Verarbeitungsverzeichnis: Transkription-Eintrag nach Art. 30 DSGVO
Art. 30 DSGVO verpflichtet praktisch alle Unternehmen und Behörden, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Trotzdem fehlt in vielen Verzeichnissen ausgerechnet der Eintrag für „Transkription" — entweder weil sie als IT-Hilfsdienst übersehen wird oder weil unklar ist, was hineinmuss. Dieser Beitrag listet die Pflichtinhalte aus Art. 30 und liefert einen direkt übertragbaren Beispiel-Eintrag für eine KI-basierte Audio-Transkription.
Wer ein Verzeichnis führen muss
Art. 30 Abs. 1 DSGVO verpflichtet Verantwortliche, Art. 30 Abs. 2 DSGVO die Auftragsverarbeiter. Die in Art. 30 Abs. 5 DSGVO genannte Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift nur unter sehr engen Voraussetzungen — wer regelmäßig Daten verarbeitet oder besondere Kategorien (Art. 9) berührt, ist faktisch immer verzeichnispflichtig. Für die meisten Kanzleien, Forschungseinrichtungen, Redaktionen und kleinen Unternehmen heißt das: Verzeichnis ist Pflicht.
Pflichtinhalte aus Art. 30 Abs. 1 DSGVO
1. Name und Kontaktdaten des Verantwortlichen
Wenn vorhanden: gemeinsam Verantwortliche und Datenschutzbeauftragter. Bei kleinen Strukturen oft eine Person — trotzdem konkret eintragen.
2. Zwecke der Verarbeitung
Konkret pro Verarbeitungstätigkeit — bei Transkription z. B. „Erstellung verschriftlichter Versionen von Audio-Inhalten zur internen Auswertung / Veröffentlichung".
3. Kategorien betroffener Personen und Datenkategorien
Wer ist betroffen (Mandanten, Probanden, Interviewpartner)? Welche Datenarten werden verarbeitet (Stimmen, Inhalte, ggf. besondere Kategorien nach Art. 9)?
4. Kategorien von Empfängern
An wen werden die Daten weitergegeben — intern (Rollen) und extern (Auftragsverarbeiter). Bei Transkription typischerweise: KI-Transkriptionsdienst als Auftragsverarbeiter.
5. Übermittlungen in Drittländer
Falls relevant: konkretes Drittland und Garantien (Adäquanzbeschluss, SCCs, EU-US Data Privacy Framework). Wenn keine Drittland-Übermittlung: das explizit so dokumentieren.
6. Lösch-Fristen
Pro Datenkategorie. Bei Audio idealerweise „sofort nach erfolgreicher Transkription"; bei Transkripten konfigurierbare Frist mit Anker (Projektabschluss, Vertragsende, Aufbewahrungsgesetz).
7. Technische und organisatorische Maßnahmen (TOMs)
Verweis auf das TOM-Dokument der Einrichtung oder direkter Kurz-Eintrag (Verschlüsselung, Zugangskontrolle, Lösch-Workflow). Wird oft als Anhang strukturiert.
Beispiel-Eintrag „KI-Transkription von Interview-Aufnahmen"
Dieser Eintrag passt für die meisten Kanzleien, Redaktionen und Forschungs-Lehrstühle, die regelmäßig Audio-Aufnahmen extern transkribieren lassen. Felder kursiv sind projektspezifisch anzupassen.
Bezeichnung
KI-gestützte Transkription von Audio-Aufnahmen (Interviews, Besprechungen, Vorträge)
Zweck
Erstellung verschriftlichter Versionen der Audio-Inhalte für Auswertung, Recherche oder Dokumentation. Keine sekundäre Nutzung der Daten für KI-Training oder Profilbildung.
Betroffene + Datenkategorien
Betroffene: Sprechende auf den Aufnahmen (Interviewpartner, Mandanten, Mitarbeiter). Datenkategorien: Stimmen (biometrisches Merkmal nach Art. 4 Nr. 14 DSGVO im engeren Sinn nur bei Identifizierungszweck), Inhalte der Gespräche, ggf. besondere Kategorien nach Art. 9 (Gesundheit, politische Meinung etc.).
