Wenn in Unternehmen über Datenschutz gesprochen wird, stehen oft CRM-Systeme, HR-Akten oder Cloud-Speicher im Fokus. Übersetzungen geraten dabei leicht in den Hintergrund, obwohl gerade hier Inhalte zirkulieren, die sensibel, geschäftskritisch oder personenbezogen sind: Verträge, Präsentationen, Leistungsbeschreibungen, interne Richtlinien, E-Mails, Gutachten, Prozessdokumentationen.
Eine professionelle Übersetzung ist nicht nur Sprach-, sondern fast immer auch Informationsverarbeitung. Wer diese Verarbeitung strukturiert absichert, reduziert Risiken deutlich und gewinnt zugleich Tempo, weil Prozesse klar sind und Rückfragen seltener werden.
Wenn Übersetzen zur Datenverarbeitung wird
Datenschutzrecht wird dann relevant, wenn ein Dokument personenbezogene Daten enthält. Das kann offensichtliche Personaldaten betreffen, aber auch indirekte Identifikatoren: Personalnummern, Kontaktdaten, Kundennummern, Fallakten, Gesprächsnotizen, IP-Bezüge oder Kombinationen, die Rückschlüsse auf Personen erlauben.
Parallel zum Datenschutz läuft oft ein zweites Schutzregime mit: das Gesetz zum Schutz von Geschäftsgeheimnissen. Ein Angebot, eine Produkt-Roadmap oder eine Due-Diligence-Unterlage kann auch ohne personenbezogene Daten hochsensibel sein.
Ein Satz, der in der Praxis hilft: Nicht jedes Übersetzungsprojekt ist DSGVO-pflichtig, aber jedes Übersetzungsprojekt ist vertraulichkeitsrelevant.
Rollen klären: Verantwortlicher, Auftragsverarbeiter und Grauzonen
In typischen Konstellationen entscheidet das beauftragende Unternehmen über Zweck und Mittel der Verarbeitung: Es will ein Dokument in einer Zielsprache, zu einem bestimmten Zeitpunkt, für eine definierte Verwendung. Damit ist das Unternehmen meist „Verantwortlicher“ im Sinne der DSGVO. Der Übersetzungsdienstleister verarbeitet die Daten im Auftrag und ist „Auftragsverarbeiter“.
Die saubere Rollenverteilung ist mehr als Juristerei. Sie beeinflusst, welche Verträge nötig sind, wie Weisungen dokumentiert werden und wie mit Unterauftragnehmern, Tools oder Cloud-Komponenten umzugehen ist.
Grauzonen entstehen, wenn ein Dienstleister eigenständig über wesentliche Mittel entscheidet, etwa über Plattformen, Speicherorte, Subunternehmer oder KI-Dienste, ohne dass dies abgestimmt ist. Dann kann aus Auftragsverarbeitung eine (Mit-)Verantwortlichkeit werden. Für Unternehmen heißt das: nicht nur einen Dienstleister auswählen, sondern den Prozess definieren, inklusive erlaubter Werkzeuge.
NDA vs. AVV: Zwei Verträge, zwei Zwecke
Viele Organisationen starten mit einer Geheimhaltungsvereinbarung (NDA). Das ist sinnvoll, aber nicht automatisch DSGVO-konform. Ein NDA schützt Geschäftsgeheimnisse und vertrauliche Informationen, regelt aber meist nicht die spezifischen Pflichten aus Art. 28 DSGVO.
Der Auftragsverarbeitungsvertrag (AVV) ist erforderlich, sobald personenbezogene Daten im Auftrag verarbeitet werden. Er beschreibt Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenarten, betroffene Personengruppen, technische und organisatorische Maßnahmen, Löschkonzept, Meldewege bei Vorfällen und Regeln für Unterbeauftragte.
Ein pragmatischer Ansatz: NDA und AVV werden als Paket gedacht, weil Vertraulichkeit und Datenschutz zwar verwandt sind, aber unterschiedliche Schutzziele und Prüfpflichten abdecken.
