Warum das Thema überhaupt Relevanz hat
Text-to-Speech verarbeitet Texte – und Texte enthalten oft personenbezogene Daten. Kundennamen in einer Warteschleife, Mitarbeitende in einem Schulungsmodul, Autoren in einer Artikel-Vertonung. Selbst wenn eine Anwendung auf den ersten Blick „nur Texte" verarbeitet: Sobald sie im B2B-Kontext läuft, greift die DSGVO.
Das ist kein abstraktes Risiko. In den vergangenen Jahren hat sich die Rechtsprechung verschärft (Schrems II), zugleich haben Aufsichtsbehörden konkretere Erwartungen formuliert (Orientierungshilfen zu Cloud-Nutzung, KI-Modellen, Auftragsverarbeitung). Für Unternehmen heißt das: Der interne Freigabeprozess für TTS-Dienste ist heute strenger als vor zwei Jahren.
Die sechs Punkte, die Entscheider prüfen
1. Auftragsverarbeitung nach Art. 28 DSGVO
Wenn ein TTS-Dienst Texte im Auftrag eines Unternehmens verarbeitet, liegt eine Auftragsverarbeitung vor. Dafür muss ein schriftlicher Vertrag existieren, der die Pflichten des Auftragsverarbeiters regelt (Art. 28 DSGVO). Ein AV-Vertrag ist nicht optional – ohne ihn ist die Verarbeitung rechtswidrig.
Prüfpunkt: Gibt es einen unterschriftsreifen AV-Vertrag? Ist er ohne Sonderbehandlung bestellbar oder nur über den Enterprise-Vertrieb?
2. Serverstandort & Drittland-Transfer
Seit Juli 2023 gibt es zwar mit dem EU-U.S. Data Privacy Framework (DPF) eine Angemessenheitsentscheidung für zertifizierte US-Unternehmen. Das heißt aber nicht, dass jede US-Übertragung automatisch unbedenklich ist. Viele Unternehmen entscheiden sich strategisch dafür, Drittland-Transfers zu vermeiden, wo es möglich ist – wegen des US-Cloud Acts, wegen politischer Unsicherheit, wegen interner Policies.
Prüfpunkt: Wo werden die Texte verarbeitet? Werden sie in ein Drittland übermittelt? Welche Subprocessors sind eingesetzt, und wo sitzen die?
3. Nutzung für KI-Training
Viele US-Dienste behalten sich in ihren Nutzungsbedingungen das Recht vor, Kundeninhalte für das Training ihrer Modelle zu verwenden – oft in Opt-out-Logik. Aus DSGVO-Sicht ist das ein Problem, wenn die Texte personenbezogene Daten enthalten: Training ist eine eigene Verarbeitungsform, die eigenständig begründet werden muss.
Prüfpunkt: Werden Kundeninhalte für das Training von Modellen verwendet? Wenn ja, auf welcher Grundlage? Gibt es eine vertragliche No-Training-Zusage?
4. Technisch-organisatorische Maßnahmen (TOM)
Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen. Ein TTS-Anbieter muss dokumentieren, wie Verschlüsselung, Zugriffsschutz, Protokollierung und Löschkonzept umgesetzt sind. Diese Dokumentation wird im Prüfprozess angefragt.
Prüfpunkt: Gibt es dokumentierte TOM? Sind sie aktuell und plausibel?
5. Verzeichnis der Verarbeitungstätigkeiten
Art. 30 DSGVO verpflichtet Unternehmen zu einem Verzeichnis aller Verarbeitungstätigkeiten. Wenn ein TTS-Dienst eingeführt wird, muss dieser Eintrag erstellt werden – mit Zweck, Kategorien, Empfängern, Löschfristen. Ein guter TTS-Anbieter liefert dafür Text-Vorlagen.
Prüfpunkt: Gibt es eine Vorlage für den VVT-Eintrag? Sind die dort relevanten Angaben (Subprocessors, Standorte, Löschkonzept) konkret?
6. Informationspflichten gegenüber Betroffenen
Wenn Texte personenbezogene Daten enthalten (was in B2B-Kontexten häufig der Fall ist), müssen Betroffene informiert werden – in Datenschutzhinweisen, Arbeitsverträgen, Kundenkommunikation. Das ist nicht Sache des TTS-Anbieters, sondern des Unternehmens selbst. Trotzdem ist es hilfreich, wenn der Anbieter die dafür nötigen Informationen klar bereitstellt.
Prüfpunkt: Sind Zweckbestimmung, Speicherort, Löschfristen und Subprocessors klar dokumentiert, damit Sie Ihre Datenschutzhinweise anpassen können?
Was bei stimme.ai konkret gilt
- AV-Vertrag nach Art. 28: standardmäßig, unterschriftsreif, bei Demo-Anfrage
- Serverstandort: Deutschland – auf eigener Hardware
- Drittland-Transfer: kein einziger
- Trainingsnutzung: vertraglich ausgeschlossen
- TOM & VVT-Vorlage: dokumentiert, werden mit dem AV-Vertrag mitgeliefert
- Aufsichtsbehörde: BayLDA, Bayern
Einordnung
„DSGVO-konform" ist kein Zertifikat, das man kauft. Es ist das Ergebnis einer Kette richtiger Entscheidungen: beim Hosting, beim Vertrag, bei der Verarbeitung, bei der Dokumentation. Ein TTS-Dienst kann sehr gut darin sein, einzelne Buchstaben in die richtige Ausspracheumgebung zu setzen – und trotzdem datenschutzrechtlich nicht tragfähig, weil eine dieser Ketten-Glieder bricht.
Der richtige Ansatz ist, Datenschutz nicht als Nebenbedingung zu behandeln, sondern als Teil der Produktarchitektur. Dann fällt die Freigabe im Einkauf nicht schwer, sondern ist der Default.
AV-Vertrag & Unterlagen anfragen
Im Rahmen einer Demo-Anfrage senden wir AV-Vertrag, TOM, VVT-Vorlage und Architekturdiagramm direkt zu – alles, was Ihr Datenschutzbeauftragter typischerweise sehen möchte.
Zugang anfragen $ trust-seite lesen