Datenschutz-Folgenabschätzung
Kernergebnis: Da Audio im flüchtigen Speicher verarbeitet und sofort gelöscht wird — und nach der Verarbeitung keine personenbezogenen Daten auf unseren Servern verbleiben — sind alle identifizierten Risiken nach Anwendung der Schutzmaßnahmen auf Niedrig reduziert. Die Verarbeitung kann unter den dokumentierten Rechtsgrundlagen und Schutzmaßnahmen erfolgen.
Abschnitt 1
Verarbeitungsbeschreibung
Was wir verarbeiten und warum
| Zweck | Verarbeitete Daten | Rechtsgrundlage (DSGVO) | KVKK-Grundlage (Türkei) |
|---|---|---|---|
| Audiotranskription | Audiodatei (nur RAM, nach Verarbeitung gelöscht) | Art. 6(1)(b) — Vertragserfüllung | Ausdrückliche Einwilligung |
| Konto & Abrechnung | Pseudonyme Benutzer-ID, Guthaben, Nutzungsmetadaten | Art. 6(1)(b) — Vertragserfüllung | Ausdrückliche Einwilligung |
| Authentifizierung | OIDC-Konto-ID (gehasht, Original verworfen) | Art. 6(1)(b) — Vertragserfüllung | Vertragserfüllung |
| In-App-Kauf | IAP-Beleg von App Store / Play Store | Art. 6(1)(b) — Vertragserfüllung | Vertragserfüllung |
| Altersbestätigung | Selbstdeklarierte Altersbestätigung (17+) | Art. 8 DSGVO / KVKK Art. 6 | Rechtliche Verpflichtung |
| Absturzberichte | Anonymisierte Fehlerberichte (Opt-in, PII-bereinigt) | Art. 6(1)(a) — Einwilligung | Ausdrückliche Einwilligung |
Datenbestand
| Daten | Serveraufbewahrung |
|---|---|
| Audiodatei | Nur RAM — nach Transkription gelöscht |
| Transkripttext | Bis zur Client-Bestätigung (24-Stunden-Server-TTL-Failsafe, falls keine Bestätigung eingeht) |
| Pseudonyme Benutzer-ID | Bis zur Kontolöschung |
| Kontoguthaben + Nutzungsmetadaten | Bis zur Kontolöschung |
| E-Mail-Adresse | Nur Transit — nicht gespeichert |
| IP-Adressen | Nur Transit — nicht protokolliert |
| Absturzberichte (Opt-in) | SafeScribes eigener Absturzbericht-Endpunkt — keine Weitergabe an Dritte |
Vollständige Details zum Datenbestand finden Sie in der Datenschutzerklärung § Daten, die wir erheben.
Metadaten pro Auftrag umfassen: Audiodauer (Sekunden), Dateigröße (Bytes), Wortanzahl, Betrag (USD) und Verarbeitungszeitstempel. Sie enthalten keinen Audioinhalt, keinen Transkripttext und keine benutzerbezogenen Informationen.
Backup-Aufbewahrung. Ein tägliches Backup der Kontodaten wird für die Dienstkontinuität aufbewahrt. Jedes Backup überschreibt das vorherige. Über die Kontolöschung gelöschte Daten werden sofort aus Live-Systemen entfernt und innerhalb von 24 Stunden aus dem Backup — danach verbleibt keine Kopie.
Verarbeitungsablauf
1. Benutzer nimmt Audio auf dem Gerät auf oder wählt es aus
2. Audio wird geräteseitig vorverarbeitet (80-Hz-Hochpassfilter, Stille-Trimmen, Lautstärkenormalisierung auf -16 LUFS, Peak-Limiting, 16-kHz-Resampling, FLAC-Kodierung)
3. Verschlüsselter Upload zu SafeScribe-Servern (TLS 1.2+)
4. Server verarbeitet Audio im RAM — selbst gehostet, ein leistungsstarkes Modell aus der Whisper-Familie via faster-whisper / CTranslate2, keine Drittanbieter-API-Aufrufe
5. Transkript wird mit SHA-256-Integritätsprüfsumme zurückgegeben
6. Client überprüft Prüfsumme, bestätigt Empfang
7. Server löscht Transkript und Audio sofort aus dem RAM
8. Transkript wird lokal auf dem Gerät in AES-256-verschlüsseltem Speicher gespeichert
Abschnitt 2
Erforderlichkeit und Verhältnismäßigkeit
- ✓Audio-Upload ist erforderlichserverseitige KI-Verarbeitung liefert höhere Genauigkeit als aktuelle On-Device-Alternativen auf dem von SafeScribe geforderten Qualitätsniveau
- ✓Authentifizierung ist erforderlichnotwendig für benutzerbezogene Abrechnung und Auftragsisolierung
- ✓Absturzberichte sind verhältnismäßigPII wird vor der Übertragung bereinigt; nur Opt-in
- ✓DatenminimierungAudio wird nur im RAM verarbeitet, nie auf Festplatte geschrieben
- ✓Minimale AufbewahrungTranskripte werden sofort bei Bestätigung gelöscht; 24-Stunden-Server-TTL-Failsafe, falls der Client niemals bestätigt
- ✓Keine SekundärnutzungAudio wird nie für Modelltraining oder Analysen verwendet
Betroffenenrechte
Alle DSGVO- und KVKK-Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung) können in der App oder per E-Mail an privacy@safescribe.dev ausgeübt werden. Details finden Sie in unserer Datenschutzerklärung § Was Sie tun können.
