Alle Beiträge
8 Min. Lesezeit

Server-Verschlüsselung vs. Client-Verschlüsselung: Der entscheidende Unterschied

Fast jeder Transkriptionsdienst wirbt mit „Verschlüsselung“. Aber nicht jede Verschlüsselung schützt gleich gut. Der entscheidende Unterschied liegt nicht im Algorithmus – sondern darin, wer den Schlüssel hat.

Dieser Artikel erklärt den Unterschied zwischen serverseitiger und clientseitiger Verschlüsselung und warum das für Ihre Audio-Dateien einen fundamentalen Unterschied macht.

Was „Verschlüsselung at rest“ wirklich bedeutet

„Encryption at rest“ bedeutet: Daten werden verschlüsselt gespeichert. Der Haken: Der Anbieter besitzt den Schlüssel. Jeder Mitarbeiter mit Datenbankzugriff, jeder Cloud-Administrator und jeder Hacker, der den Server kompromittiert, kann die Daten entschlüsseln.

Die meisten Cloud-Dienste verschlüsseln Daten, sobald sie auf der Festplatte liegen. Das schützt gegen den Diebstahl physischer Festplatten – ein Szenario, das bei professionellen Rechenzentren selten eintritt. Es schützt nichtgegen:

  • Angriffe auf die Anwendung: Wer in die Anwendung eindringt, hat Zugriff auf die Entschlüsselungsfunktion.
  • Insider-Zugriff: Administratoren des Anbieters können die Daten jederzeit lesen.
  • Behördliche Anfragen: Der Anbieter kann die Daten entschlüsseln und herausgeben.
  • KI-Training: Der Anbieter könnte Ihre Daten zur Verbesserung seiner Modelle verwenden.

Kurz: Serverseitige Verschlüsselung schützt die Festplatte, nicht Ihre Daten.

Was clientseitige Verschlüsselung anders macht

Bei clientseitiger Verschlüsselung wird Ihre Audio-Datei im Browser verschlüsselt, bevor sie den Server erreicht. Der Server speichert nur verschlüsselte Blobs – er besitzt den Schlüssel nicht. Selbst der Anbieter kann die gespeicherten Daten nicht lesen.

Der Ablauf im Detail:

  • 1. Schlüssel generieren: Für jede Datei wird im Browser ein eigener 256-Bit-Schlüssel erzeugt (File Encryption Key).
  • 2. Lokal verschlüsseln: Die Audio-Datei wird mit AES-256-GCM direkt im Browser verschlüsselt. Der Server erhält nur verschlüsselte Bytes.
  • 3. Schlüssel sichern: Der Dateischlüssel wird mit Ihrem persönlichen Master-Key verschlüsselt und so auf dem Server gespeichert. Ohne Ihr Passwort kann niemand darauf zugreifen.

Das Ergebnis: Auf dem Server liegen ausschließlich verschlüsselte Daten. Kein Mitarbeiter des Anbieters, kein Hacker und keine Behörde kann sie ohne Ihren Schlüssel entschlüsseln.

Der direkte Vergleich

Die folgende Tabelle zeigt den Unterschied auf einen Blick:

  • Wer verschlüsselt? Server-Verschlüsselung: der Anbieter. Client-Verschlüsselung: Ihr Browser.
  • Wer hat den Schlüssel? Server-Verschlüsselung: der Anbieter. Client-Verschlüsselung: nur Sie.
  • Kann der Anbieter lesen? Server-Verschlüsselung: ja. Client-Verschlüsselung: nein.
  • Schutz bei Datenleck? Server-Verschlüsselung: begrenzt (Schlüssel oft mitkompromittiert). Client-Verschlüsselung: vollständig (Schlüssel ist nicht auf dem Server).
  • Behördliche Herausgabe? Server-Verschlüsselung: Anbieter kann entschlüsseln. Client-Verschlüsselung: Anbieter kann nur verschlüsselte Blobs liefern.
  • DSGVO Art. 34(3)(a)? Server-Verschlüsselung: Meldepflicht bei Datenleck. Client-Verschlüsselung: Keine Meldepflicht, da Daten unlesbar sind.

Was auf dem Server gespeichert ist

Bei clientseitiger Verschlüsselung liegen auf dem Server dauerhaft nur verschlüsselte Daten. Das Transkript wird verschlüsselt gespeichert und kann nur vom Nutzer selbst entschlüsselt werden. Original-Audio-Dateien werden nach der Verarbeitung automatisch gelöscht – auf dem Server verbleibt nur eine verschlüsselte Playback-Version.

Das Ergebnis: Selbst wir als Anbieter können die gespeicherten Transkripte und Audio-Dateien nicht lesen.

Woran Sie erkennen, welche Verschlüsselung ein Dienst nutzt

Wenn ein Transkriptionsdienst sagt „Ihre Daten sind verschlüsselt“, fragen Sie gezielt nach:

  • „Wer hat den Entschlüsselungsschlüssel?“– Wenn der Anbieter ihn hat, ist es serverseitige Verschlüsselung.
  • „Können Ihre Mitarbeiter meine Transkripte lesen?“ – Bei ehrlichen Anbietern mit serverseitiger Verschlüsselung lautet die Antwort: theoretisch ja.
  • „Was passiert bei einem Datenleck?“– Wenn der Anbieter Meldepflichten nach Art. 34 DSGVO erwähnt, deutet das auf entschlüsselbare Daten hin.
  • „Kann ich die Verschlüsselung selbst verifizieren?“ – Bei clientseitiger Verschlüsselung können Sie im Browser-Network-Tab prüfen, dass nur verschlüsselte Bytes hochgeladen werden.

Wann reicht serverseitige Verschlüsselung aus?

Serverseitige Verschlüsselung ist nicht per se schlecht. Für unkritische Inhalte – etwa die Transkription eines öffentlichen Podcasts – mag sie ausreichen. Aber für:

  • Ärztliche Diktate und Patientengespräche
  • Mandantengespräche in Kanzleien
  • Vorstandssitzungen und Strategiegespräche
  • Journalistische Interviews mit vertraulichen Quellen
  • HR-Gespräche und Mitarbeiterbeurteilungen
  • Gerichtsverhandlungen und Zeugenaussagen

… ist clientseitige Verschlüsselung die einzige Architektur, die echten Schutz bietet. Denn hier geht es nicht um die Frage ob ein Anbieter Ihre Daten missbraucht – sondern darum, dass er es technisch nicht kann.

Fazit

„Verschlüsselt“ ist nicht gleich „geschützt“. Der entscheidende Unterschied liegt darin, wer den Schlüssel kontrolliert. Serverseitige Verschlüsselung schützt Festplatten. Clientseitige Verschlüsselung schützt Ihre Daten – auch vor dem Anbieter selbst. Wer mit vertraulichen Audio-Aufnahmen arbeitet, sollte diesen Unterschied kennen.