Nach einem kurzen Abstimmungsgespräch lässt sich meist klar festlegen, was in eine gute NDA gehört:
- Vertrauliche Informationen: Definition, die auch Entwürfe, Terminologielisten, Translation-Memory-Inhalte und Projektnotizen umfasst
- Zugriff und Weitergabe: nur „Need-to-know“, keine Weitergabe ohne Freigabe, klare Regeln für Freelancer
- Laufzeit: Geheimhaltung über das Projektende hinaus, mit sinnvoller Fristlogik
- Rückgabe und Vernichtung: was wird wann gelöscht, was muss aus Gründen der Nachweisbarkeit archiviert werden
- Ausnahmen: bereits öffentlich, bereits rechtmäßig bekannt, gesetzliche Offenlegungspflichten
Sichere Datenwege: vom Upload bis zur Archivierung
Datenschutz scheitert selten an der Absicht, häufiger an Alltagsroutinen. „Kurz per E-Mail schicken“ oder „schnell in ein Online-Tool kopieren“ sind typische Momente, in denen aus einem gut gemeinten Prozess ein Sicherheitsvorfall werden kann.
Sichere Datenwege sind deshalb vor allem: planbar, dokumentiert, zugriffsbeschränkt. Dazu gehört die Übertragung (Transport), die Speicherung (at rest), die Zugriffskontrolle und das Ende des Lebenszyklus (Löschung oder Rückgabe).
Ein solides Mindestpaket technischer Maßnahmen umfasst häufig:
- verschlüsselter Upload- und Download statt ungeschützter E-Mail-Anhänge
- TLS-gesicherte Portale oder SFTP
- Verschlüsselung der Datenspeicherung und verschlüsselte Backups
- rollenbasierte Zugriffsrechte im Projektteam
- Mehrfaktor-Authentifizierung für externe Zugänge
- Protokollierung: wer hat wann welche Datei erhalten oder hochgeladen
- definierte Löschfristen nach Projektabschluss
Gerade bei wiederkehrenden Übersetzungen zahlt sich ein zentraler, sicherer Datenaustausch aus. Er reduziert Medienbrüche, verhindert Versionenchaos und macht Audits einfacher, weil Abläufe nachvollziehbar sind.
Cloud, CAT-Tools und maschinelle Übersetzung: Chancen mit Leitplanken
Professionelle Übersetzungen entstehen heute oft in CAT-Tools (Computer-Assisted Translation). Sie arbeiten mit Translation Memory, Terminologiedatenbanken und Qualitätssicherungsregeln. Das ist produktiv und steigert Konsistenz, führt aber zu einer neuen Datenschutzfrage: Wo liegen diese sprachlichen Daten, wem gehören sie, und wie werden sie getrennt?
Wichtig ist die Trennung nach Mandanten oder Kunden: Ein kundenspezifisches Translation Memory kann ein Sicherheitsgewinn sein, weil Inhalte nicht in offenen Pools landen. Gleichzeitig muss geregelt sein, ob und wie lange solche Ressourcen gespeichert werden dürfen.
Maschinelle Übersetzung ist ein Sonderfall. Es gibt gravierende Unterschiede zwischen frei zugänglichen Online-Übersetzern und Unternehmenslösungen mit vertraglich zugesichertem Schutz: keine Weiterverwendung zum Training, definierte Speicherfristen, EU-Hosting oder klar geregelte Drittlandtransfers, Protokollierung.
Ein guter Prüfpunkt lautet: Kann der Anbieter schriftlich zusichern, dass Inhalte nicht zu eigenen Zwecken genutzt werden und Subunternehmer transparent sind? Wenn die Antwort ausweichend ist, passt das Tool meist nicht zu sensiblen Inhalten aus Legal, HR, Finance oder M&A.
Qualitätsstandards als Sicherheitsanker: ISO & Prozesse
Datenschutz ist nicht nur Technik. Er lebt von wiederholbaren Abläufen: Wer darf Projekte anlegen? Wie werden Übersetzer ausgewählt? Wie wird Vertraulichkeit vertraglich abgesichert? Wie wird kontrolliert, dass Unterauftragnehmer die Regeln einhalten?