Rechtsgrundlage
Je nach Use Case: Art. 6 Abs. 1 lit. a (Einwilligung) oder lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse). Bei besonderen Kategorien zusätzlich Art. 9 Abs. 2.
Empfänger
Auftragsverarbeiter [Name des Transkriptionsanbieters, Sitz Deutschland] mit AVV nach Art. 28 DSGVO. Keine Weitergabe an Dritte ohne erneute Rechtsgrundlage.
Drittländer
Keine Drittland-Übermittlung der Audio- oder Transkript-Daten. Hinweis: Falls der Anbieter Stripe oder ein anderes Zahlungssystem mit US-Konzernbezug nutzt, betrifft das ausschließlich Rechnungsdaten (Name, Zahlungsmittel), nicht Audio- oder Inhaltsdaten.
Lösch-Fristen
Audio-Datei: unverzüglich nach erfolgreicher Transkription. Transkript: bis Ende des Verarbeitungszwecks (z. B. Mandatsabschluss, Projektende) plus gesetzliche Aufbewahrungsfristen, danach Löschung. Manuelle Sofort-Löschung jederzeit möglich.
TOMs (Kurz)
Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256); Rollen- und Zugriffskontrolle; protokollierter Lösch-Workflow; regelmäßige Überprüfung (siehe TOM-Anhang).
Typische Fehler beim Verzeichnis-Eintrag
„Wir nutzen kein eigenes Tool" als Begründung für fehlenden Eintrag
Falsch. Sobald ein externer Dienst in Ihrem Auftrag verarbeitet, sind Sie Verantwortliche/r und müssen den Vorgang im Verzeichnis abbilden. Der Dienstleister führt sein eigenes Verzeichnis als Auftragsverarbeiter — Ihres ersetzt das nicht.
Sammel-Eintrag „IT-Dienste"
Pauschal-Einträge wie „IT-Dienstleister" oder „Cloud-Tools" sind in der Aufsichtspraxis regelmäßig zu unspezifisch. Jede Verarbeitungstätigkeit braucht eigenen Eintrag mit eigenem Zweck und eigenen Empfängern.
TOMs nur als „Stand der Technik"
Verweis ohne Konkretisierung erfüllt Art. 30 nicht. Mindestens Kurzform (Verschlüsselung, Zugriff, Löschung) oder Verweis auf einen versionierten TOM-Anhang mit Datum.
Vergessen, Subprozessoren mitzudenken
Wenn der Auftragsverarbeiter selbst Subprozessoren einsetzt (Cloud-Hoster, Zahlungsanbieter, Mailversand), gehört das in die Empfänger-Spalte oder in die TOM-Beschreibung. Transparenz ist auch verzeichnis-seitig gefordert.
Weiterführend
Quellen & Hinweise
DSGVO Art. 30 (Verzeichnis von Verarbeitungstätigkeiten) · Art. 32 (Sicherheit der Verarbeitung) · DSK-Kurzpapier Nr. 1 (Verzeichnis der Verarbeitungstätigkeiten) · BfDI-Mustervorlagen für das Verzeichnis · LDA Bayern, „Mustervorlage Verarbeitungsverzeichnis". Dieser Beitrag ist allgemeine Information und ersetzt keine Rechts- oder Datenschutzberatung. Für die Ausgestaltung Ihres konkreten Verzeichnisses sollten Sie Ihre/n Datenschutzbeauftragte/n einbeziehen.
Transkribr-Eintrag fürs eigene Verzeichnis
Auf Anfrage liefert Transkribr einen vorgefertigten Verzeichnis-Baustein für Ihren Eintrag (Zweck, Empfänger, TOMs, Lösch-Fristen) zum direkten Übernehmen. Anfrage: contact@transkribr.eu. Verarbeitung auf Servern in Deutschland, sofortige Audio-Löschung, kein KI-Training mit Ihren Daten. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern; Audio-/Inhaltsdaten verlassen Deutschland nicht). 15 Minuten kostenlos testen.
Kostenlos testen