Alle Beiträge
7 Min. Lesezeit

Warum Ihre Transkripte in der EU bleiben sollten

Audio-Aufnahmen von Meetings, Interviews oder Diktaten enthalten fast immer personenbezogene Daten – Stimmen, Namen, Meinungen, manchmal Gesundheitsdaten oder Geschäftsgeheimnisse. Trotzdem verarbeiten die meisten Transkriptionsdienste diese Daten auf Servern in den Vereinigten Staaten.

Für europäische Unternehmen, Kanzleien, Arztpraxen und Behörden ist das nicht nur ein theoretisches Risiko – es ist ein handfestes datenschutzrechtliches Problem. Dieser Artikel erklärt, warum der Standort der Datenverarbeitung entscheidend ist und worauf Sie achten sollten.

Das Problem mit US-Servern

Europäische Daten auf US-Servern unterliegen dem US CLOUD Act. Amerikanische Behörden können Herausgabe verlangen – auch ohne europäischen Gerichtsbeschluss. Das steht im direkten Widerspruch zur DSGVO und wurde durch das Schrems-II-Urteil des EuGH bestätigt.

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) erlaubt US-Behörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, in welchem Land die Server stehen. Ein Transkriptionsdienst mit Sitz in den USA unterliegt diesem Gesetz, selbst wenn er Rechenzentren in Europa betreibt.

Das Schrems-II-Urteil des Europäischen Gerichtshofs (Rechtssache C-311/18, Juli 2020) hat bestätigt, dass die USA kein angemessenes Datenschutzniveau im Sinne der DSGVO bieten. Der Privacy Shield wurde für ungültig erklärt. Das EU-US Data Privacy Framework (DPF) von 2023 soll das Problem lösen, steht aber bereits unter juristischer Anfechtung.

Für Unternehmen bedeutet das: Wer Audio-Aufnahmen mit personenbezogenen Daten an einen US-Dienst übergibt, trägt das Risiko, dass die Rechtsgrundlage für den Datentransfer erneut wegfällt.

Was „Daten in der EU“ konkret bedeutet

Nicht jeder Dienst, der mit „EU-Rechenzentren“ wirbt, bietet echte Datensouveränität. Entscheidend sind drei Punkte:

  • Sitz des Unternehmens: Ein US-Unternehmen mit EU-Servern unterliegt trotzdem dem CLOUD Act. Nur ein Unternehmen mit Sitz in der EU ist vollständig europäischem Recht unterstellt.
  • Betreiber der Infrastruktur: Wer betreibt die Server physisch? Ein europäischer Hoster wie Hetzner unterliegt ausschließlich europäischem Recht. AWS, Google Cloud oder Azure – auch mit EU-Regionen – sind US-Unternehmen.
  • Zertifizierungen: ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Er bestätigt, dass der Rechenzentrumsbetreiber systematische Schutzmaßnahmen für Vertraulichkeit, Integrität und Verfügbarkeit implementiert hat.

Warum Hetzner als Rechenzentrum

scryp verarbeitet und speichert alle Daten ausschließlich bei Hetzner in Deutschland. Das ist eine bewusste Architekturentscheidung:

  • ISO/IEC 27001 zertifiziert – Das Informationssicherheits-Managementsystem wird regelmäßig durch unabhängige Auditoren geprüft.
  • 100 % deutsches Unternehmen – Kein US-Mutterkonzern, kein CLOUD-Act-Zugriff. Hetzner unterliegt ausschließlich deutschem und europäischem Recht.
  • Georedundante Rechenzentren in Deutschland – Ihre Daten verlassen nie die EU.
  • Eigene Hardware – Hetzner betreibt eigene Server und Netzwerkinfrastruktur. Keine Abhängigkeit von US-Hyperscalern.

Österreichisches Unternehmen, europäische Werte

scryp ist ein österreichisches Unternehmen. Unser gesamtes Team, unsere Geschäftsführung und unsere Rechtsstruktur befinden sich in der EU. Das bedeutet:

  • Wir unterliegen ausschließlich europäischem Recht – DSGVO, DSG (Österreich), kein CLOUD Act.
  • Kein US-Mutterkonzern kann zur Datenherausgabe gezwungen werden.
  • Unsere Datenschutzerklärung folgt österreichischem und europäischem Recht – nicht den Datenschutzgesetzen von Kalifornien oder Delaware.

Verschlüsselung als zusätzliche Absicherung

Der Serverstandort allein reicht nicht. Auch auf EU-Servern können Daten kompromittiert werden – durch Hackerangriffe, Insider-Zugriff oder technische Fehler. Deshalb kombiniert scryp den EU-Standort mit clientseitiger Verschlüsselung:

  • Audio wird im Browser verschlüsselt, bevor es den Server erreicht.
  • Transkripte werden verschlüsselt gespeichert– der Server sieht nie den Klartext.
  • Selbst bei einem Datenleck wären die Daten ohne den persönlichen Schlüssel des Nutzers wertlos.

Das ist der entscheidende Unterschied zu Diensten, die zwar „AES-256 at rest“ bewerben, aber den Klartext auf dem Server verarbeiten und dort potenziell einsehen können.

Checkliste: Datensouveränität bei Transkriptionsdiensten

  • Wo hat das Unternehmen seinen Sitz? (EU vs. USA)
  • Wer betreibt die Server? (EU-Hoster vs. US-Hyperscaler)
  • Ist das Rechenzentrum ISO 27001 zertifiziert?
  • Unterliegt der Anbieter dem US CLOUD Act?
  • Werden Daten clientseitig oder nur serverseitig verschlüsselt?
  • Werden Original-Aufnahmen nach der Verarbeitung gelöscht?
  • Gibt es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO?

Fazit

Der Standort der Datenverarbeitung ist kein Marketingdetail – er entscheidet darüber, welchem Rechtssystem Ihre Daten unterliegen. Für europäische Unternehmen ist die Kombination aus EU-Sitz des Anbieters, EU-Rechenzentrum mit ISO-27001-Zertifizierung und clientseitiger Verschlüsselung der sicherste Weg, Audio-Daten datenschutzkonform zu verarbeiten. Wer diesen Schutz nicht bietet, verlagert das Risiko auf Sie.