Alle Beiträge
8 Min. Lesezeit

DSGVO und Transkription: Was Unternehmen wissen müssen

Wer Meetings aufzeichnet, Interviews transkribiert oder Diktate verarbeitet, verarbeitet personenbezogene Daten. Stimmen, Namen, Meinungen, manchmal Gesundheitsdaten oder Geschäftsgeheimnisse – all das fällt unter die Datenschutz-Grundverordnung (DSGVO). Trotzdem nutzen viele Unternehmen Transkriptionsdienste, ohne die rechtlichen Anforderungen zu kennen.

Dieser Artikel erklärt, welche Pflichten gelten, wo die häufigsten Fehler liegen und wie Sie Transkription datenschutzkonform einsetzen.

Warum Audio-Aufnahmen besonders sensibel sind

Audio-Aufnahmen enthalten biometrische Merkmale (Stimme), oft Namen und regelmäßig inhaltlich sensible Informationen. In Deutschland ist das nicht-öffentlich gesprochene Wort zusätzlich durch § 201 StGB geschützt, in Österreich durch § 120 StGB. Eine Aufnahme ohne Wissen der Beteiligten kann daher strafbar sein.

Die DSGVO klassifiziert die Verarbeitung von Audio-Daten als Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2. Das bedeutet: Jede Aufzeichnung, Speicherung und Transkription braucht eine Rechtsgrundlage.

Rechtsgrundlagen für die Transkription

Die sicherste Rechtsgrundlage für Transkriptionen ist die ausdrückliche Einwilligung aller Beteiligten nach Art. 6 Abs. 1 lit. a DSGVO. Alternativen wie berechtigtes Interesse oder Vertragserfüllung sind in der Praxis schwer durchsetzbar, da Gerichte manuelle Protokolle als milderes Mittel werten.

Art. 6 Abs. 1 DSGVO nennt mehrere mögliche Rechtsgrundlagen. Für Transkriptionen sind drei relevant:

  • Einwilligung (Art. 6 Abs. 1 lit. a) – Die sicherste Grundlage. Alle Beteiligten müssen vor der Aufnahme informiert werden und aktiv zustimmen. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – Theoretisch möglich, in der Praxis schwierig. Gerichte und Datenschutzbehörden argumentieren, dass manuelle Protokolle ein milderes Mittel sind.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b) – Nur in Ausnahmefällen tragfähig, etwa wenn die Transkription ausdrücklich Vertragsbestandteil ist.

Praxis-Empfehlung: Holen Sie immer eine ausdrückliche Einwilligung ein. Bei Meetings sollte dies schriftlich in der Einladung und mündlich zu Beginn geschehen.

Besondere Kategorien: Gesundheitsdaten und mehr

Enthalten Aufnahmen Gesundheitsdaten (ärztliche Diktate), Gewerkschaftszugehörigkeit oder religiöse Überzeugungen, greift Art. 9 DSGVO. Diese besonderen Kategorien erfordern eine ausdrückliche Einwilligung – eine stillschweigende Zustimmung reicht nicht.

Transparenzpflichten: Was Sie mitteilen müssen

Art. 13 und 14 DSGVO verpflichten Unternehmen, Betroffene vor der Aufnahme umfassend zu informieren:

  • Dass und zu welchem Zweck die Aufnahme und Transkription erfolgt
  • Wie lange Aufnahmen und Transkripte gespeichert werden
  • Wer Zugriff auf die Daten erhält (intern und extern)
  • Ob ein Drittanbieter (Transkriptionsdienst) eingesetzt wird
  • Welche Rechte die Betroffenen haben (Auskunft, Löschung, Widerspruch)

Das Problem mit Cloud-Transkriptionsdiensten

Viele Transkriptionstools verarbeiten Audio auf Servern außerhalb der EU. Das ist datenschutzrechtlich problematisch:

  • Drittlandtransfer: Ohne angemessenes Schutzniveau (Angemessenheitsbeschluss, Standardvertragsklauseln) ist die Übermittlung unzulässig.
  • Auftragsverarbeitung: Der Transkriptionsdienst ist Auftragsverarbeiter nach Art. 28 DSGVO – ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht.
  • Zugriff durch Anbieter: Bei serverseitiger Verarbeitung hat der Anbieter Zugriff auf den Klartext – ein Risiko, das viele Unternehmen unterschätzen.

Die sicherste Lösung: Clientseitige Verschlüsselung

Clientseitige Verschlüsselung ist die stärkste technische Schutzmaßnahme nach Art. 32 DSGVO. Audio-Dateien werden im Browser verschlüsselt, bevor sie den Server erreichen. Selbst bei einem Datenleck beim Anbieter sind die Daten ohne den Schlüssel des Nutzers wertlos.

Bei clientseitiger Verschlüsselung werden Audio-Dateien bereits im Browser verschlüsselt, bevor sie den Server erreichen. Das Transkript wird ebenfalls verschlüsselt gespeichert – selbst der Anbieter kann die gespeicherten Inhalte nicht lesen.

Für die DSGVO bedeutet das: Selbst bei einem Datenleck beim Anbieter sind die Daten wertlos, weil sie ohne den Schlüssel des Nutzers nicht entschlüsselt werden können. Das ist die stärkste technische Maßnahme nach Art. 32 DSGVO.

Checkliste für datenschutzkonforme Transkription

  • Einwilligung aller Beteiligten vor der Aufnahme einholen
  • Zweck und Speicherdauer dokumentieren
  • Auftragsverarbeitungsvertrag mit dem Anbieter abschließen
  • Prüfen, wo die Daten verarbeitet und gespeichert werden (EU vs. Drittland)
  • Verschlüsselung sicherstellen – idealerweise clientseitig
  • Löschkonzept festlegen: Wann werden Aufnahmen und Transkripte gelöscht?
  • Betroffenenrechte gewährleisten (Auskunft, Löschung, Widerspruch)
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO pflegen

Fazit

Transkription ohne Datenschutz ist ein rechtliches Risiko. Die DSGVO stellt klare Anforderungen an Einwilligung, Transparenz und technische Schutzmaßnahmen. Unternehmen, die Audio-Aufnahmen verarbeiten, sollten ihren Transkriptionsdienst sorgfältig prüfen – insbesondere, ob der Anbieter Zugriff auf den Klartext hat und wo die Daten gespeichert werden.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall.