DSGVO und Sprachdiktat: Ist Microsoft Word Diktat rechtskonform?

14. Mai 2026 · Weesper Team · 14. Mai 2026

DSGVOSprachdiktatComplianceDatenschutzMicrosoft Word

DSGVO-konforme Sprachdiktierung ist für jeden EU-Fachmann, der E-Mails, Kundenmemos oder medizinische Berichte in Microsoft Word diktiert, zu einer konkreten Frage geworden. Microsoft Word Diktat überträgt Ihr Audio in die Cloud — und diese eine technische Tatsache verändert Ihre Diktat-DSGVO-Compliance grundlegend.

Direkte Antwort: Ist Word Diktat DSGVO-konform?

Word Diktat ist nach der DSGVO nicht per se rechtswidrig, aber es überträgt Ihre Sprachdaten an Microsoft-Cloud-Server. Damit werden Sie für mehrere Compliance-Pflichten verantwortlich: eine dokumentierte Rechtsgrundlage, einen Auftragsverarbeitungsvertrag (AVV), einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten (VVT) und eine transparente Information der betroffenen Personen. Die meisten Organisationen, die Word Diktat nutzen, haben keine dieser Schritte abgeschlossen — genau dort liegt das eigentliche DSGVO-Verstoßrisiko.

Warum fallen Sprachdaten unter die DSGVO?

Sprachdaten sind personenbezogene Daten, sobald sie mit einer identifizierbaren Person verknüpft werden können. Artikel 4 der DSGVO definiert personenbezogene Daten weit, und Sprachaufnahmen fallen eindeutig darunter, da sie den Sprecher entweder direkt (erkennbare Stimme) oder in Verbindung mit dem Inhalt (namentlich genannte Kunden, Fallnummern, medizinische IDs) identifizieren.

Das Bild verschärft sich, wenn Stimme zur Identifizierung statt zur Transkription verwendet wird. Gemäß Artikel 9 der DSGVO sind biometrische Daten zur eindeutigen Identifizierung einer Person eine besondere Kategorie — ihre Verarbeitung erfordert eine ausdrückliche Einwilligung oder eine der neun engen gesetzlichen Ausnahmen.

Standardmäßiges Diktieren löst Artikel 9 in der Regel nicht aus, da das Ziel die Transkription ist und nicht die Identifizierung. Allerdings enthält der Audio-Inhalt typischerweise andere personenbezogene Daten (Namen, Gesundheitsdaten, Finanzinformationen), die die regulären DSGVO-Pflichten gemäß Artikel 5, 6, 28 und 32 auslösen.

Wie verarbeitet Microsoft Word Diktat Ihre Stimme tatsächlich?

Word Diktat sendet Ihre Sprache an Microsoft-Cloud-Server und gibt den transkribierten Text zurück. Laut der offiziellen Microsoft Word Diktat-Dokumentation „werden Ihre Sprachäußerungen an Microsoft gesendet und nur zur Bereitstellung von Textergebnissen verwendet”, und der Dienst „speichert weder Ihre Audiodaten noch den transkribierten Text”.

Das klingt beruhigend, aber Compliance-Verantwortliche sollten dennoch drei Punkte kennzeichnen:

Die Übertragung selbst ist eine Verarbeitung. Das Senden von Audio über das Internet an einen in den USA ansässigen Anbieter gilt gemäß Artikel 4 Absatz 2 der DSGVO als Verarbeitung — unabhängig von der Speicherdauer.
Diagnose- und Telemetriedaten sind davon getrennt. Microsoft 365 Verbundene Funktionen können Nutzungs- und Diagnosedaten erheben, auch wenn keine Inhalte gespeichert werden.
Die Rechtsgrundlage muss vor der Übertragung bestehen. Sie können Mandantensprachdaten nicht erst übertragen und die Rechtsgrundlage später dokumentieren.

Die Microsoft Datenschutzerklärung bestätigt, dass Microsoft „Sprachclips” erfasst — Suchanfragen, Befehle oder Diktate — und diese für den Dienstbetrieb verwenden kann. Die Vertragsbedingungen Ihrer Microsoft-365-Mandantenvereinbarung bestimmen, was in der Praxis geschieht — nicht allein die Produkthilfeseite.

Vergleich: Welche Diktat-Tools erfüllen die DSGVO-Anforderungen von Haus aus?

Die folgende Tabelle vergleicht gängige Spracheingabe-DSGVO-Optionen. Keine davon ist illegal — aber sie erfordern sehr unterschiedliche Compliance-Aufwände.

