Transkription & Datenschutz: Was Unternehmen wissen müssen

Transkription & Datenschutz: Was Unternehmen wissen müssen

Audiodaten gehören zu den sensibelsten Datenarten überhaupt. Eine Stimme ist biometrisch identifizierbar. Ein Meeting-Mitschnitt enthält Namen, Meinungen, Geschäftsgeheimnisse. Ein Interview offenbart persönliche Ansichten, die nie für die Öffentlichkeit bestimmt waren.

Trotzdem laden Unternehmen täglich Audiodateien in Transkriptionsdienste hoch, deren Datenschutzpraktiken sie nie geprüft haben. Dieses Vorgehen birgt nicht nur rechtliche Risiken – es kann Vertrauen zerstören und empfindliche Bußgelder nach sich ziehen.

Dieser Artikel erklärt, warum Datenschutz bei der Transkription keine Option, sondern Pflicht ist, welche DSGVO-Anforderungen konkret gelten und wie Sie als Unternehmen sicherstellen, dass Ihre Transkriptionsprozesse rechtskonform sind.

Warum Audiodaten besonders schützenswert sind

Unter der DSGVO sind Audiodaten personenbezogene Daten, sobald eine sprechende Person identifizierbar ist – und das ist bei Sprachaufnahmen praktisch immer der Fall. Die menschliche Stimme ist ein biometrisches Merkmal. Selbst ohne Namensnennung lässt sich eine Person anhand ihrer Stimme identifizieren.

Audioaufnahmen enthalten mehr als Worte

Eine Transkription erfasst den gesprochenen Inhalt. Aber die zugrundeliegende Audiodatei enthält weit mehr:

• Stimmprofile, die biometrische Identifikation ermöglichen
• Emotionale Zustände, die aus Tonfall und Sprechgeschwindigkeit ablesbar sind
• Hintergrundgeräusche, die Rückschlüsse auf den Aufenthaltsort zulassen
• Gesprächsinhalte, die Geschäftsgeheimnisse, persönliche Daten Dritter oder besondere Kategorien personenbezogener Daten (Gesundheit, politische Meinungen, religiöse Überzeugungen) umfassen können

Besondere Kategorien personenbezogener Daten unterliegen nach Art. 9 DSGVO einem erhöhten Schutzniveau. Wenn ein Mitarbeiter in einem Meeting beiläufig seinen Gesundheitszustand erwähnt und dieses Meeting transkribiert wird, verarbeiten Sie Gesundheitsdaten – mit allen rechtlichen Konsequenzen.

Die Realität in vielen Unternehmen

In der Praxis sieht es häufig so aus: Ein Mitarbeiter sucht online nach "audio to text", findet einen kostenlosen Dienst, lädt die Meeting-Aufzeichnung hoch und kopiert das Ergebnis in ein Dokument. Dass die Audiodatei dabei auf Servern in den USA gespeichert und möglicherweise zum Training von KI-Modellen verwendet wird, ist den meisten nicht bewusst.

Dieses Szenario ist kein Randfall. Es ist Alltag in Unternehmen jeder Größe.

DSGVO-Anforderungen an Transkriptionsdienste

Wenn Sie als Unternehmen einen externen Transkriptionsdienst nutzen, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Der Transkriptionsdienst verarbeitet personenbezogene Daten in Ihrem Auftrag. Das hat konkrete rechtliche Konsequenzen.

Art. 28 DSGVO: Der Auftragsverarbeitungsvertrag (AVV)

Bevor Sie personenbezogene Daten an einen Transkriptionsdienst übermitteln, müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser Vertrag regelt:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
• Regelungen zu Unterauftragsverarbeitern
• Löschung und Rückgabe der Daten nach Beendigung

Ohne AVV ist die Nutzung eines Transkriptionsdienstes rechtswidrig. Es gibt keine Ausnahme und keine Bagatellgrenze.

