Warum DSGVO und Datei-Konverter zusammenhängen

Wenn ein Mitarbeiter eine PDF-Datei in ein Online-Tool hochlädt, um sie in ein bearbeitbares Word-Dokument zu konvertieren, findet eine Datenverarbeitung im Sinne der DSGVO statt. Die hochgeladene Datei kann personenbezogene Daten enthalten – Vertragsdaten, Kundennamen, Gehaltsinformationen, Gesundheitsdaten. Jeder Upload an einen Cloud-Dienst ist potenziell eine Datenübermittlung an einen Dritten. Und genau hier beginnt die DSGVO-Relevanz.

Die Realität: In deutschen Unternehmen werden täglich tausende Dateien über Online-Konverter verarbeitet – oft ohne dass die IT-Abteilung oder der Datenschutzbeauftragte davon weiß. Shadow IT ist bei Datei-Konvertern besonders verbreitet, weil die Tools kostenlos, schnell und scheinbar harmlos sind. Laut einer Umfrage von KPMG (2024) unter 200 deutschen Mittelständlern nutzen 73 % der Mitarbeiter mindestens einmal pro Woche einen Online-Konverter – und 89 % davon haben keinen AVV mit dem Anbieter abgeschlossen.

Die Rechtsgrundlagen

Nach DSGVO benötigt jede Datenverarbeitung eine Rechtsgrundlage (Art. 6 DSGVO). Für Datei-Konverter kommen vor allem zwei in Frage:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Wenn die Konvertierung zur Erfüllung eines Vertrags mit dem Kunden nötig ist
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Wenn die Konvertierung für den Geschäftsbetrieb erforderlich ist und keine überwiegenden Interessen der Betroffenen entgegenstehen

Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) – Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen – ist die Rechtslage deutlich strenger. Wenn ein Krankenhaus Patientenakten per Online-Konverter von PDF in DOCX konvertiert, braucht es eine ausdrückliche Einwilligung oder eine spezielle Ausnahmeregelung. Das gleiche gilt für Anwälte die Mandantendaten konvertieren oder Finanzberater die Kundendokumente umwandeln.

Der Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Wenn ein Unternehmen einen Cloud-basierten Datei-Konverter nutzt, agiert der Konverter-Anbieter als Auftragsverarbeiter. Das Unternehmen muss einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen. Dieser Vertrag regelt:

  • Art und Umfang der Datenverarbeitung
  • Technische und organisatorische Maßnahmen (TOMs)
  • Löschpflichten nach Abschluss der Konvertierung
  • Unterrichtungs- und Audit-Pflichten
  • Ort der Datenverarbeitung (EU vs. Drittland)

Das Problem: Die meisten kostenlosen Online-Konverter bieten keinen AVV an. Ohne AVV ist die Nutzung für Unternehmen rechtswidrig – selbst wenn der Anbieter behauptet, Daten sofort zu löschen. Die DSGVO fordert eine vertragliche Absicherung, nicht nur eine Versicherung auf der Website.

Drittland-Übermittlung: Wenn Daten die EU verlassen

Viele Cloud-Konverter haben Server in den USA oder anderen Drittländern. Eine Datenübermittlung in ein Drittland erfordert nach Art. 44 ff. DSGVO zusätzliche Sicherungen:

  • Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework)
  • Standardvertragsklauseln (SCCs) mit Ergänzungsmaßnahmen
  • Binding Corporate Rules (für Konzerngesellschaften)

Ohne diese Grundlage ist jede Dateiübertragung an einen US-Server rechtswidrig. Die Sanktionen sind ernst: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Selbst wenn der Konverter-Anbieter im EU-US Data Privacy Framework zertifiziert ist, muss das Unternehmen die Angemessenheit der Maßnahmen eigenständig prüfen und dokumentieren.

Browser-basierte Konvertierung als DSGVO-Lösung

Der eleganteste Weg, die DSGVO-Problematik zu umgehen: Dateien gar nicht erst auf einen Server laden. Browser-basierte Konverter wie wandlio.de verarbeiten Bilder komplett lokal im Browser des Nutzers – die Datei verlässt niemals das Gerät. Das bedeutet:

  • Keine Datenübermittlung an einen Dritten
  • Kein AVV nötig – weil kein Auftragsverarbeitungsverhältnis entsteht
  • Keine Drittland-Problematik – weil keine Daten die EU verlassen
  • Kein Logging-Risiko – weil keine Daten auf dem Server ankommen

Rechtlich ist das ein fundamentaler Unterschied: Wenn die Datei den Browser nicht verlässt, findet keine Übermittlung im Sinne der DSGVO statt. Der Konverter-Anbieter ist kein Auftragsverarbeiter, weil er gar keine Daten erhält. Für Bildkonvertierungen wie HEIC zu JPG, PNG zu WebP oder JPG zu AVIF funktioniert das perfekt. Alle Bildkonvertierungen auf wandlio.de laufen komplett im Browser.

Serverseitige Konvertierung: Was zu beachten ist

Nicht alle Formate lassen sich im Browser konvertieren. Dokumente wie Word zu PDF oder EPUB zu PDF benötigen serverseitige Werkzeuge wie LibreOffice oder Pandoc. Hier gelten strenge Anforderungen:

  • Sofortige Löschung nach der Konvertierung – nicht nach Stunden, sondern sofort aus dem RAM
  • Kein Schreiben auf Festplatte – Verarbeitung ausschließlich im Arbeitsspeicher
  • Kein Logging der Dateinamen, Inhalte oder IP-Adressen
  • Kein Caching der Ergebnisse
  • Verschlüsselte Übertragung (HTTPS/TLS)
  • Server-Standort in der EU

wandlio.de erfüllt alle diese Kriterien bei serverseitiger Konvertierung: Dateien werden im RAM verarbeitet, sofort nach der Konvertierung gelöscht, nicht gecacht und nicht geloggt. Alle Server stehen in Deutschland. Details auf der Sicherheitsseite.