Tool	Verarbeitung des Audios	Audio-Aufbewahrung	DSGVO-Standardrisiko	Konform ohne Konfiguration?
Microsoft Word Diktat	Microsoft Cloud (Azure)	Nicht gespeichert (laut Microsoft)	Mittel-Hoch	Nein — AVV, VVT-Eintrag, Transparenzhinweis erforderlich
Google Docs Spracheingabe	Google Cloud	Gemäß Google Workspace-Richtlinie	Hoch	Nein — zusätzlicher Workspace-AVV erforderlich
Apple Diktat (erweitert)	Apple Cloud	Gemäß Apple-Datenschutzbestimmungen	Mittel	Nein — abhängig von erweitertem oder On-Device-Modus
Apple Diktat (On-Device)	Lokales Gerät	Keine	Gering	Teilweise — lokale Verarbeitung nur auf neueren Geräten
Dragon Professional	Lokal (ältere) / Cloud (neuere)	Abhängig von der Version	Mittel	Abhängig von der Edition
Weesper Neon Flow	100 % lokales Gerät	Keine	Keine (keine Übertragung)	Ja — keine Cloud, keine Übertragung

Der entscheidende Faktor in der rechten Spalte ist, ob Audio das Gerät verlässt. Sobald es dies tut, wird Compliance zu einem vertraglichen und verfahrenstechnischen Problem. Bleibt es lokal, wird Compliance zu einer normalen IT-Sicherheitsfrage (Verschlüsselung ruhender Daten, Zugriffssteuerung, Aufbewahrung von Transkripten).

Was erfordert DSGVO-Compliance für Sprachdiktat konkret?

Compliance ist kein einzelnes Kontrollkästchen. Ein angemessenes Diktat-Datenschutz-Programm umfasst fünf konkrete Pflichten.

1. Rechtsgrundlage gemäß Artikel 6 bestimmen

Sie benötigen einen dokumentierten Grund für die Verarbeitung der Sprachdaten: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Fachleute im Gesundheits- und Rechtsbereich kombinieren häufig Artikel 6 (Rechtsgrundlage) mit Artikel 9 (Ausnahme für besondere Kategorien) bei sensiblen Inhalten.

2. Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter schließen

Gemäß Artikel 28 der DSGVO benötigen Sie, wenn ein Dritter (Microsoft, Google, Nuance) personenbezogene Daten in Ihrem Auftrag verarbeitet, einen schriftlichen AVV, der Umfang, Dauer, Sicherheit, Unterauftragsverarbeiter und Prüfrechte regelt. Microsoft 365 enthält einen Standard-AVV, aber Mandantenadministratoren müssen ihn annehmen und dokumentieren.

3. Sicherheitsmaßnahmen gemäß Artikel 32 umsetzen

Artikel 32 der DSGVO verlangt „geeignete technische und organisatorische Maßnahmen” — Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und regelmäßige Prüfungen. Beim Diktieren bedeutet dies in der Regel verschlüsselte Transkript-Speicherung, Zugriffsprotokolle und klare Löschverfahren.

4. Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren

Artikel 30 verpflichtet Verantwortliche, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Sprachdiktat muss eingetragen werden, einschließlich Kategorien betroffener Personen, Empfänger, Übermittlungsländer und Aufbewahrungsfristen. Wenn Word Diktat zur Transkription von Kundengesprächen verwendet wird, muss dieser Eintrag vorhanden sein.

5. Betroffene Personen gemäß Artikel 13 und 14 informieren

Wenn Sie Notizen über Klienten, Patienten oder Vertragspartner diktieren, sind diese Personen betroffene Personen, deren aus der Stimme abgeleitete personenbezogene Daten verarbeitet werden. Ihre Datenschutzerklärung sollte Sprachtranskriptions-Tools erwähnen, wenn dies relevant ist.

Warum vereinfacht Weesper Neon Flow die DSGVO-Compliance?

Weesper Neon Flow verarbeitet 100 % Ihrer Sprache lokal auf Ihrem Mac oder Windows-Gerät — ohne Internetverbindung und ohne dass Audio jemals an einen Server übertragen wird. Diese eine Designentscheidung beseitigt die vier schwierigsten DSGVO-Pflichten aus Ihrem Arbeitsablauf:

Keine internationale Datenübermittlung zu prüfen (keine Schrems-II-Analyse, keine Standardvertragsklauseln).
Kein AVV zu verhandeln (Weesper verarbeitet Ihre Daten nicht — Ihr Gerät tut es).
Keine Audio-Aufbewahrungsbedenken (das Audio wird nie aufgezeichnet; nur Ihr diktierter Text erscheint im Dokument).
Kein Anbieter-Datenpannenrisiko (ein Weesper-Server-Einbruch kann Ihre Stimme oder Transkripte nicht exponieren, da es keinen solchen Server gibt).

