Diktiersoftware und DSGVO: worauf es wirklich ankommt
Cloud-Diktat schickt vertrauliche Aufnahmen auf fremde Server. Was das für Kanzleien und Praxen bedeutet, was § 203 StGB verlangt und wann lokal besser ist.
Kurz gesagt
Beim Cloud-Diktat verlässt die Aufnahme, und damit ein fremdes Geheimnis, unbemerkt den eigenen Rechner. Für Berufsgeheimnisträger gelten zwei Ebenen zugleich: die DSGVO und § 203 StGB. Cloud ist nicht verboten, aber eine Entscheidung mit Verantwortung. Lokales Diktat, das den Rechner nie verlässt, umgeht das Risiko am einfachsten.
Eine Anwältin diktiert den Schriftsatz zu einem laufenden Verfahren. Ein Arzt spricht einen Befund ins Mikrofon. Ein Steuerberater fasst ein Mandantengespräch zusammen. In allen drei Fällen steckt in der gesprochenen Sprache genau das, was das Gesetz besonders schützt: ein fremdes Geheimnis. Und in vielen Diktier-Apps verlässt genau dieses Geheimnis unbemerkt den eigenen Rechner, bevor auch nur ein Wort auf Papier steht. Das ist kein Grund für Panik. Aber es ist ein guter Grund, einmal genau hinzusehen, wohin die eigene Stimme eigentlich geht.
Wohin Ihre Stimme beim Cloud-Diktat wirklich geht
Der Ablauf beim Cloud-Diktat ist bequem und deshalb unauffällig: Sie sprechen, die App nimmt auf, schickt die Aufnahme an den Server des Anbieters, dort wird sie in Text umgewandelt, immer öfter von einem KI-Modell, und der fertige Text kommt zurück. Funktioniert auf jedem Gerät, ohne Einrichtung, ohne Nachdenken. Genau das Nicht-Nachdenken ist der Punkt.
Denn mit der Aufnahme reisen zwei Dinge, die Sie im Blick haben sollten. Erstens der Inhalt, also das anvertraute Geheimnis selbst. Zweitens die Sprachaufnahme, die für sich schon ein personenbezogenes Datum ist. Bei einem Arzt kommt eine dritte Ebene dazu: Der gesprochene Befund ist ein Gesundheitsdatum und fällt damit unter die besonderen Kategorien nach Artikel 9 DSGVO, also unter die höchste Schutzstufe, die die Verordnung kennt.
Der unsichtbarste Datenfluss ist immer der, den man nicht kontrolliert. Für einen Berufsgeheimnisträger ist das keine akademische Feinheit. Es ist die Kernfrage.
§ 203 StGB: das Geheimnis, das viele vergessen
Datenschutz ist die eine Ebene. Für Anwälte, Ärzte, Steuerberater, Psychotherapeuten und andere schweigepflichtige Berufe gibt es eine zweite, ältere und schärfere: § 203 StGB, die Verletzung von Privatgeheimnissen. Wer ein anvertrautes Geheimnis unbefugt offenbart, macht sich strafbar, bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Ein Cloud-Anbieter, der die Aufnahme verarbeitet, bekommt dieses Geheimnis technisch zu Gesicht.
Und jetzt gegen die Panik: Seit der Reform des § 203 im Jahr 2017 ist das Einbinden externer IT- und Cloud-Dienstleister nicht automatisch strafbar. Der Gesetzgeber hat anerkannt, dass eine Kanzlei oder eine Praxis heute ohne fremde IT gar nicht mehr arbeiten kann. Erlaubt ist die Mitwirkung Dritter aber nur unter Bedingungen: Der Dienstleister muss zur Geheimhaltung verpflichtet werden, die Einbindung muss für die Tätigkeit erforderlich sein, und die Auswahl muss sorgfältig geschehen. Ein weggeklickter Haken bei den AGB einer Gratis-App erfüllt keine dieser drei Bedingungen.