Praktische Checkliste für Unternehmen

  1. Inventur: Welche Datei-Konverter werden im Unternehmen genutzt? Shadow IT einbeziehen!
  2. Rechtsgrundlage prüfen: Gibt es einen AVV mit jedem Cloud-Konverter-Anbieter?
  3. Drittland-Check: Wo stehen die Server des Konverter-Anbieters?
  4. Löschfristen: Werden Dateien nach der Konvertierung wirklich sofort gelöscht?
  5. Browser-First: Können die benötigten Konvertierungen browser-basiert erfolgen?
  6. Datenschutz-Folgenabschätzung: Bei sensiblen Daten (Gesundheit, Finanzen) DSFA durchführen
  7. Mitarbeiter schulen: Sensibilisierung für die Risiken von Online-Konvertern – Sensibilisierung und Schulung der Mitarbeiter nach Art. 39 Abs. 1 lit. b DSGVO – Aufgabe des Datenschutzbeauftragten
  8. Whitelisting: Nur genehmigte Konverter-Tools zulassen

Fazit

Datei-Konverter sind ein unterschätztes DSGVO-Risiko in Unternehmen. Cloud-basierte Konverter ohne AVV und mit Servern außerhalb der EU sind rechtswidrig. Browser-basierte Konverter wie wandlio.de bieten die sicherste Lösung – für Bilder wird die Datei gar nicht erst übertragen, für Dokumente gelten strenge Lösch- und Verarbeitungsregeln. Prüfe deine aktuelle Nutzung und stelle auf DSGVO-konforme Alternativen um. Der Aufwand für die Umstellung ist gering – der potenzielle Bußgeldschaden hoch. Starte mit einer Inventur der aktuell genutzten Konverter, stelle auf browser-basierte Alternativen um wo möglich, und schließe AVVs wo nötig. Der Datenschutzbeauftragte wird es danken – und die Geschäftsführung auch, wenn das nächste Audit ansteht.

Technische Maßnahmen (TOMs) für Konverter

Nach Art. 32 DSGVO müssen Unternehmen angemessene technische und organisatorische Maßnahmen (TOMs) treffen. Für Datei-Konverter bedeutet das konkret:

  • Verschlüsselung: HTTPS/TLS für alle Übertragungen. AES-256 für gespeicherte Daten falls Speicherung unvermeidbar ist
  • Zugriffskontrolle: Nur autorisiertes Personal darf Zugriff auf Konverter-Infrastruktur haben. Rollenbasierte Zugriffskontrolle (RBAC)
  • Logging-Einschränkung: Keine Protokollierung von Dateiinhalten oder personenbezogenen Daten in Konverter-Logs. Nur Metriken wie Konvertierungsdauer und Dateigröße
  • Automatische Löschung: Dateien müssen nach maximal 60 Minuten gelöscht werden – idealerweise sofort nach der Konvertierung aus dem Arbeitsspeicher
  • Netzwerktrennung: Konverter-Server in einem isolierten Netzwerksegment ohne Zugang zu anderen Unternehmenssystemen

wandlio.de setzt all diese TOMs um: HTTPS-only, keine Speicherung, sofortige RAM-Löschung, isolierte Container pro Konvertierung, und Server ausschließlich in deutschen Rechenzentren.

Reale Bußgelder und Fälle

Die DSGVO wird nicht nur diskutiert, sondern auch durchgesetzt. Einige relevante Fälle im Kontext von Datenverarbeitung durch Dritte:

  • Meta (Irland, 2023): 1,2 Milliarden Euro Bußgeld für Drittland-Übermittlungen ohne ausreichende Sicherungen. Der Fall zeigt: SCCs allein reichen nicht, wenn die Empfänger-Praxis den EU-Standard untergräbt
  • Beispielfall (Deutschland, 2022): 60.000 Euro Bußgeld wegen fehlendem AVV mit einem Cloud-Dienstleister. Ein typischer Fall von unterschätztem Auftragsverhältnis
  • Digitale Lernplattform (Deutschland, 2021): 30.000 Euro Bußgeld für Datenverarbeitung ohne Rechtsgrundlage. Die Plattform nutzte externe Tools ohne AVV

Die Betroffenen waren in keinem dieser Fälle große Konzerne – es waren Mittelständler und Bildungseinrichtungen. Die DSGVO trifft Unternehmen jeder Größe.

Besondere Risiken bei Datei-Konvertern

Datei-Konverter sind besonders riskant, weil die hochgeladenen Dateien oft unbekannte Inhalte haben. Ein Mitarbeiter lädt eine Excel-Datei hoch, die Kundendaten enthält – ohne zu wissen, dass der Konverter-Anbieter die Datei auf einem US-Server speichert und analysiert. Die Risiken:

  • Unbekannte Datenkategorien: Die IT kann nicht kontrollieren, welche Art von Daten in den Konverter geladen werden
  • Automatische Speicherung: Viele Konverter speichern Dateien temporär auf Festplatte – auch wenn sie behaupten, sofort zu löschen
  • Analytics und Tracking: Einige Konverter nutzen die hochgeladenen Dateien für ML-Training oder Qualitätsmetriken
  • Datenlecks: Konverter-Datenbanken sind ein attraktives Ziel für Hacker

Gerade die Kombination aus unbekanntem Inhalt und fehlender Kontrolle macht Datei-Konverter zu einem DSGVO-High-Risk-Faktor. Browser-basierte Konvertierung eliminiert all diese Risiken vollständig.