Es ist Januar. Im Postfach liegt ein 200-seitiger Entwurf eines Geschäftsberichts, der Liefertermin ist knapp, und DeepL ist einen Klick entfernt. In der Mail steht: „bitte streng vertraulich behandeln“. Diese eine Zeile bindet weniger, als Sie denken – und übersieht das eigentliche Problem völlig.
Ich übersetze seit 2008 hauptberuflich, ein großer Teil davon Finanzberichterstattung für börsennahe Kunden. Jede Berichtssaison erreicht mich dieselbe Konstellation: ein knapper Termin, ein sensibler Entwurf und die stille Annahme, dass „vertraulich“ heißt, der Übersetzer schicke die Datei einfach nicht weiter. Das greift zu kurz. Bevor Sie einen vorläufigen Geschäftsbericht in irgendein Werkzeug einfügen – cloudbasiert oder nicht – sollten Sie wissen, was dieses Dokument rechtlich ist.
Was Ihr Berichtsentwurf nach EU-Recht ist
Die EU-Marktmissbrauchsverordnung (Market Abuse Regulation, kurz MAR) definiert in Artikel 7 die Insiderinformation. Vier Merkmale müssen zusammenkommen: Die Information ist präzise, sie ist nicht öffentlich, sie betrifft einen Emittenten oder ein Finanzinstrument, und sie wäre geeignet, bei Veröffentlichung den Kurs erheblich zu beeinflussen. Ein Berichtsentwurf mit Ergebniszahlen vor der Veröffentlichung erfüllt alle vier. Er ist präzise, er ist offensichtlich nicht öffentlich, er betrifft den Emittenten, und Quartals- oder Jahreszahlen bewegen Kurse. Das ist keine Auslegungsfrage.
Wichtiger noch: MAR behandelt nicht nur den fertigen Bericht so. Artikel 7 Absatz 2 und 3 stellen klar, dass auch Zwischenschritte eines gestreckten Vorgangs eigenständig Insiderinformationen sein können, wenn sie die Kriterien erfüllen. Mit anderen Worten: Der unfertige Entwurf, den Sie mir im Januar schicken, ist nicht weniger sensibel als die Endfassung. Er ist genau deshalb sensibel, weil er noch nicht veröffentlicht ist.
Daraus folgt etwas, das viele IR-Teams überrascht. Wer als Übersetzer einen solchen Entwurf erhält, wird nach MAR Artikel 8 Absatz 4 zum Insider „kraft Berufsausübung“ – also zu einer Person, die durch ihre berufliche Tätigkeit Zugang zu Insiderinformationen hat. Die Verbote des Insiderhandels und der unrechtmäßigen Offenlegung greifen in dem Moment, in dem die Datei bei mir ankommt. Nicht beim Liefern, nicht beim Lesen – beim Empfang.
Und hier wird DeepL zur rechtlichen Frage, nicht zur Bequemlichkeitsfrage. MAR Artikel 10 definiert die unrechtmäßige Offenlegung als die Weitergabe von Insiderinformationen an „jede andere Person“, außer die Weitergabe geschieht im Rahmen der normalen Berufsausübung. Es gibt keine Ausnahme für automatisierte Verarbeitung. Ein Server ist keine Ausnahme. Wer einen Berichtsentwurf in eine Cloud-Übersetzungsmaschine einfügt, deren Betreiber sich das Speichern oder Mitlesen vorbehält, riskiert, eine Offenlegung im Sinne des Artikel 10 auszulösen – ganz gleich, ob ein Mensch oder ein Algorithmus den Text auf der anderen Seite verarbeitet.
Dazu kommt die Insiderliste. MAR Artikel 18 verpflichtet Emittenten und alle, die in ihrem Auftrag handeln, eine Liste aller Personen mit Zugang zu Insiderinformationen zu führen – ausdrücklich einschließlich externer Berater. Ein Übersetzer oder eine Agentur, die einen kursrelevanten Entwurf bearbeitet, gehört auf diese Liste und muss schriftlich bestätigen, die rechtlichen Pflichten und Sanktionen zu kennen. Wenn Ihr externer Sprachdienstleister auf dieser Liste fehlt, ist das nicht nur ein Formfehler beim Dienstleister – es ist eine Lücke in Ihrer eigenen Dokumentation.
Sonderfall Doppelnotierung: London und Frankfurt
Für Emittenten, deren Papiere an einem britischen und einem EU-Handelsplatz gehandelt werden, gilt seit dem Brexit ein doppeltes Regime. UK MAR (durchgesetzt von der FCA) und EU MAR (durchgesetzt von der jeweils zuständigen EWR-Behörde) bestehen parallel. Ein Berichtsentwurf für einen in Frankfurt und London notierten Emittenten ist Insiderinformation unter zwei Aufsichtsregimen gleichzeitig. Wer London im Portfolio hat, sollte das im Hinterkopf behalten, wenn er die Vertraulichkeitskette für die Übersetzung aufsetzt.
