Voice-to-Text-Tools sind aus dem Arbeitsalltag vieler Schweizer Unternehmen nicht mehr wegzudenken. Sie transkribieren Meetings, erstellen Protokolle und machen gesprochene Informationen durchsuchbar. Doch wer Stimmen aufzeichnet und maschinell verarbeitet, bewegt sich auf rechtlich sensiblem Terrain: Stimmen gelten als biometrische Daten und unterstehen in der Schweiz strengen Schutzvorschriften.

Dieser Leitfaden zeigt, welche rechtlichen Pflichten Schweizer KMU beim Einsatz von Voice-to-Text-Technologie haben, worauf bei der Anbieterwahl zu achten ist – und wie sich Datenschutz-Compliance praktisch umsetzen lässt.
Rechtlicher Rahmen: Strafrecht und Datenschutzgesetz
Stimme als besonders schützenswertes Datum
In der Schweiz ist der Einsatz von Voice-to-Text-Tools zweifach geregelt: strafrechtlich (Art. 179bis/ter StGB) und datenschutzrechtlich. Das seit 1. September 2023 geltende revidierte Datenschutzgesetz (revDSG) stuft Stimmen als biometrische Merkmale und damit als besonders schützenswerte Personendaten ein. Dies entspricht der Kategorisierung in der europäischen DSGVO (Art. 9).
Die Konsequenz: Für die Aufzeichnung und Verarbeitung von Stimmdaten ist grundsätzlich die Einwilligung aller Teilnehmenden erforderlich – nicht nur die des Meeting-Organisators. Diese Einwilligung muss freiwillig, informiert und dokumentiert sein.
Bussgelder treffen Personen, nicht Unternehmen
Eine Besonderheit des Schweizer Datenschutzrechts: Bussgelder bis CHF 250'000 treffen bei vorsätzlichen Verstössen natürliche Personen – also Geschäftsführer, Datenschutzbeauftragte oder IT-Verantwortliche. Das Unternehmen selbst haftet nicht direkt, und eine Versicherung ist nicht möglich. Diese persönliche Haftung erhöht den Anreiz, Compliance-Pflichten ernst zu nehmen.
Privacy by Design und Privacy by Default
Art. 7 DSG verpflichtet Unternehmen zu Privacy by Design und Privacy by Default: Tools müssen bereits in der Grundkonfiguration datenschutzfreundlich eingestellt sein. Das bedeutet konkret: Standardmässig sollten nur die technisch notwendigen Daten verarbeitet, Aufzeichnungen verschlüsselt und Löschfristen eingehalten werden.
Tool-Kategorien im Datenschutz-Vergleich
Die Datenschutz-Anforderungen hängen stark von der Art des gewählten Tools ab. Vier Kategorien lassen sich unterscheiden:
1. On-Device-Tools (lokale Verarbeitung)
Tools, die Audiodateien lokal auf dem Gerät transkribieren, eliminieren Cloud-Risiken vollständig. Es findet kein Drittlandtransfer statt, kein Auftragsverarbeitungsvertrag (AVV) ist nötig. Allerdings bieten solche Lösungen meist keine Meeting-Bot-Funktionen oder Cloud-Zusammenarbeit.
2. Schweizer Cloud-Anbieter
Schweizer Hosting-Anbieter unterliegen direkt dem revDSG. töggl verarbeitet Daten in der Schweiz und ist DSGVO-konform, schliesst aber in den AGB ausdrücklich EU-Kunden aus. Swiss Transcript setzt auf 100% Swiss Hosting (eigene Server + Infomaniak Genf), KEINE GAFAM, KEINE Dritt-APIs und garantiert vertraglich, dass User-Daten nicht für AI-Training genutzt werden.
3. EU-Cloud-Anbieter
Anbieter mit Sitz und Servern in der EU unterliegen der DSGVO. tl;dv ist EU-hosted, GDPR- und SOC2-konform und bietet End-to-End-Verschlüsselung. Dennoch bleibt ein AVV (Auftragsverarbeitungsvertrag) Pflicht, und bei KI-Verarbeitung sollte ein EU-KI-Modus gewählt werden, sofern verfügbar.
4. US-Anbieter
US-Unternehmen unterliegen dem CLOUD Act – selbst wenn Server in Europa stehen. Der Unternehmenssitz, nicht der Server-Standort, ist entscheidend. Fathom ist SOC 2, GDPR und HIPAA-konform, erfordert aber Standard-Vertragsklauseln (SCCs) und ein Transfer Impact Assessment (TIA) für Schweizer KMU.
Datenschutz-Pflichten für Schweizer KMU: Checkliste
Vor dem Meeting
- Einwilligung einholen: Informieren Sie alle Teilnehmenden vor Aufzeichnungsbeginn schriftlich (z. B. per Kalendereinladung oder Einverständniserklärung) über Zweck, Speicherort, Verarbeitungsdauer und Empfänger der Aufzeichnung.
- AVV abschliessen: Bei Cloud-Tools ist ein Auftragsverarbeitungsvertrag (Art. 9 DSG) Pflicht. Prüfen Sie, ob Ihr Anbieter einen Standard-AVV bereitstellt.
- Datenschutz-Folgenabschätzung (DSFA): Bei hohem Risiko (biometrische Daten, KI-Verarbeitung) ist eine DSFA gemäss Art. 22 DSG obligatorisch. Dokumentieren Sie Risiken und Massnahmen.
Während des Meetings
- Aufzeichnungshinweis: Starten Sie Aufzeichnungen nur nach expliziter Ankündigung. Viele Tools zeigen automatisch einen visuellen Hinweis (z. B. «Recording»-Badge).
