Zum Hauptinhalt springen

DSGVO, StGB & Schweigepflicht: ist DolmiDesk™ rechtssicher?

Für Dolmetscher:innen, insbesondere Gebärdensprachdolmetscher:innen (DGS), ist der Schutz sensibler Klientendaten nicht nur eine bürokratische Pflicht nach der Datenschutz-Grundverordnung (DSGVO) [1] und dem Bundesdatenschutzgesetz (BDSG) [2], sondern berührt den Kern des Berufsgeheimnisses.

Wer im medizinischen oder juristischen Kontext arbeitet, unterliegt oft der Schweigepflicht gemäß § 203 StGB [3]. Ein Verstoß ist eine Straftat, die mit Geld- oder Freiheitsstrafen geahndet werden kann.

Die Skepsis gegenüber US-Cloud-Anbietern wie Google ist daher verständlich und in Deutschland weit verbreitet [4]. Dieser Artikel analysiert die Faktenlage, die technische Architektur von DolmiDesk™ und die spezifischen Pflichten für Dich als Berufsträger:in.

Die Architektur: Kein "Fremder" liest mit

Ein häufiges Missverständnis betrifft die Art der Software. DolmiDesk™ ist keine klassische SaaS (Software-as-a-Service), bei der Du Daten an eine fremde Firma sendest.

Bei herkömmlicher Cloud-Software liegen Deine Daten in der Datenbank des Anbieters [5].

Bei DolmiDesk™ kopierst Du den Programmcode in Deinen eigenen Google-Account.

Dank dieser Architektur gelten folgende Punkte:

  • Es gibt keine zentrale Datenbank von DolmiDesk™.
  • Der Entwickler hat keinen Zugriff auf Deine Klientendaten.
  • Die Daten verlassen Deinen Account nur für technisch notwendige Schritte, die Du initiierst (z.B. E-Mail-Versand) [6].

Aber wie steht es mit Google selbst?

Das Problem mit "Google" (Privat vs. Business)

Warum raten Datenschützer:innen von Google-Diensten ab? Die Gefahr liegt in der Datenverarbeitung durch Google selbst. Aber hier gibt es einen entscheidenden Unterschied zwischen:

MerkmalPrivates Konto (@gmail.com)Business Konto (Google Workspace)
KostenKostenlosKostenpflichtig (ab ca. 6€/Monat)
GeschäftsmodellDatenanalyse & WerbungSoftware-Lizenzgebühren
DatenschutzGoogle darf Daten teils scannenKein Werbe-Scanning, Daten gehören Dir [7]
AV-VertragNicht verfügbarEnthalten & DSGVO-konform
Geeignet für § 203 StGBNEINJA (unter Auflagen)

Viele Datenschutzbedenken stammen aus der Nutzung privater Konten, bei denen Google sich weitreichende Rechte zur Datenanalyse einräumt [8]. Im Business-Umfeld (Workspace) garantiert Google vertraglich, dass keine Daten für Werbezwecke gescannt werden [7].

Rechtliche Sicherheit: USA & Drittlandtransfer

Ein Hauptkritikpunkt war lange der Datentransfer in die USA (bekannt durch das "Schrems II"-Urteil des EuGH [9]). Nach dem Wegfall des Privacy Shield Abkommens war unklar, ob US-Anbieter wie Google ausreichende Datenschutzgarantien bieten können.

Aktueller Stand (Data Privacy Framework)

Seit dem 10. Juli 2023 gilt der Angemessenheitsbeschluss der EU-Kommission für das EU-US Data Privacy Framework (DPF).

  • Das bedeutet: Die USA gelten datenschutzrechtlich nicht mehr als unsicheres Drittland, sofern das US-Unternehmen zertifiziert ist [10].
  • Google LLC ist unter diesem Framework zertifiziert und steht auf der offiziellen Liste des US-Handelsministeriums und ist zum Zeitpunkt dieses Artikels (2025) bis zum 13. September 2026 zertifiziert [11].

Damit ist die Speicherung der Daten auf Google-Servern nach aktueller Rechtslage (Stand 2025) DSGVO-konform möglich.

Deine Pflicht: Der AV-Vertrag

Um Artikel 28 DSGVO (Auftragsverarbeitung) zu erfüllen, musst Du einen Vertrag mit Google schließen [1].

Wie? In der Google Admin-Konsole unter Konto > Kontoeinstellungen > Rechtliches und Compliance. Dort musst du dem "Cloud Data Processing Addendum (CDPA)" zustimmen.

