CLOUD Act und FISA 702: Was das DSGVO-konforme Transkription bedeutet
Schrems II hat das Privacy Shield gekippt, das EU-US Data Privacy Framework hat es 2023 abgelöst — und parallel laufen CLOUD Act und FISA Section 702 unverändert weiter. Wer einen Transkriptionsdienst mit US-Konzern-Bezug einsetzt, sollte verstehen, was diese drei US-Rechtsrahmen praktisch bewirken und welche Konsequenzen sich für DSGVO-Konformität ergeben. Dieser Beitrag fasst nüchtern zusammen, was Compliance-Verantwortliche heute wissen müssen.
Drei US-Rechtsrahmen, die relevant sind
CLOUD Act (18 U.S.C. § 2713, seit 2018)
Der Clarifying Lawful Overseas Use of Data Act verpflichtet US-Unternehmen, auf Anfrage von US-Behörden Daten herauszugeben — unabhängig davon, wo die Server physisch stehen. Auch ein US-Konzern mit Servern in Frankfurt ist betroffen. Die Wirkung erstreckt sich auf Tochtergesellschaften, soweit diese unter „possession, custody, or control" der US-Mutter stehen.
FISA Section 702 (50 U.S.C. § 1881a)
Der Foreign Intelligence Surveillance Act erlaubt US-Geheimdiensten den Zugriff auf Kommunikation von Nicht-US-Personen außerhalb der USA, wenn ein US-Diensteanbieter beteiligt ist. Im Gegensatz zum CLOUD Act geht es nicht um konkrete Straftaten, sondern um „foreign intelligence information" — ein deutlich weiterer Begriff.
EU-US Data Privacy Framework (DPF, seit 10.07.2023)
Adäquanzbeschluss der EU-Kommission als Reaktion auf Schrems II. Erlaubt Datentransfers an DPF-zertifizierte US-Unternehmen ohne weitere Garantien. Wird voraussichtlich erneut vor dem EuGH landen — Beobachtung sinnvoll. Aktuell rechtlich tragend, aber strukturell von CLOUD Act/FISA 702 nicht „beseitigt".
Was Schrems II klargestellt hat
Im Urteil C-311/18 vom 16.07.2020 hat der EuGH das Privacy Shield für ungültig erklärt. Begründung: die Befugnisse von US-Geheimdiensten unter FISA 702 und EO 12.333 standen nicht im Einklang mit dem EU-Grundrechtsschutz, und Betroffene hatten kein effektives Klagerecht in den USA. Das EU-US Data Privacy Framework adressiert diese Schwächen durch ein neues Beschwerde-Verfahren (Data Protection Review Court) — Kritiker:innen halten das für unzureichend, der EuGH wird in den nächsten Jahren erneut entscheiden müssen.
Fünf Bewertungs-Schritte für US-Bezug bei Transkriptions-Anbietern
1. Konzern-Struktur prüfen
Hat der Anbieter US-Mutter, US-Schwester oder US-Subprozessor? Auch „EU-Tochter" eines US-Konzerns fällt unter CLOUD Act. Eine reine EU-Firma ohne US-Konzern-Bezug ist die einfachste Bewertungs-Lage.
2. DPF-Zertifizierung prüfen
Wenn US-Konzern-Bezug existiert: ist der Anbieter (bzw. die US-Mutter) im Data Privacy Framework registriert? Liste prüfbar auf dataprivacyframework.gov. Ohne DPF braucht es zusätzlich SCCs gem. Art. 46 DSGVO.
3. Datenfluss-Karte erstellen
Was wird in welcher Verarbeitungsphase wohin übermittelt? Audio-Upload, KI-Verarbeitung, Transkript-Speicherung, Zahlungsabwicklung — pro Phase prüfen, ob Drittland-Berührung stattfindet.
4. Datenkategorie zu Tool-Funktion passen
Mandanteninhalte, Forschungsdaten oder Quellen-Schutz-Material gehören nicht durch US-Cloud-Anbieter, auch nicht mit DPF. Reine Zahlungsdaten (Name, IBAN, Transaktion) sind auf DPF-Basis vertretbar, weil das Risiko-Profil grundlegend anders ist.
5. Transfer Impact Assessment (TIA) dokumentieren
Bei jeder Drittland-Übermittlung ist nach EDSA-Empfehlung 01/2020 eine TIA durchzuführen — Wirksamkeit der Garantien im konkreten Empfänger-Land bewerten. Bei sensitiven Inhalten besonders sorgfältig.
Konsequenz für die Praxis
Für Audio-Inhalte mit personenbezogenem Bezug — insbesondere Mandantengespräche, Patientendaten, Forschungs-Interviews und journalistisches Quellen-Material — bedeutet die aktuelle Rechtslage praktisch: ein Transkriptionsdienst ohne US-Konzern-Bezug ist die einfachste DSGVO-Position. Anbieter mit US-Konzern-Bezug sind nicht per se unzulässig, erfordern aber eine sorgfältige Bewertung der Datenkategorie, Verarbeitungs-Kette und der DPF/SCC-Lage. Bei reinen Verwaltungs-Funktionen (Zahlung, Kontoanmeldung über OAuth) ist die Bewertung typischerweise unkritischer — auch hier sollte das aber im Verarbeitungsverzeichnis transparent dokumentiert sein.
Weiterführend
Quellen & Hinweise
US CLOUD Act 18 U.S.C. § 2713 · FISA Section 702 (50 U.S.C. § 1881a) · EuGH C-311/18 „Schrems II" (16.07.2020) · EU-Kommission Adäquanzbeschluss zum EU-US Data Privacy Framework (10.07.2023) · EDSA Empfehlung 01/2020 zu ergänzenden Maßnahmen bei Drittland-Übermittlung · DSGVO Art. 44 ff. **Wichtiger Hinweis:** Dieser Beitrag ist allgemeine Information und ersetzt keine Rechts- oder Datenschutzberatung. Die Bewertung eines konkreten Anbieters erfordert Einzelfall-Prüfung — bei rechtsrelevanten Entscheidungen Datenschutzbeauftragte oder spezialisierte Kanzlei einbeziehen.
Transkribr ohne US-Konzern-Bezug für Inhalte
Deutscher Anbieter (Einzelunternehmen, kein US-Konzern), eigene GPU-Hardware in Deutschland, kein AWS/Google Cloud/Azure in der Audio-Verarbeitungskette, kein OpenAI-API-Aufruf. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern; nur Rechnungsdaten, keine Audio-Inhalte). 15 Minuten kostenlos testen.
Kostenlos testen