Was ein brauchbarer Übersetzer-NDA abdecken muss
Eine generische Freelancer-Geheimhaltungsvereinbarung – die zwei Absätze, die in vielen Standardverträgen stehen – reicht für Berichtssaison-Aufträge nicht. Der NDA, den ich für diese Aufträge verwende, läuft über vier Seiten. Das ist kein Selbstzweck. Jeder Abschnitt existiert, weil er ein konkretes Risiko schließt.
- Reichweite des Schutzgegenstands: nicht nur „das Dokument“, sondern auch Entwürfe, Segmentpaare im Translation Memory, Termbase-Einträge und Metadaten. Eine kursrelevante Zahl steckt nach der Übersetzung als Segmentpaar im TM – wenn der NDA nur die PDF-Datei nennt, ist diese Spur ungeschützt.
- Ausdrückliches Verbot der Unterbeauftragung: kein Einsatz einer MT-Engine, keiner Cloud-TM und keines Offshore-Lektors ohne schriftliche Zustimmung. Ohne diese Klausel kann ein Dienstleister formal sauber „nur intern“ arbeiten und trotzdem eine Cloud-Maschine einbinden.
- Lösch- oder Rückgabeplan: ein definierter Zeitpunkt, zu dem alle Kopien gelöscht oder zurückgegeben werden, samt Bestätigung.
- Vertragsstrafe: ein pauschalierter Schadensersatz, der greift, ohne dass im Streitfall erst der konkrete Schaden beziffert werden muss.
- Zweckbindung statt Allzweck: ein auf Finanzübersetzung zugeschnittener NDA benennt MAR-Pflichten, Insiderlisten und die Besonderheiten vorläufiger Berichte. Ein Allzweck-NDA tut das nicht.
Der zentrale Punkt: Ein guter NDA verbietet nicht abstrakt „Weitergabe“, sondern benennt die technischen Wege, auf denen ein Entwurf abfließen kann. Genau diese Wege übersieht die Zeile „bitte streng vertraulich behandeln“ aus der Januar-Mail.
DSGVO und der Auftragsverarbeitungsvertrag
Neben MAR steht ein zweites Regelwerk, und es greift nur unter einer Bedingung. Enthält der Entwurf personenbezogene Daten – Namen von Vorstandsmitgliedern, Mitarbeiterzahlen nach Region, Vergütungsangaben –, dann verarbeite ich als Übersetzer personenbezogene Daten im Auftrag des Emittenten. Damit werde ich Auftragsverarbeiter nach DSGVO Artikel 28, und es braucht einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag).
Eine Unterscheidung, die in der Praxis oft fehlt: Ein reiner Finanzbericht ohne individuelle Personendaten fällt nicht unter die DSGVO – Zahlenwerk allein ist kein personenbezogenes Datum. Aber sobald Vorstandsnamen, regionale Kopfzahlen oder Vergütungsoffenlegungen auftauchen, ist die volle Auftragsverarbeiter-Kette wieder aktiv. Und ein Geschäftsbericht enthält praktisch immer solche Angaben. Sie sollten also davon ausgehen, dass beide Regime gleichzeitig gelten: MAR für die Kursrelevanz, DSGVO für die Personendaten.
DSGVO Artikel 28 Absatz 3 schreibt vor, was der AV-Vertrag enthalten muss: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien personenbezogener Daten und betroffener Personen. Der Auftragsverarbeiter muss verpflichtet werden, ausschließlich auf dokumentierte Weisung zu verarbeiten, Vertraulichkeit zu wahren, die Sicherheitsmaßnahmen nach Artikel 32 umzusetzen und alle Daten nach Abschluss zu löschen oder zurückzugeben. Schriftlich, auch elektronisch.
Der heikelste Teil betrifft den Serverstandort. Für personenbezogene Daten in einem Finanzentwurf ist eine Übermittlung an Server außerhalb der EU nach Kapitel V der DSGVO nicht ohne Weiteres zulässig. Und hier kommt der Satz, den ich in Briefings am häufigsten höre: „Der Server steht in Frankfurt.“ Das genügt nicht. Entscheidend ist nicht, wo ein Rechenzentrum physisch steht, sondern wer rechtlich Zugriff hat, ob Subunternehmer außerhalb der EU eingebunden sind und ob das alles schriftlich bestätigt ist. „Frankfurt“ ohne schriftliche Zusicherung ist eine Behauptung, kein Nachweis.
CAT-Tools, DeepL und das Cloud-Risiko
Hier wird es technisch, und hier entscheidet sich in der Praxis, ob ein Entwurf sicher bleibt. Zwei Werkzeugklassen sind relevant: das CAT-Tool, mit dem ich übersetze, und die maschinelle Übersetzung, die viele vorschalten.