Google Admin-Konsole: Standort des AV-Vertrags
Google Admin-Konsole: Standort des AV-Vertrags

Nach Unterzeichnung bist Du rechtlich auf der sicheren Seite, was die Zusammenarbeit mit Google betrifft und kannst Google-Dienste gemäß Artikel 28 DSGVO nutzen.

Für § 203 StGB (Berufsgeheimnis) ist nicht entscheidend, welcher Dienst genutzt wird, sondern ob unbefugte Dritte Zugriff haben könnten. Google gilt als „technischer Dienstleister“, der im Rahmen eines AV-Vertrags nicht als „Dritter“ im Sinne des § 203 StGB gilt.

Gemeinsame Verantwortung: Wer schützt was?

Bei der Nutzung von Google Workspace gilt das sogenannte Shared Responsibility Model:

  • Du bist verantwortlich für:

    • die Inhalte, die Du eingibst
    • Datensparsamkeit und Pseudonymisierung
    • Berechtigungen in Deinem Workspace
    • die konkrete Konfiguration der Apps (z.B. Kalender, Drive, Mail)

  • Google ist verantwortlich für:

    • physische Sicherheit der Rechenzentren
    • Server-Sicherheit, Verschlüsselung und Redundanz
    • Einhaltung des AV-Vertrags
    • Zertifizierungen (DPF, ISO 27001, SOC 2 etc.)

Dieses Modell bedeutet: Solange Du keine sensiblen Details unnötig in Deine Dokumente einträgst und die Workspace-Sicherheitsfeatures nutzt, ist Google für den technischen Schutz zuständig – Du aber für den inhaltlichen Schutz.

Berufsgeheimnis, DSGVO & Versand von Rechnungen per E-Mail

Hier wird es für Dolmetscher:innen spezifisch. Du verarbeitest oft Daten nach Art. 9 DSGVO (Gesundheitsdaten, z.B. "Dolmetschen bei Onkologie-Gespräch"). Aber auch hier treffen zwei Welten aufeinander: Die strenge Schweigepflicht und die digitale Realität der Kostenträger.

Darf ich Rechnungen per E-Mail senden?

Grundsätzlich ist eine unverschlüsselte E-Mail so offen wie eine Postkarte. Das Gesetz und die Berufsordnungen verbieten den unverschlüsselten Versand sensibler Daten. Aber: Die Rechnungsstellung ist für die Erfüllung Deines Auftrags notwendig - und die Kostenträger (z.B. Krankenkassen, Gerichte) erwarten eine Rechnung per E-Mail.

Grundsätzlich gilt eine unverschlüsselte E-Mail als unsicher ("Postkarten-Prinzip"). Doch für die Rechnungsstellung gelten Ausnahmen, die auf der Erforderlichkeit basieren.

Die Rechtsgrundlage für den Versand

Du darfst die Daten übermitteln, weil es ohne Übermittlung kein Geld gibt. Die DSGVO erlaubt dies ausdrücklich:

  1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO [1]): Die Rechnungsstellung ist ein wesentlicher Bestandteil Deines Vertrages mit dem Kostenträger. Ohne Übermittlung der Rechnung kann der Vertrag nicht vollständig erfüllt werden.
  2. Geltendmachung von Ansprüchen (Art. 9 Abs. 2 lit. f DSGVO [1]): Selbst bei sensiblen Gesundheitsdaten ist die Verarbeitung (und Übermittlung) erlaubt, wenn sie "zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen" (hier: Dein Honoraranspruch) erforderlich ist.
  3. Verwaltung des Sozialsystems (Art. 9 Abs. 2 lit. h DSGVO [1]): Wenn Du mit Krankenkassen oder Sozialträgern abrechnest, fällt dies unter die Verwaltung der Gesundheitsdienste.

Von daher ist der Versand von Rechnungen per E-Mail rechtlich zulässig, sofern angemessene Sicherheitsmaßnahmen gemäß Art. 32 DSGVO getroffen werden.

Die technische Sicherheit (TLS vs. Ende-zu-Ende)

Die deutschen Datenschutzaufsichtsbehörden (DSK) fordern zwar idealerweise eine Ende-zu-Ende-Verschlüsselung (PGP/S/MIME), erkennen aber an, dass dies im Geschäftsverkehr oft fehlt [12].

Daher gilt Transportverschlüsselung (TLS) als akzeptabler Mindeststandard für den normalen Schriftverkehr, sofern keine hochsensiblen medizinischen Details (z.B. ausführliche psychologische Gutachten) im Klartext übertragen werden [13].