In der Übersetzungsbranche sind ISO-Standards ein hilfreicher Orientierungsrahmen. ISO 17100 beschreibt Anforderungen an Übersetzungsprozesse und Ressourcen, inklusive Vertraulichkeitsaspekten und Infrastruktur. ISO 9001 steht für ein etabliertes Qualitätsmanagement, das Verantwortlichkeiten, Dokumentation und kontinuierliche Prozesspflege fördert. Für Informationssicherheit ist ISO 27001 ein verbreiteter Referenzpunkt, auch wenn nicht jeder Dienstleister diese Zertifizierung führt.
Für Einkaufsabteilungen und Compliance-Teams ist eine kurze Checktabelle oft praktischer als lange Policy-Dokumente:
| Prüffrage | Warum es zählt | Typischer Nachweis/Signal |
|---|---|---|
| Gibt es einen AVV nach Art. 28 DSGVO? | Pflicht bei personenbezogenen Daten | AVV-Muster, ausgefüllte TOMs |
| Gibt es ein NDA oder verbindliche Vertraulichkeitsklauseln? | Schutz von Geschäftsgeheimnissen | NDA, Projektbedingungen, Verpflichtung von Mitarbeitern/Freelancern |
| Wie werden Dateien übertragen? | häufigster Schwachpunkt im Alltag | Kundenportal, SFTP, verschlüsselte E-Mail nur als Ausnahme |
| Wo werden Daten gespeichert und wie lange? | Datenminimierung, Löschpflichten | Löschkonzept, definierte Fristen, Ticket zur Löschung |
| Welche Subunternehmer sind beteiligt? | Kontrolle der Verarbeitungskette | Subprocessor-Liste, Freigabeprozess |
| Wie wird Zugriff gesteuert? | „Need-to-know“ praktisch umgesetzt | Rollenmodell, MFA, Protokolle |
| Welche Standards werden gelebt? | Prozesse bleiben stabil | ISO 17100, ISO 9001, interne Audits |
Ein Unternehmen wie die Eloquia Sprachschule Frankfurt, das neben individuellen Sprachtrainings auch als Übersetzungsbüro arbeitet, kann hier Vorteile bündeln: Sprachservice aus einer Hand, qualitätsgesicherte Abläufe, auf Wunsch Vertraulichkeitsvereinbarungen, sowie strukturierte Terminologie- und Translation-Memory-Arbeit. Entscheidend bleibt, dass die Sicherheitsanforderungen pro Projekt sauber festgelegt und dokumentiert werden.
Praxis-Check für Unternehmen: So wird aus Risiko Routine
Die meisten Datenschutzprobleme bei Übersetzungen lassen sich mit wenigen, gut platzierten Entscheidungen vermeiden. Es geht weniger um maximale Komplexität, mehr um klare Standards, die im Alltag funktionieren und von Fachabteilungen akzeptiert werden.
Wer Übersetzungen regelmäßig beauftragt, kann mit einem kurzen internen Standardprozess viel erreichen:
- Sensibilitätsstufe festlegen (öffentlich, intern, vertraulich, streng vertraulich) und daran den Workflow koppeln.
- Prüfen, ob personenbezogene Daten enthalten sind und ob ein AVV erforderlich ist.
- NDA und Vertraulichkeitskette sicherstellen, inklusive Freelancer und Lektorat.
- Sicheren Übertragungsweg definieren und E-Mail als Standard vermeiden.
- Tooling freigeben: CAT-Tools, Cloudspeicher, maschinelle Übersetzung nur nach vorheriger Freigabe.
- Löschung, Rückgabe und Archivierung klären, bevor das Projekt startet.
Oft hilft auch ein „Privacy by Design“-Blick auf den Text selbst. Muss wirklich jede Anlage mitübersetzt werden? Reicht eine anonymisierte Fassung für den ersten Durchlauf? Können Namen, Kontaktdaten oder Kontonummern vorab geschwärzt werden, ohne den Übersetzungszweck zu gefährden?
Wer diesen Prozess einmal etabliert, profitiert doppelt: Die Übersetzung wird verlässlicher planbar, und Datenschutz wird vom Bremsklotz zum Qualitätsmerkmal, das international Vertrauen schafft.