DSGVO-Risiko: Was passiert mit deinen PDF-Daten bei Online-Tools?

Online-PDF-Tools verarbeiten deine Dateien auf fremden Servern. Was das für die DSGVO bedeutet und welche Bußgelder drohen – eine Analyse mit echten Zahlen.

· 9 Min.

4,2 Milliarden Euro Bußgelder seit 2018 – und PDF-Tools sind ein blinder Fleck

Seit Inkrafttreten der DSGVO im Mai 2018 wurden laut GDPR Enforcement Tracker europaweit Bußgelder von über 4,2 Milliarden Euro verhängt. Die bekanntesten Fälle betreffen Tech-Giganten wie Meta (1,2 Mrd. Euro), Amazon (746 Mio. Euro) und WhatsApp (225 Mio. Euro).

Doch es trifft längst nicht nur Großkonzerne. Kleine und mittelständische Unternehmen werden zunehmend kontrolliert – und dabei fällt ein Datenschutzrisiko besonders oft durch die Prüfung: die unbedachte Nutzung von Online-PDF-Tools.

Was ist das konkrete DSGVO-Problem?

Die Rechtsgrundlage: Artikel 28 DSGVO

Wenn ein Unternehmen personenbezogene Daten durch einen externen Dienst verarbeiten lässt, handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Das erfordert:

1. Einen schriftlichen Auftragsverarbeitungsvertrag (AVV) 2. Prüfung der technischen und organisatorischen Maßnahmen (TOMs) des Anbieters 3. Sicherstellung, dass Daten nicht in unsichere Drittländer übertragen werden 4. Dokumentation in Ihrem Verzeichnis der Verarbeitungstätigkeiten

Was passiert in der Praxis?

Ein Mitarbeiter muss schnell ein PDF mit Kundendaten komprimieren. Er googelt "PDF komprimieren", öffnet das erste Ergebnis und lädt die Datei hoch. In diesem Moment passiert Folgendes:

  • Die Datei wird auf einen fremden Server übertragen (oft in den USA)
  • Es existiert kein AVV zwischen Ihrem Unternehmen und dem Tool-Anbieter
  • Der Kunde wurde nicht informiert (Verstoß gegen Art. 13/14 DSGVO)
  • Die Verarbeitung ist nicht dokumentiert (Verstoß gegen Art. 30 DSGVO)
  • Eine Datenschutz-Folgenabschätzung wurde nicht durchgeführt (Art. 35 DSGVO)

Ergebnis: Bis zu 5 DSGVO-Verstöße in 30 Sekunden.

Die häufigsten PDF-Dokumente mit personenbezogenen Daten

| Dokumenttyp | Enthaltene Daten | DSGVO-Relevanz | |---|---|---| | Rechnungen | Name, Adresse, Bankdaten | Hoch | | Arbeitsverträge | Name, Gehalt, Sozialversicherung | Sehr hoch | | Bewerbungen | Lebenslauf, Foto, Kontaktdaten | Sehr hoch | | Arztbriefe | Diagnosen, Therapien | Höchste Stufe (Art. 9) | | Steuerbescheide | Einkommen, Steuer-ID | Sehr hoch | | Verträge | Unterschriften, persönliche Daten | Hoch | | Zeugnisse | Leistungsbewertungen | Hoch |

Welche Bußgelder drohen konkret?

Die DSGVO sieht zwei Bußgeldstufen vor:

Stufe 1: Bis zu 10 Mio. Euro oder 2% des Jahresumsatzes

  • Fehlende technische Schutzmaßnahmen
  • Fehlende Dokumentation der Verarbeitungstätigkeiten
  • Kein Auftragsverarbeitungsvertrag

Stufe 2: Bis zu 20 Mio. Euro oder 4% des Jahresumsatzes

  • Unrechtmäßige Datenverarbeitung
  • Fehlende Rechtsgrundlage
  • Verstoß gegen Betroffenenrechte

Echte Bußgeldfälle in Deutschland

  • Deutsche Wohnen SE: 14,5 Mio. Euro – Unzulässige Speicherung personenbezogener Daten
  • H&M Deutschland: 35,3 Mio. Euro – Überwachung von Mitarbeitern
  • 1&1 Telecom: 9,55 Mio. Euro – Unzureichende Authentifizierung
  • AOK Baden-Württemberg: 1,24 Mio. Euro – Fehlerhafte Datenverarbeitung bei Gewinnspielen

Wichtig: Diese Bußgelder betreffen nicht direkt PDF-Tools, sondern andere Sachverhalte. Sie zeigen jedoch, dass deutsche Aufsichtsbehörden Datenschutzverstöße verfolgen. Die Beträge stammen aus den jährlichen Tätigkeitsberichten der jeweiligen Landesdatenschutzbehörden – siehe Quellen am Ende des Beitrags.