Die DSGVO fragt: Darf ich diese Daten überhaupt verarbeiten? § 203 fragt zusätzlich: Darf dieser Dritte dieses Geheimnis überhaupt sehen? Zwei Fragen, zwei Antworten, und beide müssen ja lauten.
Das ist eine Einordnung aus der Auditor-Praxis, keine Rechtsberatung. Für den konkreten Einzelfall gehört ein Fachanwalt an den Tisch. Aber die Prüf-Logik ist in jeder Kanzlei und jeder Praxis dieselbe, und man muss kein Jurist sein, um sie anzulegen.
Cloud ist nicht verboten. Aber es ist eine Entscheidung.
Nichts davon heißt, Cloud-Diktat sei illegal. Mit einem sauberen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO, mit Servern in der EU, einer klaren Löschregel und einem Anbieter, der sich zur Verschwiegenheit verpflichtet, kann Cloud-Diktat zulässig sein. Der Punkt ist ein anderer: Sie treffen damit eine Entscheidung, und Sie tragen sie. Nicht der Anbieter steht am Ende auf dem Briefkopf, sondern Sie.
Wackelig wird der Boden, sobald die Daten ein Drittland erreichen. Viele Dienste verarbeiten oder hosten in den USA oder ziehen dortige Subunternehmer hinzu. Ein solcher Transfer braucht eine eigene Rechtsgrundlage, etwa einen Angemessenheitsbeschluss oder Standardvertragsklauseln, und dieser Boden hat sich in den letzten Jahren mehr als einmal verschoben. Wer sein Berufsgeheimnis auf eine politische Vereinbarung stützt, die im nächsten Verfahren kassiert werden kann, baut auf Sand.
Und wenn das Werkzeug nicht nur mitschreibt, sondern zusammenfasst, gliedert oder Formulierungen vorschlägt, kommt eine weitere Ebene dazu: Der EU AI Act verlangt für bestimmte KI-erzeugte Ausgaben Transparenz (Artikel 50). Für das reine Diktat ist das selten der Knackpunkt, aber es gehört auf die Liste, sobald aus Spracherkennung eine Textproduktion wird.
Die Fragen, die Sie jedem Anbieter stellen sollten
Sie müssen weder Jurist noch Informatiker sein, um einen Diktier-Anbieter einzuordnen. Sie müssen nur die richtigen Fragen stellen und sich die Antworten schriftlich geben lassen. Wer schriftlich antwortet, hat nachgedacht. Wer ausweicht, hat die Antwort schon gegeben.
- Wo genau wird meine Aufnahme verarbeitet und gespeichert, in welchem Land und auf wessen Servern?
- Gibt es einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO, und wer sind die Subunternehmer?
- Verlassen die Daten die EU, und worauf stützt sich dieser Transfer rechtlich?
- Wird meine Aufnahme oder mein Transkript zum Training von Modellen oder zur Produktverbesserung weiterverwendet?
- Wann und wie werden Aufnahme und Transkript gelöscht, und lässt sich das nachweisen?
- Verpflichtet sich der Anbieter vertraglich zur Verschwiegenheit im Sinne von § 203 StGB?
- Gibt es die Möglichkeit, alles lokal zu verarbeiten, ganz ohne Server?
Diese sieben Fragen sind kein Misstrauensvotum. Sie sind das Mindeste, was jemand beantworten können sollte, dem Sie tagtäglich fremde Geheimnisse anvertrauen.
Der ruhigste Weg: was den Rechner nie verlässt
Es gibt eine Abkürzung durch diese ganze Prüfliste, und sie ist erstaunlich unspektakulär: lokal diktieren. Moderne Spracherkennung läuft heute vollständig auf einem normalen Büro-Rechner, ohne Cloud, ohne Konto, ohne dass eine einzige Silbe das Gerät verlässt. Was nie rausgeht, muss ich nicht absichern. Nicht per Vertrag, nicht per Transfer-Grundlage, nicht gegen den nächsten kassierten Angemessenheitsbeschluss. Das Berufsgeheimnis bleibt da, wo es hingehört.
