DSGVO-konform transkribieren: Einwilligung, Teams-Aufnahmen und lokale Verarbeitung
Wer ein Meeting oder ein Interview einem Transkriptions-Tool anvertraut, übergibt personenbezogene Daten — Stimmen, Namen, manchmal sensible Inhalte — an einen externen Dienstleister. Aus DSGVO-Sicht ist das kein Detail: Der Anbieter wird zum Auftragsverarbeiter, deine Organisation bleibt Verantwortlicher. DSGVO-konform transkribieren heißt deshalb vor allem zweierlei: erstens das Tool sauber bewerten (AVV, Datenresidenz, Drittlandübermittlung, Löschung), zweitens die Aufnahme rechtmäßig erheben (Einwilligung der Beteiligten). Dieser Leitfaden ist eine Bewertungs-Checkliste für jedes Tool — und am Ende ordne ich Subanana ehrlich ein, inklusive dessen, was es nicht leistet.
Offenlegung: Ich betreibe Subanana, ein KI-Transkriptions-Tool. Ich behaupte deshalb nicht, dass es jede Box abhakt — ich gebe dir das Raster und zeige, wo Subanana steht, ehrlich, auch beim Hosting.
Wer ist Verantwortlicher, wer ist Auftragsverarbeiter?
Das ist der juristische Ausgangspunkt. Sobald du eine Aufzeichnung in ein Cloud-Tool gibst, verarbeitet ein Dritter in deinem Auftrag personenbezogene Daten. Damit gilt: Du (die Organisation, die das Meeting oder Interview aufnimmt) bist Verantwortlicher; der Tool-Anbieter ist Auftragsverarbeiter. Genau diese Konstellation regelt Art. 28 DSGVO — und sie verlangt einen Vertrag.
Die Rechtsgrundlage für die Verarbeitung selbst steckt in Art. 6 Abs. 1 DSGVO: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist" (Art. 6 DSGVO). Bei Aufnahmen von Gesprächen ist die praktisch wichtigste Bedingung die Einwilligung der betroffenen Person (lit. a) — dazu unten mehr. Auf berechtigte Interessen (lit. f) lässt sich eine Gesprächsaufzeichnung nur in engen Grenzen stützen.
Was muss ein DSGVO-Auftragsverarbeitungsvertrag (AVV) regeln?
Der AVV (Auftragsverarbeitungsvertrag, englisch Data Processing Agreement) ist die vertragliche Grundlage, die Art. 28 DSGVO für jeden externen Auftragsverarbeiter vorschreibt. Ohne ihn ist der Einsatz eines externen Transkriptions-Tools schlicht nicht konform. Deshalb ist er das erste Dokument, das du verlangst.
Art. 28 verlangt einen Vertrag, der „in writing, including in electronic form" geschlossen ist und unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegt (Art. 28 DSGVO). Außerdem muss er den Auftragsverarbeiter verpflichten, die Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 DSGVO). Kann ein Anbieter keinen AVV vorlegen, ist das ein Warnsignal für seine Datenschutz-Reife.
Welche DSGVO-Checkliste gilt für ein Transkriptions-Tool?
Diese Punkte prüfst du der Reihe nach — bei jedem Tool, egal welcher Anbieter. Sie ergeben sich direkt aus den Pflichten des Auftragsverarbeiters nach Art. 28 und den Übermittlungsregeln nach Art. 44 DSGVO.
| # | Prüfpunkt | Worauf du achtest | Grundlage |
|---|---|---|---|
| 1 | AVV unterschrieben | Verfügbar und unterzeichnet vor Verarbeitungsbeginn; klärt, wer Verantwortlicher und wer Auftragsverarbeiter ist | Art. 28 DSGVO |
| 2 | Datenresidenz | Wo liegen Dateien und Transkripte physisch? Ausschließlich EU/EWR, oder auch außerhalb? | Art. 28 / Art. 44 |
| 3 | Drittlandübermittlung | Verlassen Daten die EU, braucht es eine Grundlage — etwa Standardvertragsklauseln (SCC) | Art. 44 DSGVO |
| 4 | Verschlüsselung & Zugriff | Verschlüsselung bei Übertragung und Speicherung; dokumentierte Zugriffskontrolle (Art. 32) | Art. 28 / 32 |
| 5 | Speicherdauer & Löschung | Wie lange wird gespeichert? Wie laufen Löschanträge? Am Ende muss der Anbieter Daten „delete or return" | Art. 28 DSGVO |
| 6 | Weitere Auftragsverarbeiter | Nutzt der Anbieter Subunternehmer (Hosting, KI-Modelle)? Erlaubt nur „with prior … written authorisation" | Art. 28 DSGVO |
| 7 | Protokolle & Meldewege | Lässt sich nachvollziehen, wer wann zugriff? Gibt es einen dokumentierten Prozess für Datenpannen? | Art. 28 / 33 |
Zu Punkt 5 und 6 ist die Rechtslage eindeutig: Der Auftragsverarbeiter muss nach Ende der Leistung „delete or return all the personal data to the controller … and deletes existing copies" und darf einen weiteren Auftragsverarbeiter nicht „without prior specific or general written authorisation of the controller" einsetzen (Art. 28 DSGVO). Zu Punkt 3: Jede Übermittlung in ein Drittland ist nur zulässig, wenn „the conditions laid down in this Chapter are complied with … including for onward transfers" (Art. 44 DSGVO) — eine SCC-Konstruktion ohne ergänzende Prüfung reicht seit „Schrems II" nicht automatisch aus.
