Transkription für Anwaltskanzleien: Verschwiegenheit & DSGVO in der Praxis

Transkription für Anwaltskanzleien: Verschwiegenheit & DSGVO in der Praxis

Mandantengespräche, Zeugenvernehmungen, Vorstandsmeetings im Rahmen einer internen Untersuchung — Anwaltskanzleien arbeiten täglich mit Audiomaterial, das zu den sensibelsten Datenbeständen in der gesamten Wirtschaft gehört. Eine einzige unbedacht hochgeladene Datei kann nicht nur ein Mandat gefährden, sondern auch berufsrechtliche Sanktionen, Strafverfahren nach § 203 StGB und DSGVO-Bußgelder bis zu vier Prozent des Jahresumsatzes auslösen.

Trotzdem wird in vielen Kanzleien noch immer ad hoc transkribiert: ein Junior lädt die Vernehmungsaufnahme in einen US-Cloud-Dienst, weil es "schnell gehen muss". Dieser Beitrag zeigt, was berufsrechtlich und datenschutzrechtlich konkret gilt, welche Risiken bestehen — und wie sich Transkription in der Kanzlei rechtssicher organisieren lässt.

Die rechtliche Ausgangslage

§ 43a BRAO: Verschwiegenheit als Grundpflicht

Die Bundesrechtsanwaltsordnung verpflichtet jeden Rechtsanwalt in § 43a Abs. 2 zur Verschwiegenheit über alles, was ihm in Ausübung seines Berufs bekannt geworden ist. Die Pflicht ist umfassend, gilt zeitlich unbegrenzt und erstreckt sich nicht nur auf Aussagen des Mandanten selbst, sondern auf jede Information, die im Rahmen des Mandats gewonnen wird — also auch auf Zeugenaussagen, Aufnahmen von Vernehmungen, Telefongespräche mit Gegnern und interne Beratungsrunden.

Verletzungen der Verschwiegenheitspflicht sind sowohl berufsrechtlich (Rüge bis Ausschluss aus der Anwaltschaft) als auch strafrechtlich (§ 203 Abs. 1 Nr. 3 StGB, Freiheitsstrafe bis zu einem Jahr oder Geldstrafe) bewehrt.

§ 203 StGB und der Berufsgeheimnisträger

§ 203 Abs. 1 Nr. 3 StGB stellt die unbefugte Offenbarung von Geheimnissen durch Rechtsanwälte unter Strafe. Wichtig: Die Norm wurde 2017 mit dem "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" überarbeitet. § 203 Abs. 4 erlaubt seither ausdrücklich die Hinzuziehung externer Dienstleister — aber nur unter klaren Voraussetzungen:

1. Der Dienstleister muss zur Geheimhaltung schriftlich verpflichtet werden.
2. Auf die Strafbarkeit nach § 203 Abs. 4 S. 3 StGB ist hinzuweisen.
3. Der Dienstleister wird selbst zum Berufsgeheimnisträger und kann strafrechtlich verfolgt werden, wenn er das Geheimnis offenbart.

Ein Transkriptionsdienstleister, der ein Mandantengespräch verarbeitet, fällt zweifelsfrei unter diese Regelung. Wer einfach eine MP3-Datei in einen Online-Dienst hochlädt, der weder eine schriftliche Verpflichtungserklärung unterzeichnet hat noch über § 203 Abs. 4 informiert wurde, begeht eine Straftat nach § 203 Abs. 1 StGB.

DSGVO Art. 9: Besondere Kategorien personenbezogener Daten

Viele Mandantengespräche enthalten Daten, die unter Art. 9 Abs. 1 DSGVO fallen — Gesundheitsdaten in arzthaftungsrechtlichen Mandaten, Daten zur ethnischen Herkunft in Asylverfahren, Strafverurteilungen in Strafverteidigungen, Sexualleben in Familienrechtssachen. Diese Daten dürfen grundsätzlich nicht verarbeitet werden, außer es greift einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO. Für die Anwaltstätigkeit ist insbesondere Art. 9 Abs. 2 lit. f DSGVO einschlägig: Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Diese Rechtsgrundlage trägt jedoch nur die für die Mandatsbearbeitung notwendige Verarbeitung — nicht die Übermittlung an US-Anbieter ohne ausreichende Sicherheiten und nicht die Nutzung der Daten zum Training von Sprachmodellen.

DSGVO Art. 28: Auftragsverarbeitungsvertrag

Sobald ein externer Transkriptionsdienst eingesetzt wird, liegt eine Auftragsverarbeitung vor. Der Vertrag muss alle Pflichtangaben des Art. 28 Abs. 3 DSGVO enthalten und vor der ersten Übermittlung von Daten geschlossen werden. Anwaltskanzleien sollten zusätzlich darauf achten, dass der AVV die berufsrechtlichen Besonderheiten anerkennt — insbesondere die Verpflichtung des Auftragsverarbeiters nach § 203 Abs. 4 StGB.

