Jedes Foto, das dein Handy macht, speichert mehr als nur das Bild. Eingebettet sind GPS-Koordinaten, Gerätemodell, Objektiveinstellungen, Datum und Uhrzeit, manchmal sogar dein Name. Wer diese Daten ausliest, weiß, wo und wann du warst. Was in deinen Bildern steckt, welche Plattformen es entfernen und welche eben nicht.
Was sind EXIF, IPTC und XMP?
In Bilddateien stecken drei Arten von Metadaten, die das eigentliche Bild begleiten:
- EXIF (Exchangeable Image File Format) wird automatisch von der Kamera geschrieben: GPS-Position, Gerätemodell, Brennweite, Blende, ISO, Belichtungszeit, exakter Zeitstempel.
- IPTC umfasst manuell gepflegte Felder wie Bildunterschrift, Urheber, Copyright, Stichwörter.
- XMP ist ein moderneres, erweiterbares Format, das beide Welten umfasst und z. B. von Bildbearbeitungssoftware genutzt wird.
Der heikelste Teil ist EXIF, genauer die GPS-Koordinaten. Ein einziges Foto, das du zu Hause aufgenommen hast, kann deine Wohnadresse auf wenige Meter genau preisgeben, ohne dass du je eine Adresse eingegeben hast.
Der gefährliche Irrtum: „Soziale Netzwerke entfernen das doch"
Halb richtig, und genau deshalb gefährlich. Die großen Plattformen entfernen sensible Metadaten aus der Version, die andere Nutzer herunterladen können. Aber zwei Dinge übersehen die meisten:
- Die Plattform erhält dein Original-Foto inklusive aller Metadaten beim Upload. Sie entfernt sie nur aus der öffentlichen Kopie. Intern wird die Position oft gespeichert und ausgewertet. Facebook etwa entfernt EXIF seit 2012 aus dem öffentlichen Bild, liest die Standortdaten aber serverseitig für Werbe-Targeting aus. Bei Instagram ist es dieselbe Logik: GPS verschwindet aus dem Download, bleibt aber intern erhalten.
- Das Verhalten hängt stark von der Plattform, der Funktion und dem Upload-Weg ab. Was im öffentlichen Feed entfernt wird, kann in Direktnachrichten oder beim Upload in höherer Qualität erhalten bleiben.
Und selbst wenn die GPS-Daten weg sind: Plattformen können deinen Standort weiterhin aus IP-Adresse, App-Telemetrie, manuellen Ort-Tags oder schlicht dem Bildinhalt selbst ableiten.
Wer entfernt, wer nicht (Stand 2026)
| Dienst | Verhalten |
|---|---|
| Instagram, Facebook, X, LinkedIn | öffentliche Downloads werden bereinigt, intern werden Daten teils gespeichert |
| TikTok | re-encodiert alles, GPS verschwindet als Nebeneffekt |
| WhatsApp (Foto-Modus) | entfernt GPS und die meisten EXIF-Daten |
| WhatsApp (Dokument-Modus) | ⚠️ behält alle Metadaten: GPS, Gerät, Zeitstempel |
| Telegram (Foto-Modus) | komprimiert und entfernt EXIF dabei als Nebeneffekt |
| Telegram (Als Datei) | ⚠️ behält volle EXIF-Daten inklusive GPS |
| iMessage | behält volle Metadaten |
| Signal | entfernt alles vor dem Senden |
Die Falle ist der Datei- bzw. Dokument-Modus: Viele schicken Fotos „als Datei", um Qualitätsverlust zu vermeiden, und übertragen damit unbemerkt das komplette Original samt GPS. Bei Messengern ist Signal der Goldstandard, weil es Metadaten konsequent vor dem Versand entfernt und nichts auf seinen Servern speichert.
Die DSGVO-Dimension
Für Unternehmen ist das kein Nischenthema. GPS-Koordinaten und Geräte-Identifikatoren in Fotos sind personenbezogene Daten im Sinne der DSGVO. Wer Nutzerfotos verarbeitet, auf einer Website veröffentlicht oder weitergibt, schleppt potenziell Standort- und Geräteprofile mit, oft ohne es zu wissen. Wer Bilder von Mitarbeitenden, Kunden oder Veranstaltungen publiziert, sollte EXIF-Daten als festen Schritt im Workflow entfernen, nicht als Gedanken hinterher.
Die einzige verlässliche Lösung: vorher entfernen
Die Erkenntnis aus allen Tests ist eindeutig: Verlass dich nicht darauf, dass die Plattform deine Metadaten entfernt. Das Verhalten ändert sich ohne Ankündigung, unterscheidet sich je nach Upload-Weg, und in jedem Fall hat die Plattform dein Original bereits erhalten.
Die einzige Methode, die unabhängig von der Plattform funktioniert, ist das Entfernen vor dem Hochladen oder Teilen.
Praktischer Nebeneffekt einer Bildkonvertierung: Wird ein Foto in einem browserbasierten Konverter neu kodiert (etwa per Canvas-Re-Encoding von HEIC nach JPG oder von JPG nach PNG), fallen die EXIF-Daten dabei in der Regel weg. Das Ergebnisbild enthält nur noch die Pixel, nicht mehr die Aufnahme-Metadaten. Wenn das lokal im Browser passiert, verlässt dein Original dabei nicht einmal dein Gerät.
Kurz-Checkliste
- Vor dem Teilen entfernen, nicht auf die Plattform vertrauen.
- Niemals als „Dokument" verschicken, wenn Privatsphäre zählt.
- Bei sensiblen Fotos (Zuhause, Kinder, Arbeitsplatz) grundsätzlich bereinigen.
- Im Unternehmen EXIF-Entfernung als festen Schritt vor jeder Veröffentlichung einplanen.
Bilder lokal bereinigen mit wandlio
Wenn du ein Foto über wandlio konvertierst, läuft die Bildkonvertierung lokal in deinem Browser. Das Original wird nicht hochgeladen, und das neu kodierte Bild trägt die Aufnahme-Metadaten nicht mehr mit:
- HEIC → JPG: iPhone-Fotos kompatibel und sauber machen
- JPG → PNG: verlustfrei neu kodieren
- PNG → JPG: Dateigröße reduzieren
- JPG → WebP: fürs Web optimieren
Kein Account, kein Upload, und die Datei wird immer gelöscht.