Dieses Raster gilt für alle Tools. Wenden wir es gleich auf Subanana an, ohne Schönfärberei.
Brauche ich für die Aufnahme die Einwilligung der Teilnehmer?
In aller Regel ja — und das ist unabhängig vom Tool. Sobald ein Gespräch aufgezeichnet wird, ist die saubere Rechtsgrundlage die Einwilligung der Beteiligten nach Art. 6 Abs. 1 lit. a DSGVO. Die Datenschutzkonferenz (DSK), das Gremium der deutschen Aufsichtsbehörden, ist hier streng: Die Einwilligung muss vor der Aufzeichnung „in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt", und es genügt nicht, wenn „den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann" (datenschutzticker.de zur DSK-Linie). Mit anderen Worten: ein aktives Opt-in, kein stilles Weiterreden. Und: „Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können" (datenschutzticker.de) — du brauchst also einen dokumentierten Nachweis.
Für Video-Meetings gilt sinngemäß dasselbe. Die DSK-Orientierungshilfe Videokonferenzsysteme (Stand 23.10.2020) hält fest, dass für den Einsatz eines externen Dienstes „ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden" muss und dass Aufzeichnungen der Konferenz eine eigene Rechtsgrundlage brauchen — „sofern möglich" sollten sie technisch sogar unterbunden werden, und wenn sie zulässig sind, müssen Teilnehmer vorab informiert werden (dr-datenschutz.de zur DSK-Orientierungshilfe). Praktische Konsequenz für die Transkription: Die native Live-Transkription in Teams oder Meet braucht denselben Einwilligungs- und Informationsrahmen wie eine Aufzeichnung — ein Transkript ist eine Verarbeitung des Gesprochenen.
Kurz-Checkliste Einwilligung bei Aufnahmen:
- Vorab informieren und einwilligen lassen — nicht erst während des Gesprächs.
- Aktives Opt-in einholen (gesprochenes „Ja", Klick, Häkchen) statt bloßer Widerspruchsmöglichkeit.
- Zweck nennen (z. B. „zur Protokollerstellung") und die Einwilligung dokumentieren.
- Widerruf ermöglichen und so einfach machen wie die Erteilung.
- Bei Beschäftigten auf Freiwilligkeit achten — im Arbeitsverhältnis ist Einwilligung heikel.
Subanana und die DSGVO: die ehrliche Einordnung
Statt Häkchen pro forma zu setzen, hier die reale Lage.
Hosting. Subananas Standard-Cloud läuft auf AWS in der Region Singapur — also nicht in Deutschland und nicht in der EU. Wenn deine Anforderung eine strenge Datenresidenz in der EU für den geteilten Cloud-Dienst ist, musst du das von vornherein wissen: Das ist nicht die Standardkonfiguration. Ich sage das lieber klar, als das Gegenteil anzudeuten. In der Sprache der Checkliste oben heißt das: Punkt 2 (Datenresidenz) und Punkt 3 (Drittlandübermittlung, Art. 44) sind die Punkte, die du für den Cloud-Dienst bewusst entscheiden musst.
Speicherung und Löschung. Subanana hat derzeit keine formale Richtlinie zur automatischen Löschung: Hochgeladene Inhalte bleiben gespeichert, ohne programmierte Bereinigung oder Ablauffrist. Die Löschung ist auf Anfrage möglich. Die ehrliche Formulierung lautet also „deine Inhalte bleiben dort, wo du sie ablegst" — nicht „sie werden zu deinem Schutz automatisch gelöscht". Für Verarbeitungen mit personenbezogenen Daten heißt das: Die Löschung am Ende deiner Nutzung musst du selbst anstoßen.
Die Option, die den Unterschied macht: lokale Verarbeitung vor Ort. Für Organisationen, deren Vorgabe lautet „die Transkription darf unsere Umgebung nicht verlassen", bietet Subanana eine On-Premises-Bereitstellung an: eine eigenständige Installation, die auf einem Gerät in der Umgebung des Kunden läuft. Audio und Verarbeitung bleiben innerhalb des Kundennetzes — es fließt kein Audio in Subananas Cloud. Diese Option richtet sich an Organisationen mit zugleich Budget und strengen Compliance-Anforderungen (Finanzwesen, Gesundheit, öffentlicher Sektor, Recht). Die Preisgestaltung ist projektbasiert und von den Standard-Abos getrennt; der Weg führt ausschließlich über die Kontaktseite, nicht über eine Selbstbedienungs-Anmeldung.
Was bedeutet das für die Tool-Auswahl?
DSGVO-Konformität bei der Transkription entscheidet sich nicht an einem „konform"-Logo auf einer Startseite. Sie wird geprüft — und sie hat zwei Ebenen: das Tool (AVV, Datenresidenz, Drittland, Löschung, Subunternehmer) und die Erhebung (Einwilligung der Beteiligten). Daraus folgt eine einfache Weiche:
- Cloud-Nutzung mit wenig sensiblen Daten: Wende die Checkliste an, fordere den AVV, kläre Datenresidenz und Drittlandübermittlung — und entscheide informiert. Ein Tool wie Subanana kann hier passen, solange du die Hosting-Region und die Löschung bewusst einordnest.
- Sensible Daten oder strenge regulatorische Vorgabe: Ziele auf eine Lösung, bei der die Daten deine Umgebung nicht verlassen. Genau das leistet die On-Premises-Variante — oder, am anderen Ende des Spektrums, ein rein lokales Open-Source-Werkzeug wie das auf Whisper basierende noScribe, das vollständig offline auf dem eigenen Rechner läuft und ohne Cloud-AVV auskommt (dafür ohne Team-Funktionen, Support oder Skalierung).
Die Bewertung selbst — Modell-Routing, mehrsprachige Meetings, Protokoll-Vorlagen — beschreibt unser Leitfaden KI-Protokoll schreiben; die Genauigkeitsfrage behandelt KI-Transkription: wie genau ist sie?. Den Produktumfang zeigen die Seiten KI-Meeting-Transkription und Preise.
Fällt dein Bedarf in den zweiten Fall, ist der direkteste Weg ein Gespräch: Schildere deinen Compliance-Kontext über die Kontaktseite. Standard-Cloud testen kannst du jederzeit selbst.
Häufige Fragen
Ist eine Cloud-Transkription grundsätzlich DSGVO-konform?
Nicht automatisch. Sie kann konform sein, wenn ein AVV nach Art. 28 DSGVO vorliegt, die Datenresidenz geklärt ist, eine etwaige Drittlandübermittlung nach Art. 44 abgesichert ist (z. B. SCC) und die Aufnahme auf einer Rechtsgrundlage — meist Einwilligung — beruht. Ohne diese Bausteine ist sie es nicht.
Brauche ich immer die Einwilligung aller Teilnehmer?
Für Aufzeichnungen von Gesprächen ist die Einwilligung der praktische Regelfall, und sie muss ein aktives Opt-in vor der Aufnahme sein — eine bloße Widerspruchsmöglichkeit reicht nach DSK-Linie nicht aus (datenschutzticker.de). Den Nachweis der Einwilligung musst du führen können.
Wo werden meine Daten bei Subanana gespeichert?
In Subananas Standard-Cloud auf AWS in Singapur — also außerhalb der EU. Wer eine EU-Datenresidenz oder eine Verarbeitung im eigenen Haus braucht, sollte die On-Premises-Option über die Kontaktseite prüfen, bei der die Daten die eigene Umgebung nicht verlassen.
Löscht Subanana meine Aufnahmen automatisch nach einer Frist?
Nein. Es gibt derzeit keine automatische Löschfrist; Inhalte bleiben gespeichert, bis du eine Löschung auf Anfrage veranlasst. Plane diesen Schritt am Ende deiner Nutzung selbst ein.
Ist die Live-Transkription in Teams oder Meet datenschutzrechtlich „harmloser" als eine Aufnahme?
Nein. Ein Transkript ist eine Verarbeitung des Gesprochenen und braucht denselben Rahmen — Information vorab, Rechtsgrundlage, und für den externen Dienst einen AVV nach Art. 28 (dr-datenschutz.de zur DSK-Orientierungshilfe).
Zusammengefasst: DSGVO-konform transkribieren heißt, das Tool entlang einer klaren Checkliste zu bewerten — AVV (Art. 28), Datenresidenz, Drittlandübermittlung (Art. 44), Verschlüsselung, Löschung, Subunternehmer — und die Aufnahme rechtmäßig zu erheben, in der Regel über eine dokumentierte Einwilligung. Subananas Standard-Cloud liegt in Singapur und löscht nicht automatisch; wer die Daten im eigenen Haus halten muss, nutzt die lokale Verarbeitung vor Ort über die Kontaktseite.