Audio-Transkription ohne US-Cloud: Warum der Serverstandort entscheidet
„Unsere Server stehen in der EU." Diesen Satz liest man bei fast jedem Transkriptionsdienst. Doch der physische Standort eines Servers ist nur die halbe Wahrheit. Entscheidend ist, wer auf die Daten zugreifen kann — und nach welchem Recht.
EU-Server ist nicht gleich EU-Server
Ein US-Unternehmen, das Server in Frankfurt betreibt, unterliegt trotzdem dem US-Recht. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben — egal wo die Server physisch stehen. Das betrifft nicht nur den Anbieter selbst, sondern auch dessen Cloud-Infrastruktur: Wer auf AWS, Google Cloud oder Azure hostet, hat einen US-Konzern in der Verarbeitungskette.
Was Schrems II für die Praxis bedeutet
Das Schrems-II-Urteil des EuGH (Juli 2020) hat den EU-US Privacy Shield für ungültig erklärt. Der Grund: Das US-Überwachungsrecht bietet keinen mit der EU vergleichbaren Datenschutz. Seitdem ist die Übermittlung personenbezogener Daten in die USA nur noch unter sehr strengen Bedingungen zulässig — Standardvertragsklauseln (SCCs) allein reichen nach Ansicht vieler Datenschutzbehörden nicht aus, wenn kein zusätzlicher Schutz besteht.
Worauf Sie beim Serverstandort wirklich achten müssen
1. Sitz des Unternehmens
Nicht der Serverstandort bestimmt das anwendbare Recht, sondern der Unternehmenssitz. Ein in den USA inkorporiertes Unternehmen unterliegt dem CLOUD Act — auch mit Servern in der EU. Prüfen Sie: Wo ist der Anbieter rechtlich ansässig?
2. Cloud-Infrastruktur prüfen
Viele Anbieter betreiben keine eigenen Server, sondern nutzen AWS, Google Cloud oder Azure. Auch wenn die Region „eu-west-1" heißt — der Betreiber ist ein US-Konzern. Fragen Sie: Auf wessen Infrastruktur laufen die Server?
3. Unterauftragsverarbeiter in der Kette
Ein deutscher Anbieter, der für die KI-Verarbeitung einen US-Dienst nutzt (z.B. OpenAI API, Google Speech-to-Text), überträgt Ihre Audio-Daten effektiv in den US-Rechtsraum. Prüfen Sie die gesamte Verarbeitungskette, nicht nur den ersten Anbieter.
4. Eigene Infrastruktur vs. Cloud
Die höchste Kontrolle über Daten bieten Anbieter mit eigener Hardware-Infrastruktur. Keine geteilte Cloud, keine Multi-Tenant-Umgebung, kein US-Konzern als Infrastruktur-Partner. Das ist aufwendiger zu betreiben, aber für sensible Daten die datenschutzrechtlich klarste Option.
5. Transparenz über den Tech-Stack
Ein seriöser Anbieter dokumentiert seinen Tech-Stack: Welches Sprachmodell wird eingesetzt? Wo läuft es? Werden Daten an externe APIs gesendet? Vorsicht bei Anbietern, die „KI-Transkription" anbieten, aber nicht sagen welche KI — oft steckt die OpenAI API oder Google dahinter.
Das Data Privacy Framework — löst es das Problem?
Im Juli 2023 hat die EU-Kommission den EU-US Data Privacy Framework (DPF) als Nachfolger des Privacy Shield verabschiedet. US-Unternehmen, die sich zertifizieren lassen, dürfen damit wieder Daten aus der EU empfangen. Allerdings: Datenschützer wie NOYB haben bereits angekündigt, auch den DPF vor dem EuGH anzufechten. Die Kernprobleme (FISA 702, Executive Order 12333) bestehen weiterhin. Wer auf Nummer sicher gehen will, sollte sich nicht auf den DPF als alleinige Rechtsgrundlage verlassen — besonders nicht bei sensiblen Daten wie Audio-Aufnahmen.
Für wen der Serverstandort besonders wichtig ist
Behörden und öffentliche Verwaltung
Viele Landesdatenschutzbeauftragte haben sich klar gegen die Nutzung von US-Cloud-Diensten in Behörden ausgesprochen. Deutsche Server eines deutschen Anbieters sind in diesem Kontext häufig die rechtssichere Option.
Kanzleien
Die anwaltliche Schweigepflicht verlangt besonderen Schutz für Mandantendaten. Ein Zugriff durch US-Behörden wäre ein Verstoß gegen § 203 StGB.
Forschung
Ethikkommissionen lehnen US-Cloud-Dienste für Forschungsdaten zunehmend ab. Die Verarbeitung auf deutschen Servern vermeidet langwierige Diskussionen im Genehmigungsverfahren.
Gesundheitswesen
Patientendaten unterliegen dem ärztlichen Berufsgeheimnis. Eine Verarbeitung auf Infrastruktur, die dem CLOUD Act unterliegt, ist rechtlich hochproblematisch.
Zusammenfassung
„Server in der EU" ist kein Qualitätsmerkmal, wenn das Unternehmen dahinter US-Recht unterliegt. Für echte Datensouveränität brauchen Sie einen Anbieter, der in der EU ansässig ist, eigene oder europäische Infrastruktur nutzt und keine US-Dienste in der Verarbeitungskette hat. Nur dann ist der Serverstandort mehr als ein Marketing-Versprechen.
Wie Transkribr das löst
Deutscher Anbieter (Einzelunternehmen, kein US-Konzern), eigene GPU-Hardware in Deutschland, kein AWS/Google/Azure, kein OpenAI-API-Aufruf in der Verarbeitungskette (das Whisper-Modell läuft on-prem auf eigener Hardware). Zahlungsabwicklung über Stripe (US-Mutterkonzern, EU-Niederlassung Irland) — aber Ihre Audio-Daten verlassen nie deutsche Server.
Kostenlos testen