutz lesen Sie unsere Leitfaeden zu DSGVO-konformer Meeting-Transkription und HIPAA Meeting-Anforderungen.

Datenschutz-First Meeting-KI

Meetily ist kostenlos, Open Source und haelt Ihre Meeting-Daten dort, wo sie hingehoeren - auf Ihrem Geraet.

Kostenlos herunterladen

About the Author

Meetily Sicherheitsteam

Wir entwickeln datenschutzorientierte KI-Tools fuer Fachleute, die Meeting-Intelligenz benoetigen, ohne die Datensouveraenitaet zu kompromittieren. Meetily ist Open Source, HIPAA/DSGVO-konform von Grund auf und wird von datenschutzbewussten Organisationen weltweit vertraut.

GitHub Website

Get Started with Meetily

Meetily Pro

Advanced features for teams with priority support.

Business

Volume licensing & dedicated support for teams.

Star on GitHub (9.1k+)