Ist KI-Transkription DSGVO-konform?

Sobald in einer Audioaufnahme Stimmen identifizierbarer Personen vorkommen — und das ist praktisch immer der Fall — verarbeitest du personenbezogene Daten im Sinne der DSGVO. Wird zusätzlich Speaker-Diarisierung genutzt, kommen biometrische Merkmale (Art. 4 Nr. 14 DSGVO) ins Spiel, was die Anforderungen weiter erhöht.

Für DSGVO-Konformität braucht es konkret:

1. Rechtsgrundlage. Meist Einwilligung der Betroffenen (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigtes Interesse (lit. f) nach Abwägung. Im Beschäftigungskontext oft eine Betriebsvereinbarung (§ 26 BDSG i.V.m. Art. 88 DSGVO).

2. Auftragsverarbeitungsvertrag (AVV). Wer einen externen Transkriptionsdienst nutzt, muss einen AVV nach Art. 28 Abs. 3 DSGVO abschließen. Der Vertrag muss u.a. Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Pflichten und Rechte regeln.

3. EU-Datenstandort. Daten dürfen nur in der EU oder in Ländern mit Angemessenheitsbeschluss verarbeitet werden. US-Anbieter sind seit dem Schrems-II-Urteil heikel — auch das EU-US Data Privacy Framework von 2023 steht weiter unter rechtlicher Beobachtung. Sicherer Weg: Anbieter mit Servern in Deutschland oder der EU.

4. Verbot der Trainingsnutzung. Der Vertrag muss explizit ausschließen, dass deine Audio- oder Textdaten zum Training der KI-Modelle des Anbieters verwendet werden. Bei vielen US-Cloud-APIs ist dies in den Standard-AGB nicht garantiert.

5. Löschfristen. Audio sollte nach Abschluss der Transkription gelöscht werden, Textdaten nach definierter Aufbewahrungsfrist. Das DSGVO-Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) verlangt, dass nicht mehr Daten gespeichert werden, als nötig.

6. TOMs (technische und organisatorische Maßnahmen). Verschlüsselung at-rest und in-transit, Zugriffskontrollen, Audit-Logs, ISO-27001-Zertifizierung des Rechenzentrums — Standard nach Art. 32 DSGVO.

7. Betroffenenrechte. Auskunft, Löschung, Datenübertragbarkeit müssen technisch umgesetzt sein. Bei US-Anbietern oft ein praktisches Problem.

DeepScript erfüllt all diese Punkte: AVV-Vorlage online verfügbar, ausschließlich eigene Server in deutschen Rechenzentren (Hetzner Falkenstein/Nürnberg), kein Training auf Kundendaten, Audio wird nach Verarbeitung gelöscht, ISO 27001 zertifizierte Infrastruktur.

Wichtig: "DSGVO-konform" ist keine Zertifizierung, sondern eine Eigenschaft, die durch das Zusammenspiel von Vertrag, Technik und Prozessen entsteht. Wer es ernst meint, schaut sich AVV, Sub-Auftragsverarbeiter-Liste und technische Dokumentation des Anbieters an — nicht nur das Marketing-Banner.