Spracherkennung und DSGVO: Wohin gehen Ihre Daten?

Q: Genügen Server in Europa, um außerhalb der Reichweite der US-Behörden zu sein?

Nein. Der US-amerikanische Cloud Act erlaubt es, einen dem US-Recht unterliegenden Anbieter zu zwingen, die von ihm kontrollierten Daten herauszugeben, ganz gleich, wo sie gespeichert sind, auch in einem Rechenzentrum in der Europäischen Union. Entscheidend ist also nicht nur, wo die Server stehen, sondern welcher Rechtsordnung das Unternehmen untersteht, das sie betreibt.

Q: Wo verarbeitet Fast Dictate meine Daten?

Keine Speicherung der Daten in allen Tarifen: Ihr Audio wird transkribiert und sofort gelöscht und niemals zum Training von Modellen wiederverwendet. Der Pro-Tarif verarbeitet Ihre Daten ausschließlich in Frankreich, auf ISO-27001-zertifizierten Servern, außerhalb der Reichweite des US-amerikanischen Cloud Act, mit einem erweiterten DSGVO-Auftragsverarbeitungsvertrag. Die Tarife Free und Standard laufen auf einer schnellen internationalen Infrastruktur.

Wenn Sie eine E-Mail, ein Protokoll oder einen juristischen Schriftsatz diktieren, sprechen Sie oft vertrauliche Informationen laut aus: Namen, Beträge, Details aus einer Akte. Die Frage ist nicht nur „Stimmt die Transkription?", sondern „Wohin geht meine Stimme, und wer hat Zugriff darauf?". Genau das regelt die DSGVO. Dieser Leitfaden erklärt, was die Verordnung von einer Diktiersoftware wirklich verlangt, warum der Serverstandort allein nicht genügt und woran Sie eine konforme, souveräne Lösung erkennen.

Ihre Stimme ist ein personenbezogenes Datum

Erster, oft missverstandener Punkt: Eine Sprachaufnahme ist ein personenbezogenes Datum im Sinne der DSGVO, sobald sie es ermöglicht, eine Person direkt oder indirekt zu identifizieren. Die Stimme selbst, ein ausgesprochener Name, eine laut genannte Kundennummer: All das fällt unter die Verordnung. Die DSGVO gilt also für das Sprachdiktat, sobald ein Mensch spricht.

Heißt das, es handelt sich automatisch um „sensible" Daten? Nicht zwangsläufig, und die Unterscheidung ist wichtig. Laut der CNIL wird die Stimme erst dann zu einem biometrischen Datum (besondere Kategorie, geregelt in Artikel 9 DSGVO), wenn ein System sie nutzt, um eine sprechende Person anhand ihrer Stimmmerkmale zu erkennen oder zu authentifizieren. Eine Diktiersoftware tut das nicht: Sie wandelt Sprache in Text um, sie identifiziert niemanden anhand der Stimme. Die praktische Folge:

Das Audio ist ein personenbezogenes, aber kein biometrisches Datum, denn es findet keine Stimmidentifikation statt.
Der diktierte Inhalt dagegen ist alles andere als harmlos: eine erwähnte Patientenakte, Bankdaten, der Name einer Mandantin und die Art ihres Rechtsstreits. Genau hier liegt das eigentliche Risiko.

Anders gesagt: Die Gefahr besteht nicht darin, dass Ihre Stimmfarbe zu Ihrer Identifikation dient, sondern darin, dass das, was Sie diktieren, gespeichert, weiterverwendet oder für Dritte zugänglich wird. Deshalb ist es so wichtig, genau zu wissen, was die Software mit Ihrem Audio macht.

Was die DSGVO konkret von einer Diktiersoftware verlangt

Die DSGVO erschöpft sich nicht in einem Einwilligungsbanner. Für einen Dienst, der Ihre Stimme transkribiert, zählen sechs Pflichten wirklich:

Ein klarer Zweck und eine klare Rechtsgrundlage. Ihre Daten dienen nur dazu, Ihre Transkription zu erstellen, zu nichts anderem.
Datenminimierung. Die Software darf nur das absolut Notwendige verarbeiten. Die CNIL empfiehlt in ihrem Weißbuch zu Sprachassistenten sogar, nur die unverzichtbaren Daten an die Server zu übertragen.
Speicherbegrenzung. Die DSGVO verbietet, Daten länger als nötig aufzubewahren. Beim Diktat ist die beste Lösung einfach: keine Speicherung, das Audio wird sofort nach der Transkription gelöscht.
Keine Weiterverwendung. Ihre Stimme und Ihre Texte dürfen nicht ohne Ihre Zustimmung zum Training von KI-Modellen genutzt werden.
Ein vertraglich gebundener Auftragsverarbeiter. Der Anbieter muss Ihnen einen Auftragsverarbeitungsvertrag (AVV, Artikel 28 DSGVO) anbieten, der seine Unterauftragsverarbeiter und deren Garantien auflistet.
Sicherheit und Regelung der Datenübermittlung. Verschlüsselung, ernsthafte technische Maßnahmen und vor allem ein strenger Rahmen, falls Daten die Europäische Union verlassen (Artikel 44 ff.).

Diese Kriterien sind überprüfbar. Ein seriöser Anbieter beantwortet jedes davon schriftlich. Gerade am letzten Punkt, der Übermittlung außerhalb der EU, scheitert es am häufigsten, und er wird am meisten missverstanden.

Das eigentliche Thema ist nicht der Server, sondern die Rechtsordnung

Die meisten Diktierprogramme für Endverbraucher stammen von US-Unternehmen, und Ihr Audio läuft über Server, die dem US-Recht unterliegen. Viele werben mit Rechenzentren in Europa, um zu beruhigen. Das genügt nicht, und hier ist der Grund.

Der Cloud Act, ein US-Gesetz von 2018, erlaubt es den US-Behörden, einen dem US-Recht unterliegenden Anbieter zu zwingen, die von ihm kontrollierten Daten herauszugeben, ganz gleich, wo sie gespeichert sind, auch in einem Rechenzentrum in der Europäischen Union. Solange ein Unternehmen US-amerikanisch ist oder von einer US-Muttergesellschaft kontrolliert wird, bleibt es im Anwendungsbereich des Cloud Act. Der Serverstandort ändert daran nichts: Entscheidend ist die rechtliche Staatsangehörigkeit des Unternehmens, das die Server betreibt.

Das ist keine theoretische Annahme. Im Juni 2025 räumte der Chefjustiziar von Microsoft France bei einer Anhörung vor dem französischen Senat unter Eid ein, nicht garantieren zu können, dass die vom Unternehmen gehosteten Daten französischer Bürger niemals ohne Zustimmung Frankreichs an US-Behörden übermittelt würden. Ein bedeutender Anbieter mit Rechenzentren in Europa gibt die Grenze also selbst zu. Für Berufe mit Verschwiegenheitspflicht ist das ein Signal, das außer Frage steht.

Das Wichtigste

„In Europa gehostete Daten" und „Daten außerhalb der Reichweite ausländischer Behörden" sind nicht dasselbe. Eine Software kann in Europa hosten und trotzdem dem Cloud Act unterliegen, wenn ihr Anbieter dem US-Recht untersteht.

Und was ist mit dem Data Privacy Framework?

Um personenbezogene Daten rechtmäßig in die USA zu übermitteln, stützen sich US-Anbieter in der Regel auf das Data Privacy Framework (DPF), einen Angemessenheitsbeschluss, den die Europäische Kommission am 10. Juli 2023 angenommen hat. Ein US-Unternehmen zertifiziert sich selbst und darf dann ohne weitere Formalität Daten aus der EU empfangen. Auf dem Papier ist die Übermittlung damit rechtmäßig.

Zwei Vorbehalte allerdings, die jeder Berufstätige kennen sollte:

Dieser Rahmen ist juristisch fragil. Es ist der dritte seiner Art. Die beiden Vorgänger, Safe Harbor und danach das Privacy Shield, wurden vom Gerichtshof der Europäischen Union für ungültig erklärt (Urteile Schrems I 2015 und Schrems II 2020), weil die US-Überwachung die Europäer nicht ausreichend schützte. Das DPF hat eine erste Klage überstanden (vom Gericht der EU im September 2025 abgewiesen), doch gegen diese Entscheidung läuft seit Ende Oktober 2025 ein Rechtsmittel vor dem EuGH. Seine Vertraulichkeit auf einen bereits zweimal gekippten Rahmen zu bauen, ist ein Wagnis.
Das DPF neutralisiert den Cloud Act nicht. Das sind zwei verschiedene Dinge: Das DPF macht die kommerzielle Übermittlung rechtmäßig, der Cloud Act betrifft den Zugriff der US-Behörden. Eine Software kann einwandfrei DPF-zertifiziert sein und dennoch durch eine US-Anordnung zwingbar bleiben. Die Rechtmäßigkeit der Übermittlung schützt Sie nicht vor dem Zugriff.

Die einzige Möglichkeit, dieses Risiko auszuschließen, besteht nicht darin, die Übermittlung in die USA besser zu regeln, sondern darin, überhaupt nicht vom US-Recht abzuhängen.

Berufe mit Verschwiegenheitspflicht: Rechtsanwälte, Notare, Steuerberater

Für Rechtsanwälte, Notare oder Steuerberater kommt zur DSGVO eine noch strengere Pflicht hinzu: das Berufsgeheimnis. Den Namen einer Mandantin und die Art ihrer Akte in eine Software zu diktieren, die zur Herausgabe dieser Daten gezwungen werden könnte, bedeutet, eine durch die Verschwiegenheitspflicht geschützte Information offenzulegen.

In Deutschland ist diese Verschwiegenheit strafrechtlich bewehrt: § 203 StGB stellt die Verletzung von Privatgeheimnissen durch Angehörige dieser Berufe unter Strafe. Der Grundsatz bleibt derselbe: Der Einsatz von KI-Werkzeugen rechtfertigt niemals eine Aufhebung des Berufsgeheimnisses, und durch das Geheimnis geschützte Daten gehören niemals in eine generische Verbraucher-KI. Lösungen, die in der Europäischen Union gehostet werden und Anfragen nicht zum Training ihrer Modelle wiederverwenden, weisen dabei ein deutlich geringeres Risikoprofil auf als Werkzeuge für den breiten Markt.

Genau dieses Kriterium gilt es an eine Diktiersoftware anzulegen: Verarbeitung in der EU, keine Speicherung, keine Weiterverwendung und ein Anbieter, der keiner extraterritorialen Gesetzgebung untersteht. Wir vertiefen diesen Punkt für Kanzleien in unserem Leitfaden zum Sprachdiktat für Anwälte und Juristen.

5 Fragen, die Sie vor der Wahl einer Diktiersoftware stellen sollten

Eine einfache Entscheidungshilfe: Stellen Sie jedem Anbieter diese fünf Fragen. Die Antworten müssen klar und schriftlich sein.

Speichern Sie mein Audio und meine Transkriptionen? Die richtige Antwort lautet: nein, sofortige Löschung nach der Transkription.
Werden meine Daten zum Training Ihrer Modelle genutzt? Die richtige Antwort lautet: nein.
Wo und durch welches Unternehmen werden meine Daten verarbeitet? Achten Sie auf eine Verarbeitung in der EU durch ein europäisches Unternehmen, nicht nur auf ein „Rechenzentrum in Europa".
Unterliegen Sie dem Cloud Act oder einem anderen extraterritorialen Gesetz? Ein europäischer Anbieter, der nicht zu einer US-Muttergesellschaft gehört, kann mit Nein antworten.
Bieten Sie einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO an? Für die berufliche Nutzung unverzichtbar.

Die strengste Option: 100 % lokal

Seien wir ehrlich: Wenn Sie die absolute Garantie wollen, dass Ihre Stimme Ihren Computer nie verlässt, ist die schützendste Lösung nicht die Cloud, sondern die 100 % lokale Verarbeitung. Nichts geht online: Weder DSGVO noch Cloud Act kommen überhaupt ins Spiel, da keine Daten an Dritte übermittelt werden. Open-Source-Werkzeuge wie Handy (kostenlos, unter freier Lizenz, für Windows, macOS und Linux) führen die Transkription direkt auf Ihrer Maschine aus, ganz ohne Übertragung an einen Server.

Der Preis dafür ist real, und wir beleuchten ihn in unserem Vergleich lokales vs. Cloud-Sprachdiktat: 100 % lokal beschränkt sich meist auf eine Rohtranskription, ohne KI-Bereinigung und KI-Formatierung, und verlangt eine recht leistungsfähige Maschine. Für viele Berufstätige geht es deshalb darum, den Komfort der Cloud zurückzugewinnen, also sauberen Text in jeder Anwendung und auf jedem Computer, ohne auf Souveränität zu verzichten. Genau das ist das Ziel von Fast Dictate.

Der Ansatz von Fast Dictate

Fast Dictate ist eine europäische Alternative, die auf diese Fragen ohne Umwege antwortet:

Keine Speicherung der Daten in allen Tarifen. Ihr Audio wird transkribiert und sofort gelöscht und niemals zum Training von Modellen wiederverwendet.
Pro-Tarif: Verarbeitung ausschließlich in Frankreich, auf ISO/IEC 27001-zertifizierten Servern, außerhalb der Reichweite des US-amerikanischen Cloud Act, mit einem erweiterten DSGVO-Auftragsverarbeitungsvertrag. Konzipiert für Rechtsanwälte, Notare und alle, die vertrauliche Akten bearbeiten.
Tarife Free und Standard: eine schnelle internationale Infrastruktur, weiterhin ohne Speicherung der Daten.
Funktioniert überall: Word, Gmail, Notion, Ihr Browser, jedes Textfeld, mit einem einzigen Kürzel auf Windows und Mac.
Kostenloser Tarif: 2.000 Wörter pro Woche, ohne Kreditkarte.

Vertraulichkeit sollte keine schlecht erklärte, kostenpflichtige Option sein.

In allen Tarifen wird nichts gespeichert. Und wenn die Arbeit vertraulich ist, hält der Pro-Tarif Ihre Daten in Frankreich, allein unter europäischem Recht. Sie behalten das Tempo der Cloud, ohne auf Souveränität zu verzichten. Die Details finden Sie auf unserer Seite Sicherheit und bei unseren Preisen.

Häufige Fragen

Ist Sprachdiktat DSGVO-konform?

Es kann es sein. Eine Sprachaufnahme ist ein personenbezogenes Datum, also gilt die DSGVO. Eine konforme Software beruht auf einem klaren Zweck, der Datenminimierung, einer begrenzten Speicherung (idealerweise keiner Speicherung), einem vertraglich über einen AVV gebundenen Auftragsverarbeiter, Sicherheitsmaßnahmen und einer strengen Regelung der Übermittlung außerhalb der EU. Die Konformität hängt vom Anbieter ab, nicht von der Technologie an sich.

Ist die Stimme ein sensibles Datum im Sinne der DSGVO?

Eine Sprachaufnahme ist immer ein personenbezogenes Datum. Sensibel (biometrisch) wird sie erst, wenn sie genutzt wird, um eine Person anhand ihrer Stimme zu erkennen oder zu authentifizieren. Eine Diktiersoftware transkribiert nur: Sie führt keine biometrische Identifikation durch. Der diktierte Inhalt dagegen kann hochvertraulich sein.

Genügen Server in Europa, um außerhalb der Reichweite der US-Behörden zu sein?

Nein. Der Cloud Act erlaubt es, einen dem US-Recht unterliegenden Anbieter zu zwingen, die von ihm kontrollierten Daten herauszugeben, ganz gleich, wo sie gespeichert sind, auch in einem Rechenzentrum in der EU. Entscheidend ist nicht nur, wo die Server stehen, sondern welcher Rechtsordnung das Unternehmen untersteht, das sie betreibt.

Wo verarbeitet Fast Dictate meine Daten?

Keine Speicherung in allen Tarifen: Das Audio wird transkribiert und sofort gelöscht, niemals zum Training wiederverwendet. Der Pro-Tarif verarbeitet Ihre Daten ausschließlich in Frankreich, auf ISO-27001-Servern, außerhalb der Reichweite des Cloud Act, mit einem erweiterten DSGVO-Auftragsverarbeitungsvertrag. Die Tarife Free und Standard laufen auf einer schnellen internationalen Infrastruktur.

Spracherkennung und DSGVO: Wohin gehen Ihre Daten wirklich?