Sicherheit & Compliance

Dieses Dokument bietet einen Überblick über die Datenschutz- und Sicherheitspraktiken von Transkribr. Es richtet sich an Compliance-Beauftragte, Datenschutzbeauftragte und IT-Abteilungen.

1. Dienstübersicht

Transkribr ist ein DSGVO-konformer Audio-Transkriptionsdienst. Nutzer laden Audiodateien hoch, die mittels eines selbst gehosteten Open-Source-KI-Modells (Whisper large-v3, Apache-2.0) transkribiert werden — kein Cloud-API-Aufruf an OpenAI. Der Dienst wird aus Deutschland betrieben.

Betreiber: Sascha Hennig – Transkribr.eu, Deutschland

Kontakt: contact@transkribr.eu

Website: https://transkribr.eu

API: https://api.transkribr.eu

2. Datenverarbeitungsübersicht

Datenkategorie

Zweck

Speicherort

Aufbewahrung

Audiodateien

Transkription

IONOS Server (Deutschland)

Sofortige Löschung nach Transkription

Transkriptionstext

Nutzerbereitstellung

IONOS Server (Deutschland)

Bis zur Löschung durch Nutzer

Nutzerkonto (E-Mail)

Authentifizierung

IONOS Server (Deutschland)

Bis zur Kontolöschung

Nutzungsprotokolle

Abrechnung

IONOS Server (Deutschland)

Bis zur Kontolöschung

API-Schlüssel

API-Zugang

IONOS Server (Deutschland), SHA-256 gehasht

Bis zur Kontolöschung

3. Umgang mit Audiodateien

Audiodateien werden via HTTPS (TLS 1.2+) an den API-Server (IONOS, Deutschland) übertragen.

Dateien werden temporär auf der Festplatte gespeichert, dann an den Datenbankserver (IONOS, Deutschland) übertragen.

Nach erfolgreicher Transkription werden Audiodateien sofort und dauerhaft gelöscht.

Audiodateien werden niemals für Modelltraining, Analysen oder andere Zwecke verwendet.

Bei fehlgeschlagenen Transkriptionen: Audiodateien werden trotzdem gelöscht.

4. Auftragsverarbeiter

Verarbeiter

Zweck

Standort

AVV

IONOS SE

Datenbank, Authentifizierung, Dateispeicher (Self-Hosted)

Deutschland

Ja (deutscher Anbieter)

Hetzner Online GmbH

KI-Verarbeitung Fallback (On-Demand)

Deutschland (Nürnberg)

Ja (deutscher Anbieter)

IONOS SE

Frontend- und API-Server

Deutschland

Ja (deutscher Anbieter)

Stripe Payments Europe Ltd. (Konzern Stripe Inc., USA)

Zahlungsabwicklung

EU-Vertragspartner: Irland · Konzern: USA (Transfer auf Basis EU-US Data Privacy Framework + SCCs)

Ja (AVV + SCCs)

InterNetworX Ltd. & Co. KG (INWX/webspace.bz)

Transaktionale E-Mails

Deutschland

Ja (deutscher Anbieter)

5. Technische Sicherheitsmaßnahmen

Verschlüsselung:

Alle Daten im Transit: TLS 1.2+ (HTTPS erzwungen, HSTS aktiviert)

Datenbank: Zugriff nur über interne Netzwerke, nicht öffentlich erreichbar

API-Schlüssel: SHA-256 gehasht vor Speicherung (Klartext wird einmalig bei Erstellung angezeigt)

Zugriffskontrolle:

Strikte Mandantentrennung auf Datenbankebene (Row Level Security)

Nutzer können ausschließlich auf eigene Daten zugreifen

Token-basierte Authentifizierung (JWT)

API-Schlüssel mit Aktiv/Inaktiv-Verwaltung

Infrastruktur-Sicherheit:

Gehärtete Server-Konfiguration (Key-only-Zugang, minimale Angriffsfläche)

Firewall mit restriktiven Regeln (nur notwendige Ports freigegeben)

Intrusion Detection / Brute-Force-Schutz aktiv

Interne Dienste nicht öffentlich erreichbar

Security Headers: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, HSTS

Anwendungssicherheit:

Eingabevalidierung bei allen Datei-Uploads (Typ, Größe, Erweiterung)

Rate Limiting pro Nutzer

Restriktive CORS-Konfiguration

Dateigrößenlimit: 500 MB

6. Betroffenenrechte (DSGVO Art. 15-21)

Recht

Umsetzung

Auskunft (Art. 15)

Transkripte einzeln herunterladbar; Nutzungsdaten im Dashboard einsehbar. Vollständige Datenauskunft auf Anfrage: contact@transkribr.eu

Berichtigung (Art. 16)

Kontakt: contact@transkribr.eu

Löschung (Art. 17)

Self-Service Kontolöschung — entfernt alle Daten sofort und unwiderruflich

Einschränkung (Art. 18)

Kontakt: contact@transkribr.eu

Datenübertragbarkeit (Art. 20)

Transkripte als Text herunterladbar; Nutzungsdaten im Dashboard einsehbar

Widerspruch (Art. 21)

Kontakt: contact@transkribr.eu

Die Kontolöschung ist als Self-Service-Funktion im Dashboard verfügbar. Alle Daten (Profil, Transkriptionen, Nutzungsprotokolle, API-Schlüssel, gespeicherte Dateien) werden innerhalb von Sekunden dauerhaft gelöscht.

7. Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist auf Anfrage erhältlich. Kontakt: contact@transkribr.eu.

8. Vorfallreaktion

Kontinuierliche automatisierte Überwachung aller Dienste

Echtzeit-Alerting bei Sicherheitsvorfällen und Systemausfällen

Täglicher automatisierter Sicherheitsreport

Dokumentierte Incident-Response-Prozesse

9. Aufnahme-Funktion Haftungsausschluss

Transkribr bietet eine Aufnahmefunktion im Browser. Nutzer sind allein verantwortlich für:

Das Einholen der Zustimmung aller aufgenommenen Personen

Die Einhaltung lokaler Gesetze zu Aufnahmen (z.B. § 201 StGB)

Der Betreiber übernimmt keine Haftung für rechtswidrige Nutzung der Aufnahmefunktion.

10. Compliance-Checkliste für Organisationen

Werden Daten in der EU verarbeitet? Ja — gesamte Infrastruktur in Deutschland/EU.

Werden Audiodateien aufbewahrt? Nein — sofortige Löschung nach Transkription.

Ist ein AVV verfügbar? Ja — auf Anfrage.

Können Nutzer ihre Daten löschen? Ja — Self-Service, sofort, unwiderruflich.

Werden Daten für KI-Training verwendet? Nein — niemals.

Werden Daten an Dritte weitergegeben? Nein — nur an oben genannte Auftragsverarbeiter.

Sind Auftragsverarbeiter DSGVO-konform? Ja — alle haben AVVs oder SCCs.

Gibt es Verschlüsselung im Transit? Ja — TLS 1.2+ mit HSTS.

Ist Zugriffskontrolle implementiert? Ja — RLS, JWT Auth, gehashte API-Schlüssel.

Stand: 23. Mai 2026 — Version 2026.05.2

*Änderung gegenüber Version 2026.05.1: Whisper-Modell wird ausdrücklich als selbst gehostetes Open-Source-Modell (Apache-2.0) gekennzeichnet — kein Cloud-API-Aufruf an OpenAI. Klarstellung ohne inhaltliche Verfahrensänderung.*