Darf ich Patientengespräche oder medizinische Aufnahmen transkribieren lassen?

Medizinische Audiodaten sind doppelt geschützt: einmal als Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO) und einmal durch die ärztliche Schweigepflicht (§ 203 StGB in Deutschland; vergleichbare Regelungen in AT, CH). Wer hier schlampig vorgeht, riskiert nicht nur DSGVO-Bußgelder, sondern auch berufsrechtliche Konsequenzen und strafrechtliche Verfolgung.

Was konkret nötig ist:

1. Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO. Üblicherweise lit. a (ausdrückliche Einwilligung) oder lit. h (medizinische Diagnose/Versorgung). Reine Einwilligung „nach Aufklärung" — pauschale Klick-Checkboxen reichen nicht.

2. § 203 StGB. Seit der Reform 2017 (Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter) dürfen Berufsgeheimnisträger Dienstleister einbinden, müssen aber: - vertraglich zur Verschwiegenheit verpflichten, - über die Strafbarkeit nach § 203 Abs. 4 StGB belehren, - den Dienstleister gewissenhaft auswählen.

3. AVV mit Berufsgeheimnis-Klausel. Standard-AVV reicht nicht — der Vertrag muss explizit auf § 203 StGB Bezug nehmen und alle Mitarbeitenden des Auftragsverarbeiters zur Verschwiegenheit verpflichten (auch nach Vertragsende). DeepScript stellt eine entsprechende Erweiterung des Standard-AVV bereit.

4. EU-Datenstandort + keine Sub-Auftragsverarbeitung an US-Anbieter. Bei Gesundheitsdaten ist Schrems II besonders heikel — ein Transfer in die USA ist praktisch nicht zu rechtfertigen.

5. TOMs auf höchstem Niveau. Ende-zu-Ende-Verschlüsselung, Audit-Logs jedes Zugriffs, restriktives Berechtigungskonzept, regelmäßige Sicherheitsaudits.

6. Pseudonymisierung / Anonymisierung wo möglich. Patientennamen vor der Übermittlung durch Pseudonyme ersetzen, falls Diktatsystem das erlaubt. Nach DSGVO Art. 32 ist Pseudonymisierung eine empfohlene Maßnahme.

7. Löschfristen. Audio sofort nach Transkription löschen; Transkript-Text gemäß Aufbewahrungspflicht (in DE für medizinische Doku oft 10 Jahre, § 630f BGB) speichern — getrennt vom Anbieter, in der eigenen IT.

Wichtig: HIPAA gilt nur in den USA. Wer Patientendaten von US-Bürgern transkribiert, braucht zusätzlich einen Business Associate Agreement (BAA) und HIPAA-konforme Infrastruktur. Die meisten EU-Anbieter inklusive DeepScript sind kein HIPAA-Covered-Entity, decken aber den deutlich strengeren DSGVO-Rahmen ab.

Praktischer Tipp: Bei medizinischen Transkriptionen immer Premium-Modell wählen — Fehler bei Medikamentennamen oder Diagnosen können gravierende Folgen haben.