Alle Beiträge
6 Min. Lesezeit

5 Fragen, die Sie Ihrem Transkriptionsdienst stellen sollten

Sie laden eine Aufnahme hoch, die KI transkribiert, und wenige Minuten später haben Sie Ihr Transkript. Der Prozess wirkt einfach – aber was passiert zwischen Upload und Ergebnis? Wer hat Zugriff auf Ihre Daten? Wo werden sie gespeichert? Und werden sie irgendwann gelöscht?

Diese fünf Fragen helfen Ihnen, die Datenschutzpraktiken eines Transkriptionsdienstes einzuschätzen, bevor Sie vertrauliche Inhalte hochladen.

Frage 1: „Wo werden meine Daten verarbeitet und gespeichert?“

Warum das wichtig ist: Der Verarbeitungsstandort bestimmt, welchem Rechtssystem Ihre Daten unterliegen. US-Server bedeuten CLOUD Act und potenziellen Behördenzugriff ohne EU-Gerichtsbeschluss.

Viele Transkriptionsdienste speichern Daten in den USA. Das ist datenschutzrechtlich problematisch: Der US CLOUD Act erlaubt Behördenzugriff, und die Rechtsgrundlage für EU-US-Datentransfers ist wiederholt gekippt worden (Safe Harbor 2015, Privacy Shield 2020).

Gute Antwort: „Unsere Server stehen in der EU, betrieben von einem europäischen Unternehmen mit ISO-27001-Zertifizierung.“

Schlechte Antwort: „Wir verwenden AWS/Google Cloud mit EU-Regionen.“ (Trotzdem US-Unternehmen, trotzdem CLOUD Act.)

Frage 2: „Wer kann meine Transkripte lesen?“

Warum das wichtig ist: Wenn der Anbieter Ihre Daten im Klartext verarbeitet, können Mitarbeiter, Administratoren oder Angreifer sie potenziell einsehen – auch wenn der Anbieter es nicht beabsichtigt.

Die entscheidende Frage ist nicht, ob der Anbieter Ihre Daten lesen will, sondern ob er es technisch kann. Bei serverseitiger Verschlüsselung hat der Anbieter den Schlüssel. Bei clientseitiger Verschlüsselung hat nur der Nutzer den Schlüssel.

Gute Antwort: „Wir können Ihre Transkripte nicht lesen. Die Verschlüsselung erfolgt in Ihrem Browser, und nur Sie haben den Schlüssel.“

Schlechte Antwort: „Ihre Daten sind privat und vertraulich. Nur Sie können Ihre Transkripte ansehen.“ (Ausweichend – sagt nichts über technischen Zugriff.)

Frage 3: „Was passiert mit meinen Audio-Dateien nach der Transkription?“

Warum das wichtig ist: Audio-Aufnahmen, die nach der Verarbeitung auf Servern liegen bleiben, sind ein dauerhaftes Angriffsrisiko. Datensparsamkeit ist nicht nur ein DSGVO-Grundsatz, sondern auch praktischer Schutz.

Einige Dienste speichern Original-Aufnahmen dauerhaft. Das widerspricht dem DSGVO-Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c) und vergrößert die Angriffsfläche: Mehr gespeicherte Daten bedeuten mehr potentiellen Schaden bei einem Leak.

Gute Antwort: „Original-Aufnahmen werden nach der Transkription automatisch gelöscht. Nur eine verschlüsselte Playback-Version bleibt erhalten.“

Schlechte Antwort: „Sie können Ihre Dateien jederzeit löschen.“ (Heißt: Solange Sie nicht löschen, bleiben die Originale auf dem Server.)

Frage 4: „Verwenden Sie Cookies oder Tracking-Tools?“

Warum das wichtig ist: Cookies und Tracker verraten Nutzungsmuster und können Rückschlüsse auf den Inhalt ermöglichen. Ein Dienst, der Google Analytics oder Facebook Pixel einbindet, teilt Nutzungsdaten mit US-Unternehmen.

Tracking-Tools auf Transkriptionsplattformen sind besonders problematisch: Sie dokumentieren, wann Sie welche Dateien hochgeladen, bearbeitet und exportiert haben. In Kombination mit Dateinamen (die bei den meisten Diensten im Klartext sichtbar sind) entsteht ein detailliertes Nutzungsprofil.

Gute Antwort: „Wir verwenden keine Cookies und keine Tracking-Tools. Authentifizierung läuft über sichere Tokens im Browser.“

Schlechte Antwort: „Wir verwenden Cookies gemäß unserer Cookie-Richtlinie.“ (Verweist auf Legaltext statt auf Architekturentscheidungen.)

Frage 5: „Werden meine Daten zum Training von KI-Modellen verwendet?“

Warum das wichtig ist: Wenn Ihre Aufnahmen in das Training einfließen, werden sie Teil des Modells – und damit potenziell in Ergebnissen für andere Nutzer reproduzierbar. Die Löschung der Originaldaten hilft dann nicht mehr.

Einige Anbieter formulieren in ihren Nutzungsbedingungen bewusst vage: „Wir können Ihre Daten zur Verbesserung unserer Dienste verwenden.“ Bei clientseitiger Verschlüsselung ist KI-Training mit Nutzerdaten technisch unmöglich – der Server sieht nur verschlüsselte Blobs.

Gute Antwort: „Nein. Wir trainieren keine Modelle mit Kundendaten. Unsere Architektur macht das technisch unmöglich.“

Schlechte Antwort: „Nein.“ (Ohne technische Erklärung – eine reine Vertrauensfrage.)

Zusammenfassung

  • Standort: EU-Unternehmen mit EU-Rechenzentrum und ISO-27001-Zertifizierung.
  • Verschlüsselung: Clientseitig im Browser, nicht nur serverseitig.
  • Datensparsamkeit: Originale werden nach Verarbeitung gelöscht.
  • Keine Cookies, kein Tracking: Architektonisch ausgeschlossen, nicht nur per Cookie-Banner.
  • Kein KI-Training: Technisch unmöglich, nicht nur versprochen.

Diese fünf Fragen trennen Dienste, die Datenschutz ernst nehmen, von solchen, die ihn bewerben. Der Unterschied liegt nicht in den Antworten – sondern in der Architektur dahinter.