Typische Risikoszenarien in Kanzleien

Schrems II und die US-Cloud-Falle

Viele beliebte Transkriptionsdienste — Otter, Fireflies, Rev — sind US-Unternehmen. Selbst wenn sie EU-Endpunkte anbieten, greift der US CLOUD Act: Eine US-Behörde kann gegenüber dem Mutterunternehmen die Herausgabe von Daten anordnen, gleichgültig wo diese physisch gespeichert sind. Der EuGH hat in der Schrems-II-Entscheidung (C-311/18) festgestellt, dass das US-Recht keinen mit Art. 7 und 8 der Grundrechtecharta vergleichbaren Schutz bietet.

Für anwaltliche Daten ist das doppelt problematisch:

• Berufsrechtlich: § 43a BRAO verlangt aktiven Geheimnisschutz. Eine Übermittlung in eine Rechtsordnung, in der staatliche Stellen jederzeit Zugriff verlangen können, ist mit dieser Pflicht schwer vereinbar.
• Datenschutzrechtlich: Übermittlungen in die USA verlangen Standardvertragsklauseln plus zusätzliche technische und organisatorische Maßnahmen. Für Audiodaten mit Mandantengeheimnissen ist eine ausreichende Risikominderung praktisch nicht möglich.

Kostenlose Online-Transkriptionstools

Die schnellste und gefährlichste Variante: Eine MP3-Datei mit einem Mandantengespräch wird in ein "Free Transcription"-Tool hochgeladen. Solche Dienste haben in der Regel:

• Keinen AVV.
• Nutzungsbedingungen, die das Recht zur Nutzung der Daten zum Modelltraining einräumen.
• Keinen klaren Serverstandort.
• Keine Möglichkeit zur nachweisbaren Löschung.

Wer ein Mandantengespräch in einen solchen Dienst hochlädt, verletzt gleichzeitig § 43a BRAO, § 203 Abs. 1 StGB, Art. 6, 9, 28, 44 DSGVO und mit hoher Wahrscheinlichkeit die Bedingungen der eigenen Berufshaftpflichtversicherung.

Bring-Your-Own-AI: ChatGPT und Co.

Eine zunehmend verbreitete Praxis ist, Mandantengespräche an Sprachmodelle weiterzugeben — direkt über ChatGPT, Claude oder ähnliche Endkunden-Frontends. Auch hier gilt: Eine direkte Verarbeitung über die kostenlose Benutzeroberfläche ist ein Verstoß gegen sämtliche oben genannten Pflichten. Auch geschäftliche Tarife mit "kein Training auf Eingaben" lösen das Problem nur teilweise, weil die Daten weiterhin auf US-Infrastruktur landen.

Workflow-Beispiele aus der Kanzlei-Praxis

Mandantengespräch mit Aufzeichnung

Eine Wirtschaftsstrafrechts-Kanzlei führt mit Einwilligung des Mandanten Audioaufnahmen von Erstgesprächen, um den Sachverhalt vollständig zu erfassen. Die Aufnahme wird über ein verschlüsseltes internes Laufwerk an einen DSGVO-konformen Transkriptionsdienst übergeben. Innerhalb weniger Stunden liegt das Transkript mit Speaker Diarization im Mandatsordner. Die Originalaufnahme wird nach 30 Tagen automatisch gelöscht, das Transkript bleibt Teil der Mandatsakte.

Berufsrechtlich getragen wird das durch:

• Einwilligung des Mandanten zur Aufnahme.
• AVV mit dem Transkriptionsdienstleister, der auch § 203 Abs. 4 StGB-Verpflichtung enthält.
• Verarbeitung ausschließlich auf Servern in Deutschland.
• Vollständige Löschdokumentation.

Zeugenvernehmung und interne Untersuchung

Bei internen Untersuchungen (Compliance Investigations) werden häufig Dutzende von Mitarbeitergesprächen geführt. Eine Wirtschaftskanzlei dokumentiert diese Gespräche per Audio und transkribiert sie zentral. Hier sind die datenschutzrechtlichen Anforderungen besonders streng, weil die Gespräche regelmäßig:

• Gesundheitsdaten enthalten können (Krankheitstage, psychische Belastung)
• Aussagen über Dritte enthalten (andere Mitarbeiter, Vorgesetzte)
• arbeitsrechtliche Relevanz haben

Ein professionelles Setup arbeitet hier mit Custom Vocabulary (Firmen-Fachbegriffe, Produktnamen, Code-Bezeichnungen), Speaker Diarization (Trennung der Anteile von Untersuchungsleiter und Befragtem) und einem dezidierten Löschplan für jede Akte.