Sie müssen weiterhin lokale Sicherheit und Ihre eigene Aufbewahrung von Transkripten verwalten — aber das ist Ihre bestehende IT-Richtlinie, keine neue Anbieterbeziehung. Lesen Sie unseren ausführlichen Beitrag über Offline-Sprachdiktat und Datenschutz für die technischen Details.

Weesper Neon Flow herunterladen und einen direkten Vergleich mit Word Diktat auf Ihrem eigenen EU-Gerät durchführen.

Welche Windows-Sicherheitsanforderungen sollten Sie kennen?

Windows-Unternehmensumgebungen erlegen beim Diktieren oft Regeln auf, die über die DSGVO selbst hinausgehen. Microsoft Intune und Gruppenrichtlinien ermöglichen Administratoren, cloudbasierte Sprachdienste auf verwalteten Geräten zu blockieren — genau wegen der oben beschriebenen Datenschutzbedenken. Wenn bei Ihrem Windows-Gerätepark Verbundene Funktionen deaktiviert sind, funktioniert Word Diktat überhaupt nicht — Administratoren haben die Cloud-Übertragung effektiv verhindert, anstatt sich auf das Nutzerverhalten zu verlassen.

Lokale Verarbeitungs-Tools wie Weesper funktionieren auf diesen eingeschränkten Geräten weiterhin, weil nichts den Endpunkt verlässt. Für Compliance-Teams in regulierten Branchen (Gesundheitswesen, Recht, Finanzen, öffentliche Verwaltung) bringt dies das Diktieren auf denselben Sicherheitsstandard wie andere lokal verarbeitete Daten.

Weiterführende Informationen finden Sie in unserem Leitfaden zur Unternehmenssicherheit und Compliance für Sprachdiktat.

Fazit: Zuerst die Architektur wählen, dann den Arbeitsablauf

DSGVO-Compliance beim Sprachdiktat bedeutet nicht, bestimmte Produkte zu verbieten — es geht darum, eine Architektur zu wählen, die Ihrer Datensensibilität entspricht. Cloud-Diktat ist praktikabel, wenn Ihre Organisation den vertraglichen, verfahrenstechnischen und Transparenzaufwand akzeptiert hat. Lokales Diktat eliminiert diesen Aufwand vollständig und ist die sicherere Standardoption für Fachleute, die täglich vertrauliche Kundendaten verarbeiten.

Wenn Sie täglich mit Gesundheits-, Rechts- oder Finanzdaten arbeiten, ist der einfachste Weg zu einer vertretbaren Compliance, die Sprachverarbeitung auf dem Gerät zu belassen. Unsere Übersicht zum Offline-Sprachdiktat für vertrauliche Kundenarbeit erklärt die weitergehenden Workflow-Vorteile.

Bereit, eine vollständig offline arbeitende Diktat-Engine auf Ihrem eigenen EU-Gerät zu testen? Starten Sie Ihre kostenlose 15-tägige Weesper-Testversion — kein Konto, keine Cloud, keine Datenübertragung.

Einfache Preise, keine Überraschungen

Alle Tarife beinhalten 15 Tage kostenlose Testversion. Keine Kreditkarte erforderlich.

BESTER WERT Lebenslang €99 einmalige Zahlung Amortisiert sich nach 20 Monaten vs. monatlich

Jährlich €45 / Jahr 3 Monate kostenlos

Monatlich €5 / Monat

Kostenlos herunterladen — Tarif direkt in der App wählen

Abonnieren Sie direkt in den App-Einstellungen nach Ihrer 15-tägigen Testversion.

Über den Autor

Weesper Team

Das Weesper-Team entwickelt datenschutzorientierte Sprachdiktat-Werkzeuge für Fachleute, die täglich mit vertraulichen Daten arbeiten.

FAQ

Verstößt die Nutzung von Word Diktat gegen die DSGVO?