Lokal hat einen Preis: Sie brauchen einen halbwegs aktuellen Rechner, und ein paar Komfortfunktionen aus der Cloud fehlen. Für die meisten Kanzleien, Praxen und Steuerbüros ist das ein guter Tausch. Datenhoheit gegen ein bisschen Bequemlichkeit. Erst die Hoheit über das Geheimnis, dann der Komfort.
Wie lokales Diktat in der Praxis aussieht, können Sie selbst ausprobieren: VoiceWall ist ein kostenloses Open-Source-Diktiertool, dessen Spracherkennung zu 100 Prozent auf Ihrem Rechner läuft. Keine Cloud, kein Konto, keine Telemetrie, Ihre Diktate bleiben als Dateien bei Ihnen.
VoiceWall ansehenDie ehrliche Schlusszeile
Cloud oder lokal ist keine Glaubensfrage. Es ist eine Abwägung, die Sie bewusst treffen und im Zweifel belegen können sollten. Bequemlichkeit ist ein legitimes Argument, aber sie ist nie das einzige. Wer ein fremdes Geheimnis verwaltet, sollte jederzeit sagen können, wo es gerade liegt. Wenn die Antwort auf diese eine Frage ein Achselzucken ist, haben Sie Ihr Werkzeug noch nicht verstanden.
Primärquellen
Häufige Fragen
Ist Cloud-Diktat für Anwälte und Ärzte verboten?+
Nein, nicht grundsätzlich. Mit einem Auftragsverarbeitungsvertrag, Servern in der EU, klaren Löschregeln und einer vertraglichen Verschwiegenheitsverpflichtung kann Cloud-Diktat zulässig sein. Es gelten aber zwei Ebenen gleichzeitig: die DSGVO und § 203 StGB. Und die Verantwortung für die Entscheidung bleibt bei der Kanzlei oder Praxis, nicht beim Anbieter.
Was hat § 203 StGB mit Diktiersoftware zu tun?+
§ 203 StGB schützt anvertraute Geheimnisse von Berufsgeheimnisträgern. Ein Cloud-Anbieter, der die Aufnahme verarbeitet, sieht dieses Geheimnis. Seit der Reform 2017 ist das Einbinden externer IT-Dienstleister nicht automatisch strafbar, aber nur, wenn der Dienstleister zur Geheimhaltung verpflichtet wird, die Einbindung erforderlich ist und die Auswahl sorgfältig erfolgt.
Sind Sprachaufnahmen personenbezogene Daten?+
Ja. Sowohl der gesprochene Inhalt als auch die Stimme selbst sind personenbezogen. Bei Ärzten und Psychotherapeuten kommt hinzu, dass der Inhalt ein Gesundheitsdatum ist und damit unter die besonderen Kategorien nach Artikel 9 DSGVO fällt, also unter die höchste Schutzstufe.
Was ist der einfachste Weg, das Datenschutzrisiko zu vermeiden?+
Lokal diktieren. Wenn die Spracherkennung vollständig auf dem eigenen Rechner läuft, verlässt keine Aufnahme das Gerät. Dann braucht es keinen Drittland-Transfer, keine Transfer-Grundlage und keinen Vertrag über Daten, die nie herausgehen.
Reicht ein Auftragsverarbeitungsvertrag mit dem Anbieter?+
Der AVV nach Artikel 28 DSGVO ist notwendig, aber für Berufsgeheimnisträger nicht ausreichend. Zusätzlich müssen der Drittland-Transfer geklärt und eine Verschwiegenheitsverpflichtung im Sinne von § 203 StGB vereinbart sein. Datenschutz und Berufsgeheimnis sind zwei getrennte Prüfungen.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & Senior Lead Implementer · ISO/IEC 27001 Lead Auditor & Lead Implementer (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Autor von „Stallgeruch“. Qualifikation auf Credly verifizieren · Mehr über mich.
Stand: 07. Juli 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.