DSGVO-Risiko: Was passiert mit deinen PDF-Daten bei Online-Tools?
Online-PDF-Tools verarbeiten deine Dateien auf fremden Servern. Was das für die DSGVO bedeutet und welche Bußgelder drohen – eine Analyse mit echten Zahlen.
· 9 Min.
4,2 Milliarden Euro Bußgelder seit 2018 – und PDF-Tools sind ein blinder Fleck
Seit Inkrafttreten der DSGVO im Mai 2018 wurden laut GDPR Enforcement Tracker europaweit Bußgelder von über 4,2 Milliarden Euro verhängt. Die bekanntesten Fälle betreffen Tech-Giganten wie Meta (1,2 Mrd. Euro), Amazon (746 Mio. Euro) und WhatsApp (225 Mio. Euro).
Doch es trifft längst nicht nur Großkonzerne. Kleine und mittelständische Unternehmen werden zunehmend kontrolliert – und dabei fällt ein Datenschutzrisiko besonders oft durch die Prüfung: die unbedachte Nutzung von Online-PDF-Tools.
Was ist das konkrete DSGVO-Problem?
Die Rechtsgrundlage: Artikel 28 DSGVO
Wenn ein Unternehmen personenbezogene Daten durch einen externen Dienst verarbeiten lässt, handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Das erfordert:
1. Einen schriftlichen Auftragsverarbeitungsvertrag (AVV) 2. Prüfung der technischen und organisatorischen Maßnahmen (TOMs) des Anbieters 3. Sicherstellung, dass Daten nicht in unsichere Drittländer übertragen werden 4. Dokumentation in Ihrem Verzeichnis der Verarbeitungstätigkeiten
Was passiert in der Praxis?
Ein Mitarbeiter muss schnell ein PDF mit Kundendaten komprimieren. Er googelt "PDF komprimieren", öffnet das erste Ergebnis und lädt die Datei hoch. In diesem Moment passiert Folgendes:
- Die Datei wird auf einen fremden Server übertragen (oft in den USA)
- Es existiert kein AVV zwischen Ihrem Unternehmen und dem Tool-Anbieter
- Der Kunde wurde nicht informiert (Verstoß gegen Art. 13/14 DSGVO)
- Die Verarbeitung ist nicht dokumentiert (Verstoß gegen Art. 30 DSGVO)
- Eine Datenschutz-Folgenabschätzung wurde nicht durchgeführt (Art. 35 DSGVO)
Ergebnis: Bis zu 5 DSGVO-Verstöße in 30 Sekunden.
Die häufigsten PDF-Dokumente mit personenbezogenen Daten
| Dokumenttyp | Enthaltene Daten | DSGVO-Relevanz | |---|---|---| | Rechnungen | Name, Adresse, Bankdaten | Hoch | | Arbeitsverträge | Name, Gehalt, Sozialversicherung | Sehr hoch | | Bewerbungen | Lebenslauf, Foto, Kontaktdaten | Sehr hoch | | Arztbriefe | Diagnosen, Therapien | Höchste Stufe (Art. 9) | | Steuerbescheide | Einkommen, Steuer-ID | Sehr hoch | | Verträge | Unterschriften, persönliche Daten | Hoch | | Zeugnisse | Leistungsbewertungen | Hoch |
Welche Bußgelder drohen konkret?
Die DSGVO sieht zwei Bußgeldstufen vor:
Stufe 1: Bis zu 10 Mio. Euro oder 2% des Jahresumsatzes
- Fehlende technische Schutzmaßnahmen
- Fehlende Dokumentation der Verarbeitungstätigkeiten
- Kein Auftragsverarbeitungsvertrag
Stufe 2: Bis zu 20 Mio. Euro oder 4% des Jahresumsatzes
- Unrechtmäßige Datenverarbeitung
- Fehlende Rechtsgrundlage
- Verstoß gegen Betroffenenrechte
Echte Bußgeldfälle in Deutschland
- Deutsche Wohnen SE: 14,5 Mio. Euro – Unzulässige Speicherung personenbezogener Daten
- H&M Deutschland: 35,3 Mio. Euro – Überwachung von Mitarbeitern
- 1&1 Telecom: 9,55 Mio. Euro – Unzureichende Authentifizierung
- AOK Baden-Württemberg: 1,24 Mio. Euro – Fehlerhafte Datenverarbeitung bei Gewinnspielen
Wichtig: Diese Bußgelder betreffen nicht direkt PDF-Tools, sondern andere Sachverhalte. Sie zeigen jedoch, dass deutsche Aufsichtsbehörden Datenschutzverstöße verfolgen. Die Beträge stammen aus den jährlichen Tätigkeitsberichten der jeweiligen Landesdatenschutzbehörden – siehe Quellen am Ende des Beitrags.