Nicht automatisch, aber es entstehen Compliance-Risiken. Word Diktat überträgt Ihre Sprache zur Verarbeitung an Microsoft-Cloud-Server. Wenn Sie personenbezogene Daten von EU-Bürgern diktieren (Kundennamen, Gesundheitsdaten, Finanzunterlagen), werden Sie zum Verantwortlichen, der die Verarbeitung an Microsoft als Auftragsverarbeiter delegiert. Sie benötigen eine gültige Rechtsgrundlage, einen dokumentierten Auftragsverarbeitungsvertrag (AVV) und müssen die betroffenen Personen informieren. Viele Organisationen überspringen diese Schritte — genau dort liegt das eigentliche DSGVO-Verstoßrisiko, nicht in der Technologie selbst, sondern in der undokumentierten, nicht eingewilligten Cloud-Übertragung personenbezogener Daten.

Gelten Sprachdaten als personenbezogene Daten im Sinne der DSGVO?

Ja. Sprachaufnahmen, die eine natürliche Person identifizieren können, sind personenbezogene Daten gemäß Artikel 4 der DSGVO. Wird die Stimme zur eindeutigen Identifizierung einer Person eingesetzt (Stimmbiometrie), handelt es sich um besondere Kategorien personenbezogener Daten nach Artikel 9, für deren Verarbeitung eine ausdrückliche Einwilligung oder ein anderer gesetzlicher Ausnahmetatbestand erforderlich ist. Selbst gewöhnliche Diktataudio-Aufnahmen, bei denen der Sprecher identifizierbar ist, fallen in den Anwendungsbereich der DSGVO und müssen rechtmäßig, fair und transparent verarbeitet werden.

Speichert Microsoft Diktataudio-Aufnahmen?

Laut der offiziellen Microsoft-Support-Dokumentation überträgt Word Diktat Sprachäußerungen zur Transkription an Microsoft-Server und speichert weder das Audio noch den transkribierten Text nach der Verarbeitung. Dennoch findet eine Übertragung über das Internet statt, die Daten überqueren Ländergrenzen, und andere Microsoft-365-Dienste (wie verbundene Funktionen) können zugehörige Diagnosedaten speichern. Die Compliance hängt daher von den vertraglichen Zusicherungen Microsofts in Ihrer Mandantenvereinbarung ab — nicht allein vom technischen Ablauf.

Was ist mit Dragon, Google Docs und anderen Diktat-Tools?

Dragon Professional (Nuance, im Besitz von Microsoft) bot historisch lokale Verarbeitung an, neuere Versionen tendieren jedoch zu Cloud-Funktionen. Google Docs Spracheingabe sendet Audio an Google-Server und unterliegt den Google-Workspace-Datenvereinbarungen. Apple Diktat gibt es sowohl im Gerät- als auch im serverbasierten Modus — nur die On-Device-Option vermeidet Cloud-Übertragungen. Jedes Tool erfordert eine eigene Datenschutz-Folgenabschätzung (DSFA) vor der Verarbeitung personenbezogener Daten.

Ist Offline-Diktat automatisch DSGVO-konform?

Offline-Diktat beseitigt das größte Compliance-Risiko — die Drittanbieter-Cloud-Verarbeitung — macht Ihren Arbeitsablauf aber nicht automatisch konform. Sie benötigen weiterhin eine Rechtsgrundlage für die Verarbeitung von Sprachdaten, Sicherheitsmaßnahmen gemäß Artikel 32 (Verschlüsselung, Zugriffskontrollen) und eine klare Aufbewahrungsrichtlinie. Der entscheidende Unterschied: Keine Daten verlassen Ihr Gerät, es gibt keine internationale Übermittlung, keinen AVV zu verhandeln und kein Drittanbieter-Datenpannenrisiko. Compliance wird zu einer lokalen IT-Angelegenheit statt zu einem grenzüberschreitenden Rechtsproblem.

Was sollte ein Datenschutzbeauftragter (DSB) vor der Genehmigung eines Diktat-Tools prüfen?

Ein Datenschutzbeauftragter sollte fünf Punkte prüfen: (1) wo Audio verarbeitet wird (lokal oder Cloud, welche Region), (2) ob ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 mit dem Anbieter besteht, (3) Aufbewahrungsdauer für Audio und Transkripte, (4) ob Stimmbiometrie eingesetzt wird (löst Artikel 9 aus), und (5) ob das Tool im Verzeichnis der Verarbeitungstätigkeiten (VVT) der Organisation aufgeführt ist. Tools, die alles lokal verarbeiten, vereinfachen alle fünf Prüfpunkte erheblich.