Schiedsverfahren und Mediation

Bei internationalen Schiedsverfahren werden alle Sitzungen wörtlich protokolliert. Eine deutsche Anwaltskanzlei, die als Parteivertreter tätig ist, transkribiert intern die täglichen Sessions, um Hearings für den nächsten Tag vorzubereiten. Da hier oft Compliance-relevante Aussagen (Korruption, Kartellrechtsverstöße) zur Sprache kommen, ist die Datenresidenz-Frage kritisch. Eine Übermittlung an einen US-Anbieter würde die anwaltliche Verschwiegenheit gegenüber den Parteien des Schiedsverfahrens kompromittieren.

Was Anwaltskanzleien beim Transkriptionsanbieter prüfen müssen

Eine konkrete Checkliste vor der Vertragsunterzeichnung:

• [ ] Serverstandort dokumentiert? Alle Verarbeitungsschritte (Upload, Transkription, Speicherung, Backup) ausschließlich innerhalb des EWR.
• [ ] Keine US-Subunternehmer? Insbesondere keine OpenAI-, Google- oder AWS-Speech-APIs im Backend.
• [ ] AVV nach Art. 28 DSGVO? Vollständig, schriftlich, vor der ersten Übermittlung.
• [ ] § 203 StGB-Verpflichtung enthalten? Schriftliche Verpflichtung zur Geheimhaltung und ausdrücklicher Hinweis auf die Strafbarkeit.
• [ ] Verschlüsselung at rest und in transit? TLS 1.2+ für Übertragung, AES-256 für Speicherung.
• [ ] Löschnachweis? Automatisierte Löschung nach konfigurierbarer Frist, dokumentiert im Audit-Log.
• [ ] Zertifizierungen? Mindestens ISO 27001 des Hosting-Anbieters.
• [ ] Mitarbeiter-Verpflichtung? Schriftliche Datenschutzverpflichtung aller Mitarbeiter des Auftragsverarbeiters mit Zugriff.
• [ ] Berufshaftpflicht? Versicherungsschutz des Dienstleisters für Datenschutzvorfälle.
• [ ] Auskunfts- und Löschrechte umsetzbar? Praktischer Workflow, wenn ein Mandant nach Art. 15 oder 17 DSGVO Auskunft oder Löschung verlangt.

Wie DeepScript für Kanzleien passt

DeepScript wurde aus der Überzeugung heraus entwickelt, dass datenschutzkonforme Transkription kein Premium-Feature ist, sondern die einzige berufsrechtlich tragfähige Variante:

• Server in Deutschland. Hetzner-Rechenzentren in Falkenstein und Nürnberg, ISO 27001-zertifiziert. Keine US-Eigentümer, keine US-Mutter, keine CLOUD-Act-Exposition.
• Eigene Spracherkennung. Keine API-Aufrufe an OpenAI, Google oder AWS. Die gesamte Transkriptionskette läuft auf unserer Infrastruktur.
• AVV mit § 203 StGB-Klausel. Unser Standard-AVV enthält die Verpflichtung des Auftragsverarbeiters nach § 203 Abs. 4 StGB sowie eine ausdrückliche Belehrung über die Strafbarkeit.
• Konfigurierbare Löschung. Sie definieren, wann Audio und Transkript gelöscht werden. Standardmäßig löschen wir Audiodaten unmittelbar nach erfolgreicher Transkription.
• Custom Vocabulary. Eigene Glossare für Kanzlei-Fachbegriffe, Mandantennamen, Aktenzeichen.
• Speaker Diarization. Automatische Trennung der Sprecher in Vernehmungen, Mandanten- und Zeugengesprächen.
• Export in alle gängigen Formate. TXT, SRT, VTT, JSON — passend für Diktat-Workflows, Beweisaufzeichnungen und elektronische Akten.

Fazit

Transkription in Anwaltskanzleien ist kein IT-Thema. Es ist ein berufsrechtliches und strafrechtliches Thema. Wer den falschen Dienst wählt, riskiert nicht nur DSGVO-Bußgelder, sondern berufsrechtliche Konsequenzen und strafrechtliche Verfolgung nach § 203 StGB.

Die gute Nachricht: Die Lösung ist nicht "kein Transkriptionsdienst", sondern "der richtige Transkriptionsdienst". Mit einem Anbieter, der EU-Server betreibt, einen vollwertigen AVV mit § 203-Klausel anbietet und keine US-Subunternehmer einsetzt, lässt sich Transkription rechtssicher in den Kanzleialltag integrieren.

Mehr zu unserem Setup für Kanzleien und ein Muster-AVV mit der § 203-Verpflichtung finden Sie auf unserer Lösungsseite für Anwaltskanzleien.