Die versteckten Risiken bei beliebten PDF-Tools

Speicherdauer: Länger als versprochen

Eine Analyse von Stiftung Warentest (2024) ergab, dass viele PDF-Online-Tools:

  • Dateien länger als angegeben speichern
  • Server-Backups nicht berücksichtigen
  • Metadaten (Dateiname, IP, Zeitstempel) dauerhaft aufbewahren
  • Tracking-Cookies einsetzen, die Nutzerverhalten protokollieren

Drittanbieter-Zugriff

Viele PDF-Tools nutzen Sub-Auftragsverarbeiter (z.B. AWS, Google Cloud, Cloudflare), wodurch:

  • Daten an weitere Unternehmen weitergegeben werden
  • Die Kontrolle über den Verarbeitungsort verloren geht
  • Zusätzliche AVVs erforderlich wären (die nie geschlossen werden)

KI-Training mit Ihren Daten

Ein wachsendes Risiko: Einige Anbieter nutzen hochgeladene Dokumente zum Training von KI-Modellen. In den AGB versteckt sich oft eine entsprechende Einwilligung, der Sie mit der Nutzung automatisch zustimmen.

Die Lösung: Keine Datenverarbeitung = Kein Risiko

MeinPDF.de eliminiert das DSGVO-Risiko vollständig, weil technisch keine Auftragsverarbeitung stattfindet:

Warum MeinPDF.de datenschutzrechtlich unbedenklich ist

  • Keine Datenübermittlung – Kein Art. 28 DSGVO anwendbar
  • Kein AVV nötig – Keine vertragliche Komplexität
  • Keine Drittlandübermittlung – Schrems-II-Urteil irrelevant
  • Keine Speicherung – Kein Löschkonzept erforderlich
  • Keine Informationspflicht – Kein Art. 13/14 DSGVO
  • Keine Datenpanne möglich – Kein Art. 33/34 DSGVO

Technischer Nachweis

Die lokale Verarbeitung lässt sich jederzeit nachweisen:

1. Öffnen Sie die Entwicklertools (F12) in Ihrem Browser 2. Wechseln Sie zum Netzwerk-Tab 3. Laden Sie eine PDF hoch und bearbeiten Sie sie 4. Ergebnis: Kein einziger Upload-Request wird gesendet

Dieser Nachweis ist auch für Datenschutzbeauftragte und Auditoren relevant.

Checkliste: Ist Ihr Unternehmen betroffen?

Beantworten Sie folgende Fragen:

  • Nutzen Mitarbeiter Online-PDF-Tools ohne Freigabe der IT-Abteilung?
  • Existiert ein AVV mit dem Anbieter des PDF-Tools?
  • Ist die Nutzung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert?
  • Wurde eine Datenschutz-Folgenabschätzung durchgeführt?
  • Wissen die betroffenen Personen (Kunden, Mitarbeiter), dass ihre Daten hochgeladen werden?

Wenn Sie auch nur eine Frage mit "Nein" beantworten, besteht ein DSGVO-Risiko.

Empfehlung für Unternehmen

Sofortmaßnahmen

1. Bestandsaufnahme: Welche PDF-Tools werden im Unternehmen genutzt? 2. Risikobewertung: Werden personenbezogene Daten hochgeladen? 3. Alternative implementieren: Stellen Sie auf lokale Tools wie MeinPDF.de um 4. Mitarbeiterschulung: Sensibilisieren Sie Ihr Team für das Thema 5. Dokumentation: Aktualisieren Sie Ihr Verzeichnis der Verarbeitungstätigkeiten

Formulierung für Ihre IT-Richtlinie

> "Die Nutzung von Online-PDF-Tools, die einen Upload von Dateien auf externe Server erfordern, ist für Dokumente mit personenbezogenen Daten untersagt. Stattdessen sind ausschließlich lokal verarbeitende Lösungen wie MeinPDF.de zu verwenden."

Fazit: Handeln Sie, bevor die Aufsichtsbehörde kommt

Die DSGVO-Risiken bei Online-PDF-Tools sind real, messbar und vermeidbar. Mit lokaler PDF-Verarbeitung eliminieren Sie das Risiko an der Wurzel.

MeinPDF.de bietet alle wichtigen PDF-Funktionen – komprimieren, zusammenführen, konvertieren, unterschreiben, schützen – ohne ein einziges Byte auf einen Server zu übertragen.

Testen Sie es jetzt: Kostenlos, ohne Registrierung, DSGVO-konform.

---

MeinPDF.de – DSGVO-konform ohne darüber nachdenken zu müssen. Jetzt unter meinpdf.de ausprobieren.

MeinPDF.de