Trados lokal gegen Trados in der Cloud
Trados Studio läuft lokal auf meinem Rechner; das Translation Memory liegt auf einem von mir kontrollierten System. Trados GroupShare dagegen legt TM-Daten in einer geteilten, oft cloudbasierten Umgebung ab – mit der Frage, wer dort Zugriff hat. Das ist nicht nebensächlich, denn die gängigen DSGVO-Zusätze für Trados (Data Protection Suite, Batch Anonymizer, Hyena) schützen nur die System-Metadaten der TM-Einträge, nicht den Textinhalt der Segmente. Eine vertrauliche Zahl im Segmenttext bleibt also auch mit aktiviertem Datenschutz-Add-on ungeschützt.
Daraus folgt das unterschätzteste Risiko überhaupt: die TM-Kontamination. Wird ein TM geteilt oder in der Cloud gehostet, kann ein vertrauliches Segment aus dem Bericht von Kunde A später als Fuzzy-Match-Vorschlag in der Datei von Kunde B auftauchen. Niemand hat etwas „weitergegeben“ im klassischen Sinn – und trotzdem steht eine kursrelevante Formulierung plötzlich in einem fremden Projekt. Deshalb arbeite ich für Berichtssaison-Aufträge mit projektisolierten, lokalen TMs, nicht mit einem geteilten Sammel-TM.
DeepL: free, Pro und API sind drei verschiedene Dinge
Die wichtigste Erkenntnis vorweg: „DeepL“ ist kein einheitliches Datenschutzversprechen. Es gibt drei Welten.
Die kostenlose Weboberfläche ist für vertrauliche Dokumente schlicht verboten – durch DeepL selbst. Die Nutzungsbedingungen der Free-Variante untersagen ausdrücklich die Verarbeitung von Inhalten mit vertraulichen oder personenbezogenen Daten und behalten sich zugleich vor, eingereichte Inhalte zum Training der neuronalen Netze zu nutzen. Wer einen Berichtsentwurf in das kostenlose Webfeld einfügt, verstößt also gegen die Vertraulichkeitspflichten des Emittenten und – sobald Vorstandsnamen oder Vergütungsdaten enthalten sind – gegen die DSGVO. Beides in einem Klick.
DeepL Pro und API Pro geben eine deutlich stärkere Zusage: Eingereichte Texte werden nicht dauerhaft gespeichert und nach Abschluss der Leistung gelöscht. Wichtig für sensible Arbeit ist jedoch eine Ausnahme: Bei Fehlermustern kann DeepL verschlüsselte Inhalte zu Debugging-Zwecken bis zu 72 Stunden vorhalten. Diese Lücke gehört in jeden DPA für kursrelevante Texte ausdrücklich adressiert – nicht weil sie dramatisch ist, sondern weil ein vollständiger Vertrag sie benennen muss.
Und dann die Falle, die wie die sichere Wahl aussieht: die kostenlose API-Entwicklerstufe. Anders als die bezahlten Stufen behält sich DeepL für die API Developer (free) ausdrücklich das dauerhafte Speichern aller verarbeiteten Inhalte vor. Wer also glaubt, über die API sei man automatisch auf der sicheren Seite, irrt – es kommt auf die genaue Stufe und den dahinterliegenden Vertrag an.
Noch ein verbreitetes Missverständnis: Das „Opt-out aus dem KI-Training“ verhindert, dass Ihr Text in künftige Modellversionen einfließt. Es verhindert nicht zwangsläufig die kurzfristige Speicherung, die Debug-Vorhaltung oder den Zugriff im Fehlerfall. Opt-out ist nützlich, aber es ist kein Ersatz für eine vertragliche Lösch- und Standortzusage.
Die sichere Dateiübergabe
Selbst mit sauberem NDA und AV-Vertrag bleibt eine Schwachstelle: der Transportweg. Eine E-Mail mit passwortgeschütztem ZIP-Archiv ist für einen kursrelevanten, noch nicht veröffentlichten Entwurf zu wenig. Das Passwort wandert oft im selben Postfach oder per Messenger hinterher, und die Mail liegt auf mehreren Servern, über die niemand mehr Kontrolle hat.
- SFTP oder ein verschlüsseltes Kundenportal für den eigentlichen Dateiaustausch.
- Der virtuelle Datenraum (VDR) des Kunden, wenn ohnehin schon einer für die Berichtserstellung läuft – dann bleibt die Datei in einer Umgebung, die die IT-Sicherheit des Emittenten kontrolliert.
- Ein definiertes Zeitfenster für das Risiko zwischen Dateierstellung und Lieferung – je kürzer der Entwurf außerhalb kontrollierter Systeme liegt, desto besser.
