DSFA-Pflicht bei KI-Transkription: Wann ist sie nötig?
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO Pflicht, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko" für die Rechte und Freiheiten natürlicher Personen birgt. Bei KI-Transkription ist die Bewertung nicht trivial: einerseits handelt es sich um eine relativ etablierte Technologie, andererseits können Audio-Inhalte besondere Datenkategorien berühren und Profilbildungs-Potenzial bergen. Dieser Beitrag zeigt, wann eine DSFA pflicht ist und wie sie strukturiert wird.
Wann eine DSFA pflichtig ist
Art. 35 Abs. 1 DSGVO formuliert eine Generalklausel (hohes Risiko), Abs. 3 listet drei Regelbeispiele (automatisierte Profilbildung, umfangreiche Verarbeitung besonderer Daten, systematische Überwachung). Die DSK hat zusätzlich eine „Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist" veröffentlicht — auch „Blacklist" genannt — die konkrete Fallgruppen benennt. Wer eine dieser Fallgruppen einschlägig hat, ist verpflichtet.
Drei Schwellenkriterien für KI-Transkription
1. Besondere Datenkategorien nach Art. 9 DSGVO
Verarbeitet Ihre Transkription typischerweise Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen, Sexualleben oder ähnliches? Dann erhöht das das Risiko-Profil deutlich — DSFA-Pflicht wird wahrscheinlich.
2. Umfang und Häufigkeit
Einzelne Transkripte für interne Zwecke vs. systematische Massenverarbeitung. Umfangreichkeit ist eines der Schwellenkriterien — auch bei „normalen" Inhalten kann hohes Volumen DSFA-pflichtig machen.
3. Profilbildungs- oder Bewertungspotenzial
Werden aus den Transkripten Profile gebildet, Bewertungen abgeleitet oder Entscheidungen automatisiert? Z. B. Sprecher-Erkennung mit langfristiger Speicherung der Stimmabdrücke, automatische Klassifizierung nach Stimmung, Eignungs-Beurteilungen.
Wann eine DSFA in der Regel nicht nötig ist
Reine Transkription für die interne Aktenführung mit Audio-Sofort-Löschung, ohne biometrische Sprecher-Identifizierung und ohne automatisierte Bewertungs-Funktionen ist in der Regel keine DSFA-pflichtige Verarbeitung. Voraussetzung: kein besonderer Risiko-Faktor (besondere Kategorien, Massenverarbeitung, Profilbildung). Trotzdem empfehlenswert: eine kurze Risiko-Skizze als Aktennotiz, die die Bewertung dokumentiert.
Sieben Schritte für die DSFA
1. Systematische Beschreibung der Verarbeitung
Was wird verarbeitet, wie, von wem, mit welcher Technik? Datenfluss-Diagramm hilft. Bei KI-Transkription: Upload, Spracherkennung, ggf. Sprechertrennung, Anonymisierung, Speicherung, Löschung.
2. Notwendigkeit und Verhältnismäßigkeit
Ist die Verarbeitung für den Zweck wirklich nötig? Gibt es mildere Mittel? Bei Transkription oft: manuelle Mitschrift wäre Alternative, aber unverhältnismäßig aufwändig — KI-Tool ist verhältnismäßig.
3. Risiko-Identifikation
Welche konkreten Risiken für die Betroffenen? Re-Identifizierung trotz Pseudonymisierung, Datenleck, unbefugte Profilbildung, Missbrauch durch Mitarbeitende.
4. Risiko-Bewertung
Eintrittswahrscheinlichkeit × Schadenshöhe. Eine 4-Felder-Matrix (niedrig/mittel/hoch je Achse) liefert eine taugliche Heuristik.
5. Maßnahmen zur Risiko-Behandlung
Pro identifiziertem Risiko: konkrete technische oder organisatorische Maßnahme. Audio-Sofort-Löschung, Verschlüsselung, Zugriffsbeschränkung, Schulung, Audit-Log.
6. Rest-Risiko-Bewertung
Was bleibt nach den Maßnahmen? Wenn weiterhin „hoch": Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO. In der Praxis selten — die Maßnahmen führen meist auf „mittel" oder „niedrig" runter.
7. Dokumentation und periodische Überprüfung
Die DSFA ist ein lebendes Dokument — bei wesentlichen Änderungen der Verarbeitung neu bewerten. Typische Frist für Routinen: alle 24 Monate oder nach Änderungen.
Weiterführend
Quellen & Hinweise
DSGVO Art. 35 (Datenschutz-Folgenabschätzung), Art. 36 (vorherige Konsultation), Art. 9 (besondere Kategorien) · DSK „Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist" (2018, mit Aktualisierungen) · EDSA Guidelines 04/2017 zur DSFA (übernommen vom EDSA) · CNIL „PIA Software" als kostenloses Methodik-Werkzeug. **Wichtiger Hinweis:** Dieser Beitrag ist allgemeine Information und ersetzt keine Rechts- oder Datenschutzberatung. Die konkrete Beurteilung der DSFA-Pflicht für Ihre Verarbeitung sollte mit der/dem Datenschutzbeauftragten erfolgen.
Transkribr unterstützt die DSFA
Auf Anfrage: DSFA-Bausteine und TOM-Liste für den DSFA-Anhang. Verarbeitung auf Servern in Deutschland, sofortige Audio-Löschung, kein KI-Training mit Ihren Daten, keine biometrische Sprecher-Profilbildung (Sprechertrennung erfolgt session-lokal). Anfrage: contact@transkribr.eu. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern; Audio-Inhalte fließen nicht über Stripe). 15 Minuten kostenlos testen.
Kostenlos testen