Viele kostenlose Online-Transkriptionstools bieten keinen AVV an. Einige erwähnen das Thema nicht einmal in ihren Nutzungsbedingungen. Für Unternehmen ist die Nutzung solcher Dienste schlicht nicht zulässig.

Art. 44 DSGVO: Datenübermittlung in Drittländer

Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR ist nur unter bestimmten Voraussetzungen erlaubt. Konkret müssen Sie sicherstellen, dass eines der folgenden Instrumente vorliegt:

• Ein Angemessenheitsbeschluss der EU-Kommission für das Zielland
• Standardvertragsklauseln (SCCs) mit zusätzlichen Schutzmaßnahmen
• Binding Corporate Rules (BCRs)
• Eine ausdrückliche Einwilligung der betroffenen Person (nur in Ausnahmefällen praktikabel)

Für Transkriptionsdienste, die Daten in den USA verarbeiten, ist dies besonders relevant – dazu mehr im Abschnitt zu Schrems II.

Art. 17 DSGVO: Recht auf Löschung

Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Das bedeutet: Wenn eine Person in einer transkribierten Aufnahme vorkommt und die Löschung verlangt, müssen Sie nachweisen können, dass:

• Die Audiodatei gelöscht wurde
• Das Transkript gelöscht oder anonymisiert wurde
• Der Transkriptionsdienst die Daten ebenfalls gelöscht hat
• Keine Kopien in Backups oder Trainingssets verblieben sind

Ein Dienst, der Ihre Audiodaten zum Modelltraining verwendet, macht die Erfüllung dieses Rechts praktisch unmöglich. Einmal in ein Trainingsset eingeflossene Daten lassen sich nicht gezielt entfernen.

Art. 25 DSGVO: Datenschutz durch Technikgestaltung

Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen zu implementieren, die den Datenschutz von Anfang an gewährleisten (Privacy by Design). Bei der Auswahl eines Transkriptionsdienstes bedeutet das: Datenschutz ist kein nachträgliches Add-on, sondern ein Auswahlkriterium.

Checkliste für Unternehmen

Bevor Sie sich für einen Transkriptionsdienst entscheiden, prüfen Sie folgende Punkte:

Serverstandort

• [ ] Wo werden die Audiodateien verarbeitet?
• [ ] Wo werden die Transkripte gespeichert?
• [ ] Findet die gesamte Verarbeitung innerhalb des EWR statt?
• [ ] Gibt es eine klare Dokumentation des Serverstandorts?

Auftragsverarbeitungsvertrag

• [ ] Bietet der Anbieter einen AVV an?
• [ ] Enthält der AVV alle nach Art. 28 DSGVO erforderlichen Regelungen?
• [ ] Sind die technischen und organisatorischen Maßnahmen (TOMs) dokumentiert?
• [ ] Ist der AVV von beiden Seiten unterzeichnet, bevor die erste Datei hochgeladen wird?

Löschrichtlinien

• [ ] Wann werden Audiodateien nach der Verarbeitung gelöscht?
• [ ] Wann werden Transkripte gelöscht?
• [ ] Gibt es eine automatische Löschung oder muss der Nutzer aktiv werden?
• [ ] Kann der Anbieter die Löschung nachweisen?

Unterauftragsverarbeiter (Sub-Processors)

• [ ] Welche Unterauftragsverarbeiter setzt der Anbieter ein?
• [ ] Werden Audiodaten an Dritte weitergegeben (z. B. an KI-Anbieter wie OpenAI, Google, AWS)?
• [ ] Werden Daten zum Training von KI-Modellen verwendet?
• [ ] Gibt es ein Verfahren zur Information über neue Unterauftragsverarbeiter?

Zugriffskontrollen

• [ ] Wer hat Zugriff auf die hochgeladenen Audiodateien?
• [ ] Wer hat Zugriff auf die Transkripte?
• [ ] Gibt es eine Verschlüsselung bei der Übertragung und Speicherung?
• [ ] Gibt es Audit-Logs über Zugriffe?

