Wo werden meine Audio-Dateien beim Transkribieren gespeichert?

Die Frage "Wo liegen meine Daten?" ist seit dem Schrems-II-Urteil des EuGH (2020) und der nachfolgenden Diskussion um das EU-US Data Privacy Framework von 2023 die zentrale DSGVO-Frage geworden — und sie wird von vielen Transkriptions-Anbietern weniger transparent beantwortet als sie sollte.

Die üblichen Varianten:

1. US-Cloud-API (OpenAI, AssemblyAI, Deepgram, Google Cloud Speech). Audio wird in AWS, GCP oder Azure in den USA verarbeitet. Auch wenn der Anbieter EU-Regionen anbietet, kann unter US Cloud Act und FISA 702 ein US-Geheimdienst Zugriff verlangen — dem widerspricht der EuGH in Schrems II. Das EU-US DPF von 2023 schließt die Lücke teilweise, ist aber rechtlich angreifbar (Schrems III-Verfahren läuft).

2. EU-Cloud-Region eines US-Anbieters (AWS Frankfurt, Azure West Europe). Daten liegen physisch in der EU, der Anbieter ist aber US-Konzern. Aus DSGVO-Sicht besser, aber wegen Cloud Act weiter im Graubereich.

3. EU-eigene Cloud (OVH, Hetzner, IONOS). Anbieter und Server in der EU. Klar DSGVO-konform, kein Cloud Act-Risiko.

4. Eigene Server beim Transkriptions-Anbieter. Der Anbieter betreibt seine eigene Infrastruktur in eigenen oder gemieteten Rechenzentren — typischerweise in der EU. Keine Sub-Auftragsverarbeitung an Hyperscaler. Höchste Souveränität.

DeepScript fällt in Kategorie 4: alle Transkriptions-Verarbeitung läuft auf eigener Hardware in Rechenzentren in Falkenstein und Nürnberg (Hetzner). Stripe (Bezahlung) und der E-Mail-Versender sind die einzigen Sub-Auftragsverarbeiter — keiner davon sieht Audio oder Transkripte.

Was du den Anbieter konkret fragen solltest: - Welche Rechenzentren werden für Audio-Verarbeitung genutzt? (Adresse, Land) - Wer ist der Betreiber dieser Rechenzentren? (Sub-Auftragsverarbeiter) - Wer ist die juristische Person des Anbieters (Sitz, Konzernstruktur)? - Gibt es US-Tochterunternehmen, die Zugriff haben könnten? - Wie lange werden Audio und Transkript gespeichert? - Ist der Speicher verschlüsselt? Mit welchem Schlüsselmanagement?

Wenn die Antworten unklar bleiben oder „je nach Auslastung" lauten, ist das ein Warnsignal — DSGVO-Konformität verlangt nachvollziehbare, dokumentierte Antworten.