Google Workspace erzwingt standardmäßig TLS (Transport Layer Security). Wenn die Empfänger-Behörde (z.B. AOK, Gericht) ebenfalls TLS unterstützt (was heute Standard ist), wird die E-Mail auf dem Weg durch das Internet verschlüsselt übertragen [12].

Also, bist Du weiterhin für die inhaltliche Datensparsamkeit verantwortlich, Google für die technische Sicherheit der Infrastruktur.

Warum TLS in vielen Fällen ausreichend ist

Art. 32 DSGVO verlangt keine perfekten Sicherheitsmaßnahmen, sondern angemessene. Die Angemessenheit hängt vom Risiko ab. Für einfache Verwaltungsdaten wie Rechnungen ist das Risiko gering, wenn:

  • keine Diagnosen enthalten sind
  • die Empfängerbehörde TLS unterstützt
  • Du in Deinem Google Workspace Mehrfaktor-Authentifizierung aktivierst

Damit liegt der Schutz häufig über dem Niveau vieler herkömmlicher Praxislösungen, bei denen Rechnungen unverschlüsselt auf dem Laptop oder Smartphone liegen.

Checkliste für § 203 StGB- & DSGVO-Konformität

  • Ich nutze Google Workspace (Business), kein privates Gmail.
  • Ich habe den AV-Vertrag (Data Processing Amendment) digital unterzeichnet.
  • Ich habe die "Zusatzvereinbarung für Berufsgeheimnisträger" geprüft (Microsoft bietet diese explizit an, bei Google ist sie im Standard-AVV oft durch die generellen Sicherheitsgarantien abgedeckt, sollte aber im Einzelfall geprüft werden).
  • Ich vermeide Diagnosen oder intimste Details im Freitext der Rechnung.

Fazit

Die Nutzung von DolmiDesk™ ist datenschutzkonform möglich, erfordert aber Disziplin bei der Einrichtung.

In vielen praktischen Szenarien kann ein professioneller Cloud-Dienst — insbesondere mit MFA, TLS, Backups, Redundanz und zertifizierten Rechenzentren — ein höheres Sicherheitsniveau bieten als lokal gespeicherte Dateien auf unverschlüsselten Geräten [15].

Nutze DolmiDesk™ mit Bedacht, halte Dich an die Checkliste und Du kannst Deinen Dolmetscher:innen-Alltag effizient und rechtskonform gestalten.

Haftungsausschluss

Keine Rechtsberatung

Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt erstellt und dienen ausschließlich der allgemeinen Information. Sie stellen keine Rechtsberatung dar und können eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.

Trotz sorgfältiger Recherche wird keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernommen. Rechtliche Bewertungen können sich ändern, insbesondere im Bereich Datenschutzrecht und internationaler Datentransfers.

Der Autor übernimmt keine Haftung für Schäden oder Verluste, die direkt oder indirekt aus der Nutzung der Informationen dieses Artikels entstehen.

Haftungsausschluss für die Nutzung von DolmiDesk™

DolmiDesk™ ist ein Skript, das in Ihrem eigenen Google-Workspace-Konto ausgeführt wird. Die Verantwortung für die konforme Einrichtung, konfigurierte Sicherheitsmaßnahmen (z. B. MFA, Zugriffsbeschränkungen, TLS, Datensparsamkeit) sowie die inhaltliche Gestaltung von Rechnungen, Kalendereinträgen und E-Mails liegt vollständig bei den Nutzer:innen.

Die Entwicklerin/der Entwickler von DolmiDesk™ hat keinen Zugriff auf Ihre Daten und übernimmt keine Haftung für:

  • fehlerhafte Nutzung oder Konfiguration,
  • Datenschutzverstöße, die aus unzureichenden Sicherheitseinstellungen des Google-Workspace-Kontos resultieren,
  • die Inhalte der verarbeiteten oder versendeten Dokumente,
  • Ausfälle, Änderungen oder Einschränkungen von Google-Diensten.

Nutzer:innen sind verpflichtet, die für sie geltenden beruflichen, vertraglichen und gesetzlichen Anforderungen — insbesondere DSGVO, BDSG und § 203 StGB — selbstständig zu prüfen und einzuhalten.

Die Nutzung von DolmiDesk™ erfolgt auf eigene Verantwortung.