- Opt-out ermöglichen: Bieten Sie Teilnehmenden die Möglichkeit, der Aufzeichnung zu widersprechen – ohne Nachteile.
Nach dem Meeting
- Zugriffsrechte prüfen: Beschränken Sie den Zugriff auf Transkripte auf berechtigte Personen (Need-to-know-Prinzip).
- Löschfristen einhalten: Löschen Sie Aufzeichnungen und Transkripte, sobald der Verarbeitungszweck erfüllt ist. Dokumentieren Sie Löschkonzepte.
- Auskunftsrechte gewähren: Teilnehmende haben das Recht, Auskunft über ihre verarbeiteten Daten zu verlangen (Art. 25 DSG).
Technische Datenschutz-Massnahmen bei Anbietern
Einige Anbieter setzen gezielt auf technische Schutzmassnahmen:
- Clientseitige Verschlüsselung: scryp verschlüsselt Audiodateien bereits im Browser (AES-256-GCM), sodass nur verschlüsselte Daten auf Servern liegen. Kein Mitarbeiter hat Zugriff auf Klartextdaten.
- Keine GAFAM, keine Dritt-APIs: Swiss Transcript garantiert, dass keine Daten an US-Konzerne fliessen.
- DACH-Hosting: KARLI Voice bietet Hosting in Österreich, Deutschland oder der Schweiz und ist DSGVO-konform.
Praxisfall: Otter.ai-Klage 2025
Ein aktueller Fall zeigt die Risiken fehlender Einwilligung: 2025 wurde Otter.ai verklagt, weil das Tool Nicht-Konto-Teilnehmende ohne deren Einwilligung aufzeichnete. Die Klage unterstreicht: Die Einwilligung aller Teilnehmenden ist zwingend – nicht nur die des Account-Inhabers.
Anbieterwahl: Worauf Schweizer KMU achten sollten
- Server-Standort und Unternehmenssitz: Schweizer oder EU-Anbieter vereinfachen die Compliance. Bei US-Anbietern sind SCCs und TIA erforderlich.
- AVV-Verfügbarkeit: Seriöse Anbieter stellen Standard-AVVs bereit.
- DACH-Dialekt-Support: Für Schweizerdeutsch, Berndeutsch oder Österreichisches Deutsch sind Spezialanbieter wie töggl, Swiss Transcript oder aibox nötig. Tucan.ai und ElevenLabs unterstützen zwar Hochdeutsch, aber keine DACH-Dialekte.
- Datenlöschung: Prüfen Sie, ob automatische Löschung nach Transkription möglich ist (wie bei Swiss Transcript).
- Transparente Pricing: Versteckte Kosten oder komplexe Credit-Systeme erschweren die Budgetplanung.
Fazit
Voice-to-Text-Tools bieten Schweizer KMU enorme Effizienzgewinne – aber nur, wenn Datenschutz von Anfang an mitgedacht wird. Die Einholung der Einwilligung aller Teilnehmenden, der Abschluss eines AVV und die Wahl eines DSGVO-/DSG-konformen Anbieters sind keine optionalen «Nice-to-haves», sondern rechtliche Pflichten.
Schweizer und EU-Anbieter mit DACH-Dialekt-Support, transparentem Pricing und klaren Datenschutz-Garantien bieten den sichersten Einstieg. On-Device-Tools eliminieren Cloud-Risiken vollständig, verzichten aber meist auf Collaboration-Features. US-Anbieter erfordern zusätzliche rechtliche Massnahmen (SCCs, TIA) und sind für sensible Branchen weniger geeignet.
Die gute Nachricht: Der DACH-Markt bietet inzwischen spezialisierte Lösungen, die Compliance, Dialekt-Support und moderne UX kombinieren – KMU müssen nicht zwischen Datenschutz und Funktionalität wählen.
Unsere Einschätzung
Offenlegung: Dieser Abschnitt ist eine redaktionelle Einschätzung von sprichmal.ch — eine Meinung, die die oben belegten Fakten einordnet, aber keine neuen Fakten oder Zahlen einführt. sprichmal.ch ist selbst Anbieter in diesem Markt; wir vergleichen offen und fair, statt Wettbewerber schlechtzureden.
Aus unserer Sicht unterschätzen viele Schweizer KMU das Haftungsrisiko: Die persönliche Busse bis CHF 250'000 trifft Geschäftsführer direkt – und ist nicht versicherbar. Wir halten es daher für unverantwortlich, auf US-Tools ohne Transfer Impact Assessment zu setzen, nur weil diese funktional überlegen erscheinen.
Unsere Empfehlung für KMU mit Compliance-Fokus: Schweizer oder EU-Anbieter mit DACH-Dialekt-Support (töggl, Swiss Transcript, scryp, KARLI Voice) bieten die sicherste Grundlage. Tucan.ai ist eine solide Wahl für deutsche Meetings mit Enterprise-Anforderungen, scheitert aber an fehlenden DACH-Dialekten für Schweizer Kundschaft.
Für internationale Teams mit weniger sensiblen Daten können EU-gehostete Tools wie tl;dv eine gute Balance zwischen Funktionalität und Compliance bieten – sofern ein AVV abgeschlossen und die Einwilligung aller Teilnehmenden dokumentiert wird.
Die Wahrheit ist: Kein Wettbewerber kombiniert heute DACH-Dialekt-Support, Meeting-Bot-Funktionalität, moderne UX und absolute Datenschutz-Transparenz zu einem fairen Preis. Dieser Markt ist reif für eine Lösung, die Compliance nicht als Hürde, sondern als Verkaufsargument versteht.