Die versteckten Risiken bei beliebten PDF-Tools
Speicherdauer: Länger als versprochen
Eine Analyse von Stiftung Warentest (2024) ergab, dass viele PDF-Online-Tools:
- Dateien länger als angegeben speichern
- Server-Backups nicht berücksichtigen
- Metadaten (Dateiname, IP, Zeitstempel) dauerhaft aufbewahren
- Tracking-Cookies einsetzen, die Nutzerverhalten protokollieren
Drittanbieter-Zugriff
Viele PDF-Tools nutzen Sub-Auftragsverarbeiter (z.B. AWS, Google Cloud, Cloudflare), wodurch:
- Daten an weitere Unternehmen weitergegeben werden
- Die Kontrolle über den Verarbeitungsort verloren geht
- Zusätzliche AVVs erforderlich wären (die nie geschlossen werden)
KI-Training mit Ihren Daten
Ein wachsendes Risiko: Einige Anbieter nutzen hochgeladene Dokumente zum Training von KI-Modellen. In den AGB versteckt sich oft eine entsprechende Einwilligung, der Sie mit der Nutzung automatisch zustimmen.
Die Lösung: Keine Datenverarbeitung = Kein Risiko
MeinPDF.de eliminiert das DSGVO-Risiko vollständig, weil technisch keine Auftragsverarbeitung stattfindet:
Warum MeinPDF.de datenschutzrechtlich unbedenklich ist
- Keine Datenübermittlung – Kein Art. 28 DSGVO anwendbar
- Kein AVV nötig – Keine vertragliche Komplexität
- Keine Drittlandübermittlung – Schrems-II-Urteil irrelevant
- Keine Speicherung – Kein Löschkonzept erforderlich
- Keine Informationspflicht – Kein Art. 13/14 DSGVO
- Keine Datenpanne möglich – Kein Art. 33/34 DSGVO
Technischer Nachweis
Die lokale Verarbeitung lässt sich jederzeit nachweisen:
1. Öffnen Sie die Entwicklertools (F12) in Ihrem Browser 2. Wechseln Sie zum Netzwerk-Tab 3. Laden Sie eine PDF hoch und bearbeiten Sie sie 4. Ergebnis: Kein einziger Upload-Request wird gesendet
Dieser Nachweis ist auch für Datenschutzbeauftragte und Auditoren relevant.
Checkliste: Ist Ihr Unternehmen betroffen?
Beantworten Sie folgende Fragen:
- Nutzen Mitarbeiter Online-PDF-Tools ohne Freigabe der IT-Abteilung?
- Existiert ein AVV mit dem Anbieter des PDF-Tools?
- Ist die Nutzung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert?
- Wurde eine Datenschutz-Folgenabschätzung durchgeführt?
- Wissen die betroffenen Personen (Kunden, Mitarbeiter), dass ihre Daten hochgeladen werden?
Wenn Sie auch nur eine Frage mit "Nein" beantworten, besteht ein DSGVO-Risiko.
Empfehlung für Unternehmen
Sofortmaßnahmen
1. Bestandsaufnahme: Welche PDF-Tools werden im Unternehmen genutzt? 2. Risikobewertung: Werden personenbezogene Daten hochgeladen? 3. Alternative implementieren: Stellen Sie auf lokale Tools wie MeinPDF.de um 4. Mitarbeiterschulung: Sensibilisieren Sie Ihr Team für das Thema 5. Dokumentation: Aktualisieren Sie Ihr Verzeichnis der Verarbeitungstätigkeiten
Formulierung für Ihre IT-Richtlinie
> "Die Nutzung von Online-PDF-Tools, die einen Upload von Dateien auf externe Server erfordern, ist für Dokumente mit personenbezogenen Daten untersagt. Stattdessen sind ausschließlich lokal verarbeitende Lösungen wie MeinPDF.de zu verwenden."
Fazit: Handeln Sie, bevor die Aufsichtsbehörde kommt
Die DSGVO-Risiken bei Online-PDF-Tools sind real, messbar und vermeidbar. Mit lokaler PDF-Verarbeitung eliminieren Sie das Risiko an der Wurzel.
MeinPDF.de bietet alle wichtigen PDF-Funktionen – komprimieren, zusammenführen, konvertieren, unterschreiben, schützen – ohne ein einziges Byte auf einen Server zu übertragen.
Testen Sie es jetzt: Kostenlos, ohne Registrierung, DSGVO-konform.
---
MeinPDF.de – DSGVO-konform ohne darüber nachdenken zu müssen. Jetzt unter meinpdf.de ausprobieren.