Risiken bei US-Cloud-Anbietern

Viele Transkriptionsdienste nutzen die Infrastruktur amerikanischer Cloud-Anbieter – AWS, Google Cloud oder Microsoft Azure. Selbst wenn die Server physisch in Europa stehen, bleibt ein fundamentales Rechtsproblem bestehen.

Die Schrems-II-Entscheidung

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für ungültig (Rechtssache C-311/18, "Schrems II"). Das Gericht stellte fest, dass das US-Recht keinen angemessenen Schutz für personenbezogene Daten von EU-Bürgern bietet, insbesondere wegen der umfassenden Zugriffsmöglichkeiten von US-Nachrichtendiensten.

Zwar existiert seit 2023 das EU-US Data Privacy Framework als Nachfolgeregelung. Doch dessen Beständigkeit ist unsicher – mehrere Datenschutzbehörden und Experten haben Zweifel geäußert, ob es einer erneuten gerichtlichen Prüfung standhalten würde.

Der CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 verpflichtet amerikanische Unternehmen, US-Behörden Zugriff auf gespeicherte Daten zu gewähren – unabhängig davon, wo diese Daten physisch gespeichert sind. Das bedeutet: Selbst wenn ein US-Cloud-Anbieter Ihre Daten auf Servern in Frankfurt verarbeitet, kann eine US-Behörde Zugriff verlangen.

Für Audiodaten ist dieses Risiko besonders gravierend. Ein Meeting-Mitschnitt Ihres Vorstands, der über einen US-Dienst transkribiert wird, könnte theoretisch von US-Behörden eingesehen werden – ohne dass Sie davon erfahren und ohne richterliche Anordnung eines europäischen Gerichts.

Praktische Konsequenzen

Viele Transkriptionsanbieter nutzen im Hintergrund die APIs von OpenAI (Whisper), Google (Speech-to-Text) oder Amazon (Transcribe). Das bedeutet:

• Ihre Audiodaten werden an diese US-Unternehmen übermittelt
• Sie haben keine direkte vertragliche Beziehung zu diesen Unterauftragsverarbeitern
• Die Datenschutzpraktiken dieser Unternehmen unterliegen nicht Ihrer Kontrolle
• Löschanfragen müssen über mehrere Stationen weitergereicht werden

Selbst wenn der eigentliche Transkriptionsanbieter in der EU sitzt – sobald er US-KI-Dienste nutzt, gelten die oben genannten Risiken.

Wie DeepScript diese Probleme löst

DeepScript wurde von Anfang an mit dem Ziel entwickelt, Transkription datenschutzkonform zu ermöglichen – ohne Kompromisse bei der Qualität.

Eigene Server in Deutschland

Alle Audiodateien werden auf dedizierten Servern verarbeitet, die DeepScript bei Hetzner in Deutschland betreibt. Hetzner ist ein deutscher Hosting-Anbieter mit ISO 27001-zertifizierten Rechenzentren. Es handelt sich nicht um eine virtuelle Maschine bei einem US-Cloud-Anbieter, sondern um physische Server unter deutscher Jurisdiktion.

Die gesamte Verarbeitungskette – Upload, Spracherkennung, Transkription, Speicherung – findet auf diesen Servern statt. Zu keinem Zeitpunkt verlassen Ihre Daten die deutsche Infrastruktur.

Keine Drittanbieter-KI

DeepScript betreibt eigene Spracherkennungsmodelle. Es werden keine APIs von OpenAI, Google, Amazon oder anderen Drittanbietern genutzt. Das bedeutet:

• Keine Datenübermittlung an US-Unternehmen
• Keine Abhängigkeit von den Datenschutzpraktiken Dritter
• Vollständige Kontrolle über den gesamten Verarbeitungsprozess
• Keine Nutzung Ihrer Daten zum Training von Modellen Dritter

Automatische Löschung

Audiodateien werden nach der Verarbeitung automatisch gelöscht. Es gibt keine langfristige Speicherung von Audiodaten auf DeepScript-Servern. Transkripte bleiben in Ihrem Konto verfügbar, bis Sie sie löschen – Sie behalten die Kontrolle.

