DSGVO-konforme Transkription: Was Sie bei der Anbieterwahl beachten müssen
Wer Audio-Aufnahmen transkribieren lässt, gibt oft hochsensible Daten aus der Hand — Mandantengespräche, Forschungsinterviews, journalistische Quellen. Die Wahl des Transkriptionsdienstes ist deshalb nicht nur eine technische, sondern eine rechtliche Entscheidung.
Warum Transkription datenschutzrelevant ist
Audio-Aufnahmen enthalten fast immer personenbezogene Daten: Stimmen, Namen, Inhalte. Sobald ein externer Dienst diese verarbeitet, handelt es sich um Auftragsverarbeitung im Sinne der DSGVO (Art. 28). Das bedeutet: Sie als Auftraggeber bleiben verantwortlich dafür, dass der Anbieter die Daten rechtskonform verarbeitet.
Checkliste: 7 Punkte für die Anbieterwahl
1. Serverstandort prüfen
Wo werden Ihre Audio-Dateien verarbeitet und gespeichert? Verarbeitung innerhalb der EU ist die datenschutzrechtlich klarste Option. Bei Anbietern mit Sitz oder Servern in den USA greift der CLOUD Act — US-Behörden können theoretisch Zugriff auf die Daten verlangen, auch wenn die Server in Europa stehen.
2. Auftragsverarbeitungsvertrag (AVV)
Ein AVV ist nach Art. 28 DSGVO Pflicht, sobald ein externer Dienst personenbezogene Daten verarbeitet. Prüfen Sie: Bietet der Anbieter einen AVV an? Ist er individuell anpassbar? Werden Unterauftragsverarbeiter transparent benannt?
3. Was passiert mit Ihren Audio-Dateien?
Zentrale Fragen: Werden Audio-Dateien nach der Verarbeitung gelöscht? Wenn ja, wann — sofort, nach 24 Stunden, nach 30 Tagen? Werden die Daten für KI-Training oder Produktverbesserung verwendet? Viele Anbieter behalten sich in ihren AGB das Recht vor, hochgeladene Daten zur Modellverbesserung zu nutzen.
4. Verschlüsselung und Datenminimierung
Achten Sie auf Verschlüsselung bei der Übertragung (TLS). Wichtig zu wissen: Während der Transkription müssen Audio-Daten zwangsläufig unverschlüsselt verarbeitet werden — kein Sprachmodell kann verschlüsselte Audiodaten transkribieren. Entscheidend ist deshalb: Wer hat Zugriff auf die Infrastruktur? Wird auf eigenen Servern oder in einer geteilten Cloud verarbeitet? Und vor allem: Wie schnell werden die Audio-Daten nach der Verarbeitung gelöscht?
5. Unterauftragsverarbeiter
Nutzt der Anbieter Drittdienste für die Verarbeitung? Cloud-Infrastruktur von AWS, Google Cloud oder Azure bedeutet in der Regel, dass ein US-Konzern als Unterauftragsverarbeiter involviert ist. Prüfen Sie die Kette der Datenverarbeitung.
6. Speicherdauer und Löschkonzept
Wie lange werden Transkripte gespeichert? Gibt es automatische Löschfristen? Können Sie Daten selbst löschen? Ein seriöser Anbieter bietet konfigurierbare Löschfristen und die Möglichkeit zur sofortigen manuellen Löschung.
7. Transparenz und Dokumentation
Veröffentlicht der Anbieter ein technisches Sicherheitskonzept? Gibt es eine Datenschutzerklärung, die konkret beschreibt, was mit Ihren Daten passiert? Werden Zertifizierungen oder Audits vorgewiesen? Vorsicht bei vagen Formulierungen wie „Ihre Daten sind bei uns sicher" ohne konkrete technische Details.
Besondere Anforderungen nach Branche
Anwaltskanzleien
Mandantengespräche unterliegen der anwaltlichen Schweigepflicht (§ 203 StGB). Eine Weitergabe an einen Dienst, der Daten in Drittländer übermittelt oder für eigene Zwecke nutzt, kann strafrechtlich relevant sein. Der Transkriptionsdienst muss als Auftragsverarbeiter vertraglich gebunden werden.
Journalismus
Quellenschutz ist ein Grundpfeiler journalistischer Arbeit. Audio-Dateien von Informantengesprächen auf Servern zu speichern, auf die potenziell ausländische Behörden zugreifen können, gefährdet diesen Schutz. Sofortige Löschung der Audio-Dateien nach Transkription ist hier essentiell.
Universitäten und Forschung
Forschungsinterviews werden in der Regel von der Ethikkommission genehmigt — oft mit konkreten Auflagen zur Datenverarbeitung. Ein Transkriptionsdienst, der Daten für KI-Training nutzt, kann gegen diese Auflagen verstoßen. Achten Sie auf eine klare Zweckbindung.
Behörden und öffentliche Verwaltung
Öffentliche Stellen unterliegen zusätzlichen Anforderungen der Landesdatenschutzgesetze. Die Nutzung von US-Cloud-Diensten wird von vielen Landesdatenschutzbeauftragten kritisch gesehen. Verarbeitung auf deutschen Servern durch einen deutschen Anbieter ist die rechtlich am klarsten dokumentierbare Option.
Schrems II und der CLOUD Act — was das für Transkription bedeutet
Das Schrems-II-Urteil des EuGH (2020) hat den EU-US Privacy Shield für ungültig erklärt. Seitdem ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Bedingungen zulässig. Der CLOUD Act verpflichtet US-Unternehmen zudem, Daten auf Anfrage von US-Behörden herauszugeben — unabhängig davon, wo die Server stehen. Für die Praxis bedeutet das: Auch wenn ein US-Anbieter Server in der EU betreibt, können US-Behörden Zugriff verlangen. Die datenschutzrechtlich klarste Position ist ein Anbieter ohne jede organisatorische Verbindung zu US-Unternehmen.
Zusammenfassung
Die Wahl eines Transkriptionsdienstes ist eine Datenschutzentscheidung. Prüfen Sie Serverstandort, AVV, Löschkonzept und die Kette der Datenverarbeitung, bevor Sie sensible Audio-Dateien hochladen. Besonders in regulierten Branchen — Recht, Journalismus, Forschung, öffentliche Verwaltung — ist die sorgfältige Anbieterwahl nicht optional, sondern Pflicht.
Wie Transkribr diese Punkte umsetzt
Verarbeitung auf eigener GPU-Infrastruktur in Deutschland, sofortige Audio-Löschung nach Transkription, kein KI-Training mit Ihren Daten, AVV auf Anfrage. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern). 15 Minuten kostenlos testen.
Kostenlos testen