Abschnitt 3
Risikobewertung
Identifizierte Risiken und Schutzmaßnahmen
| Risiko | Inhärent | Schutzmaßnahmen | Residual |
|---|---|---|---|
| Audio enthält sensible personenbezogene Daten (Gesundheit, Recht, Finanzen) | Hoch | Nur-RAM-Verarbeitung; sofortige Löschung; keine dauerhafte Speicherung; kein Drittanbieterzugriff | Niedrig |
| Unbefugter Zugriff auf Transkript während der Übertragung | Mittel | TLS 1.2+; SHA-256-Integritätsprüfung | Niedrig |
| Serverseitiger Einbruch mit Offenlegung von Audio oder Transkripten | Mittel | Keine dauerhafte Audiospeicherung; authentifizierte API; Auftragsisolierung; TTL-Failsafe | Niedrig |
| Unbefugter Zugriff auf lokal verschlüsselten Speicher | Niedrig | AES-256-verschlüsselte Container; Schlüssel in iOS Keychain / Android Keystore | Niedrig |
| PII-Leck durch Absturzberichte | Niedrig | Musterbasierte Bereinigung von E-Mails, Telefonnummern, IPs und Tokens vor Übermittlung an SafeScribes eigenen Absturzbericht-Endpunkt | Niedrig |
| Grenzüberschreitende Datenübertragung | Mittel | Türkei (KVKK – türkisches Datenschutzgesetz) ausdrückliche Einwilligung beim ersten Start; ausdrückliche informierte Einwilligung beim ersten Start gemäß DSGVO Art. 49(1)(a) | Niedrig |
| KI erzeugt ungenaues Transkript sensibler Inhalte | Niedrig | Transkription ist nur informativ; Benutzer prüft alle Ausgaben; keine automatisierten Entscheidungen | Niedrig |
Alle Residualrisiken sind Niedrig. Der primäre Risikotreiber — sensible Audioinhalte — wird auf Architekturebene adressiert: Audio wird nie auf Festplatte geschrieben, nie über die Verarbeitung hinaus aufbewahrt und nie mit Dritten geteilt.
Abschnitt 4
Einwilligung und Transparenz
Benutzern wird vor der ersten Nutzung ein granularer Einwilligungsbildschirm mit vier unabhängigen Karten präsentiert:
Audioverarbeitung (erforderlich)
Erklärt die Nur-RAM-Verarbeitung, sofortige Löschung und dass Audio nie auf Festplatte geschrieben oder mit Dritten geteilt wird.
Gespeicherte Daten (erforderlich)
Erklärt, welche dauerhaften Daten gespeichert werden: pseudonyme Konto-ID, Guthabenstand und anonyme Nutzungsmetadaten.
Altersbestätigung (erforderlich)
Bestätigt, dass der Benutzer 17 Jahre oder älter ist. Erforderliche Karten müssen akzeptiert werden, um fortzufahren.
Absturzberichte (optional)
Ermöglicht das Opt-in für anonyme Absturzberichte. Standardmäßig deaktiviert. Jederzeit in den Datenschutzeinstellungen umschaltbar.
- Zustimmen- und Ablehnen-Schaltflächen haben gleiche visuelle Gewichtung (gemäß EDPB-Leitlinien zu Dark Patterns)
- Benutzer können die Einwilligung jederzeit widerrufen und ihr Konto in den Datenschutzeinstellungen löschen
- Diese DSFA wird jährlich oder bei wesentlichen Verarbeitungsänderungen überprüft
- Unter dieser URL zur öffentlichen Transparenz veröffentlicht
Abschnitt 5
Entscheidung
Auf Grundlage der obigen Bewertung sind alle Residualrisiken Niedrig. Die Verarbeitung kann unter den identifizierten Rechtsgrundlagen mit den dokumentierten Schutzmaßnahmen erfolgen. Eine vorherige Konsultation der Aufsichtsbehörde ist nicht erforderlich.
Überprüfungsprotokoll
Versionshistorie
| Datum | Version | Änderungen |
|---|---|---|
| März 2026 | 1.0 | Initiale DSFA vor dem Launch für Audiotranskriptionspipeline, Einwilligungsbildschirmdesign, Risikobewertung und Rechtsgrundlagendokumentation |