  1. Europäisches Parlament und Rat, Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). 2016. [Online]. Verfügbar unter: https://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. Bundesrepublik Deutschland, Bundesdatenschutzgesetz (BDSG). 2017. [Online]. Verfügbar unter: https://www.gesetze-im-internet.de/bdsg_2018/
  3. Bundesrepublik Deutschland, Strafgesetzbuch (StGB) § 203 Verletzung von Privatgeheimnissen. [Online]. Verfügbar unter: https://www.gesetze-im-internet.de/stgb/__203.html
  4. B. Gribl, „Von Speicher zu Smart: Was Nutzer heute von der Cloud erwarten“, Cloudcomputing Insider, Okt. 2025, [Online]. Verfügbar unter: https://www.cloudcomputing-insider.de/datenspeicherung-in-deutschland-und-eu-a-61a8c732cda320422173c3c442a8a324/
  5. P. Mell und T. Grance, „The NIST Definition of Cloud Computing“, Gaithersburg, MD, techreport Special Publication 800-145, 2011.
  6. Google Developers, „Google Apps Script Security“. [Online]. Verfügbar unter: https://developers.google.com/apps-script/guides/services/authorization
  7. Google Cloud, „Google Workspace Trust & Privacy“. [Online]. Verfügbar unter: https://workspace.google.com/intl/de/security/
  8. I. Redaktion, „Was weiß Google über mich? Google-Daten einsehen und verwalten“, IONOS Digital Guide, Okt. 2022, [Online]. Verfügbar unter: https://www.ionos.de/digitalguide/online-marketing/suchmaschinenmarketing/was-weiss-google-ueber-mich/
  9. Gerichtshof der Europäischen Union, „Urteil des Gerichtshofs (Große Kammer) vom 16. Juli 2020. Data Protection Commissioner gegen Facebook Ireland Limited, Maximillian Schrems.“ 16. Juli 2020. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311
  10. European Commission, „Adequacy decision for the EU-US Data Privacy Framework“. Brussels, Juli 2023. [Online]. Verfügbar unter: https://commission.europa.eu
  11. U.S. Department of Commerce, „Data Privacy Framework List: Google LLC“. [Online]. Verfügbar unter: https://www.dataprivacyframework.gov/list
  12. Bundesamt für Sicherheit in der Informationstechnik, „TR-03108 Sicherer E-Mail-Transport“, BSI, Bonn, techreport, 2024. [Online]. Verfügbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr-03108.html
  13. Datenschutzkonferenz (DSK), „Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021“, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, techreport, Juni 2021. [Online]. Verfügbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf
  14. „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“, Datenschutzkonferenz (DSK), März 2020, [Online]. Verfügbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/orientierungshilfen/2020-DSK_OH-E-Mail-Verschluesselung.pdf
  15. K. K. The Investopedia Team, „Cloud Security: Definition, How Cloud Computing Works, and Safety“, Investopedia, Sep. 2022, [Online]. Verfügbar unter: https://www.investopedia.com/terms/c/cloud-security.asp
Porträtfoto von Dmitry Dugarev

Beste Grüße

Dmitry Dugarev

Entwickler von DolmiDesk™ & IT-Compliance-Experte. Ursprünglich habe ich dieses System entwickelt, um meiner Frau (DGS-Dolmetscherin) die Wochenenden zu retten. Heute sorge ich dafür, dass Deine Abrechnung sicher und vollautomatisch läuft.

Auf dieser Seite

Brauchst Du Hilfe? - Schreibe uns eine E-Mail

Deine Privatsphäre ist uns wichtig

Wir verwenden Cookies, um Dein Surferlebnis zu verbessern und den Website-Traffic zu analysieren. Wähle aus, welche Cookies wir verwenden dürfen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

Diese Cookies sind für die Grundfunktionalität der Website erforderlich und können nicht deaktiviert werden.

Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, indem sie Informationen anonym sammeln und melden.

  • Google Analytics: Sammelt anonyme Statistiken zur Seitennutzung.
  • Hotjar: Analysiert das Klick- und Scrollverhalten zur Verbesserung der Nutzerfreundlichkeit (anonymisiert).

Diese Cookies werden verwendet, um Dir relevante Werbung auf anderen Plattformen anzuzeigen und Inhalte basierend auf Deinen Interessen bereitzustellen.

  • Google Ads & Microsoft Ads: Messen den Erfolg von Werbeanzeigen und ermöglichen personalisierte Werbung.
  • Meta Pixel: Ermöglicht zielgerichtete Werbung auf Facebook und Instagram.
  • Affiliate-Tracking (Freemius): Ordnet Käufe einem vermittelnden Partner zur Provisionsabrechnung zu (30 Tage Speicherdauer) - falls Du über einen Affiliate-Link zu uns gekommen bist, müssen diese Cookies aktiviert sein, damit der Partner seine Provision erhält.