Hier ist die Arbeitsteilung ehrlich zu benennen: Ich kann zusichern, was auf meiner Seite passiert – lokales Arbeiten, projektisoliertes TM, vereinbarter Kanal, fristgerechte Löschung. Den Kanal selbst und seine Härtung muss in der Regel die IT-Sicherheit des Kunden stellen. Beide Seiten zusammen schließen das Fenster; eine Seite allein nicht.
Agentur oder Freelancer: die Frage nach der Datenkette
Stellen Sie sich die Übergabe als Kette vor. Bei einem Mehrlieferanten-Workflow einer Agentur: Wie viele NDA-Glieder, wie viele AV-Verträge und wie viele Serverjurisdiktionen liegen zwischen dem Entwurf aus dem CFO-Büro und der gelieferten Datei? Projektmanagement, ausgelagerte Übersetzer, Lektorat, vielleicht ein Offshore-Schritt, dazu die Tool-Infrastruktur – jedes Glied ist ein eigener Vertrag und ein eigenes Risiko.
Als spezialisierter Einzelübersetzer biete ich das Gegenmodell: einen einzigen Verantwortlichen. Ein NDA, ein AV-Vertrag, ein Rechner, ein TM. Bei mir ist es ein Ein-Personen-Betrieb, und für sensible Berichte ist genau das ein Vorteil – die Kette ist so kurz, wie sie sein kann. Das heißt nicht, dass eine Agentur nie die richtige Wahl ist: Bei 380 Seiten in 14 Werktagen über mehrere Sprachen hinweg ist Skalierung manchmal unvermeidbar. Dann aber gilt es, die Kette aktiv zu prüfen, statt sie als Black Box zu behandeln.
Die Fragen, die ein IR-Team jedem Sprachdienstleister vor der Übergabe stellen sollte: Wer genau bekommt die Datei zu sehen? Wo liegen die Server, und gibt es das schriftlich? Welche Tools sind im Einsatz, und auf welcher Vertragsstufe? Steht der Dienstleister auf der Insiderliste? Wenn auf eine dieser Fragen ein Schulterzucken kommt, wissen Sie genug.
Checkliste für das Briefing von IR und Recht
Sechs Punkte, abzuhaken, bevor die erste Datei geteilt wird – nicht danach:
- NDA unterschrieben, bevor irgendeine Datei geteilt wird – mit Reichweite auf Entwürfe, TM-Segmente und Metadaten.
- AV-Vertrag nach DSGVO Artikel 28 geschlossen und abgelegt.
- EU-Serverstandort schriftlich bestätigt – nicht mündlich, nicht „liegt in Frankfurt“.
- KI-Training-Opt-out für jedes MT-Werkzeug im Workflow dokumentiert, samt Vertragsstufe.
- Sicherer Übertragungskanal vereinbart und getestet – SFTP, Portal oder Kunden-VDR.
- Aufbewahrungs- und Löschfrist gesetzt und protokolliert, mit Bestätigung der Löschung.
Eine Berichtssaison, die ich nicht vergesse
Ein Jahr erreichte mich der Entwurf eines Jahresberichts, der eine noch nicht veröffentlichte Gewinnwarnung enthielt – eine Zahl, die den Kurs am Tag der Veröffentlichung deutlich bewegen würde. In der Mail stand, wie so oft, „streng vertraulich“. Was tatsächlich trug, war nicht diese Zeile, sondern die Klausel im NDA, die jede Unterbeauftragung und jeden Cloud-Schritt ohne schriftliche Zustimmung untersagte. Ich arbeitete lokal, projektisoliert, mit vereinbartem Übertragungskanal, und die Datei verließ zu keinem Zeitpunkt mein kontrolliertes System.
Hätte derselbe Entwurf den Weg durch eine kostenlose Cloud-Maschine genommen, sähe die Rechnung anders aus: eine potenzielle Offenlegung nach MAR Artikel 10, eine kursrelevante Formulierung als Trainingsmaterial oder Fuzzy-Match in einem fremden Projekt, und – sobald Personendaten im Spiel sind – ein DSGVO-Verstoß obendrauf. Ein Klick, drei Regelwerke berührt. Die Versuchung war derselbe knappe Januar-Termin wie immer. Der Unterschied lag allein in der Vorbereitung.
Zur Einordnung in eigener Sache: Beglaubigte Übersetzungen biete ich nicht an – dafür braucht es ermächtigte Kolleginnen und Kollegen. Worum es hier geht, ist die vertrauliche, fachlich saubere Übersetzung Ihrer Finanzberichterstattung mit einer Datenkette, die so kurz wie möglich bleibt. Wenn Sie wissen wollen, wie das in Ihrem Berichtszyklus konkret aussieht, schauen Sie sich die Leistungen und Preise an oder fragen Sie ein Angebot an – am besten, bevor der nächste Januar im Postfach liegt.