AVV verfügbar

DeepScript stellt Unternehmen einen vollständigen Auftragsverarbeitungsvertrag (AVV) bereit, der alle Anforderungen nach Art. 28 DSGVO erfüllt. Der AVV dokumentiert:

• Den genauen Verarbeitungszweck
• Die eingesetzten technischen und organisatorischen Maßnahmen
• Die Löschfristen
• Die Rechte und Pflichten beider Parteien
• Die Liste der Unterauftragsverarbeiter (ausschließlich EU-Anbieter)

Der AVV kann direkt über die DeepScript-Plattform angefordert werden.

Transparenz

DeepScript veröffentlicht eine vollständige Liste aller Unterauftragsverarbeiter. Es gibt keine versteckten Datenflüsse. Wenn Sie wissen möchten, wer Zugriff auf Ihre Daten hat, finden Sie die Antwort in unserer Datenschutzdokumentation.

Handlungsempfehlungen

Für Datenschutzbeauftragte

1. Bestandsaufnahme: Ermitteln Sie, welche Transkriptionsdienste in Ihrem Unternehmen genutzt werden – auch inoffiziell durch einzelne Abteilungen
2. Risikobewertung: Prüfen Sie für jeden Dienst die oben genannte Checkliste
3. AVV-Prüfung: Stellen Sie sicher, dass für jeden genutzten Dienst ein gültiger AVV vorliegt
4. Freigabeprozess: Definieren Sie einen Freigabeprozess für neue Tools, die Audiodaten verarbeiten
5. Schulung: Sensibilisieren Sie Mitarbeiter dafür, dass Audiodaten personenbezogene Daten sind

Für IT-Verantwortliche

1. Schatten-IT identifizieren: Prüfen Sie, ob Mitarbeiter eigenständig Transkriptionsdienste nutzen
2. Approved-Tools-Liste: Stellen Sie eine freigegebene Liste datenschutzkonformer Transkriptionstools bereit
3. Technische Kontrollen: Blockieren Sie ggf. den Zugang zu nicht freigegebenen Diensten
4. API-Integration: Prüfen Sie, ob eine API-Integration in bestehende Workflows möglich ist, um Schatten-IT zu vermeiden

Für Geschäftsführung

1. Haftungsrisiko verstehen: Bußgelder nach DSGVO können bis zu 4 % des weltweiten Jahresumsatzes betragen
2. Budget einplanen: Ein datenschutzkonformer Transkriptionsdienst kostet weniger als ein Datenschutzvorfall
3. Unternehmensrichtlinie: Verabschieden Sie eine klare Richtlinie zur Verarbeitung von Audiodaten

Fazit

Transkription ist ein mächtiges Werkzeug für Produktivität und Dokumentation. Aber die Sensibilität von Audiodaten erfordert besondere Sorgfalt bei der Auswahl des richtigen Dienstes.

Die DSGVO stellt klare Anforderungen: AVV abschließen, Serverstandort prüfen, Unterauftragsverarbeiter kennen, Löschrechte sicherstellen. Dienste, die diese Anforderungen nicht erfüllen, sind für Unternehmen keine Option – unabhängig davon, wie gut ihre Transkriptionsqualität ist.

DeepScript bietet eine Lösung, die Qualität und Datenschutz vereint: eigene Server in Deutschland, keine Drittanbieter-KI, vollständiger AVV und transparente Datenverarbeitung.

Erfahren Sie mehr über unsere Datenschutzmaßnahmen auf unserer Datenschutz-Vertrauensseite oder fordern Sie direkt einen Auftragsverarbeitungsvertrag an.