Lädt Ihr Steuerberater Ihre Gehaltsabrechnungen auf x-beliebige PDF-Seiten hoch?
Ihr Steuerbüro verwaltet Gehaltsabrechnungen, Verträge und Steuererklärungen. Werden diese PDFs auf einer beliebigen Website zusammengeführt oder geteilt, hat Ihre Daten das Haus verlassen. Hier ist die Lösung.
Überlegen Sie einmal, wer dieses Jahr Ihre Gehaltsabrechnung in den Händen hatte. Sie selbst, Ihr Arbeitgeber und ziemlich sicher ein Steuerberater oder eine Lohnbuchhaltung. Und nun denken Sie an den Moment, in dem dieses PDF mit dem aus dem Vormonat zusammengeführt oder für die Bank in einzelne Seiten geteilt werden musste. Wo ist das passiert?
Für viele Berufstätige lautet die Antwort: auf einer kostenlosen Website, die sie auf der ersten Seite der Suchergebnisse gefunden haben. Sie ziehen Ihre Gehaltsabrechnung hinein, klicken auf einen Knopf, laden das Ergebnis herunter und machen weiter. Das funktioniert. Es bedeutet aber auch, dass Ihr Gehalt, Ihre Bankverbindung und Ihre Ausweisnummer gerade auf einen Server gewandert sind, von dem Sie noch nie gehört haben.
Genau darüber lohnt es sich zu reden.
Die Dokumente, die durch fremde Hände gehen
Ihre sensiblen PDFs bearbeiten Sie selten selbst. Sie laufen über Zwischenstationen.
Lohnbüros und Steuerberater sehen Gehaltsabrechnungen, Verträge, Steuererklärungen und Bankbescheinigungen. Personalabteilungen verarbeiten Ausweisscans, Sozialversicherungsnummern, Krankmeldungen und manchmal ärztliche Atteste. Anwaltskanzleien haben mit allem zu tun, von Scheidungsunterlagen bis zu Erbschaftsdokumenten. Das Verwaltungsbüro einer Praxis führt Überweisungsschreiben und Befunde zu einer Datei für die Versicherung zusammen.
Jede dieser Personen muss irgendwann etwas Banales mit einem PDF anstellen. Vier Dateien zu einer zusammenfügen. Die Seiten 3 bis 7 aus einem 40-seitigen Scan herausziehen. Eine Datei verkleinern, damit sie in eine E-Mail passt. Nichts davon ist glamouröse Arbeit, und genau deshalb wird sie mit dem schnellsten Werkzeug erledigt, nicht mit dem sichersten.
„Nach einer Stunde gelöscht” ist keine Garantie
Die meisten Online-PDF-Tools laden Ihre Datei auf ihren Server hoch, führen die Operation dort aus und schicken Ihnen das Ergebnis zurück. Das kleine Banner mit der Aufschrift „Ihre Dateien werden nach 1 Stunde gelöscht” mag völlig aufrichtig gemeint sein. Das Problem ist: Sie können es nicht überprüfen, und der Steuerberater, der das Tool benutzt, kann es auch nicht.
Sobald eine Gehaltsabrechnung auf dem Server eines anderen liegt, und sei es nur kurz, entgleiten einige Dinge der Kontrolle aller Beteiligten. Logs und Backups können Kopien über das versprochene Zeitfenster hinaus aufbewahren. Der Server selbst kann gehackt werden. Das Tool läuft womöglich auf einer Infrastruktur, die ihm gar nicht gehört, und schleust Ihre Datei durch Speicher-Buckets und Verarbeitungswarteschlangen, von denen niemand etwas erwähnt hat. Ein Dokument, das nie einen Laptop verlässt, kann auch nicht bei einem Datenleck irgendwo anders nach außen dringen.
Bei einem Urlaubsfoto ist das egal. Bei einer Datei mit Ihrem Gehalt und Ihrer Ausweisnummer sieht die Rechnung anders aus.
Was die DSGVO tatsächlich von ihnen verlangt
Hier kommt der Teil, den Berufstätige manchmal überspringen. Wenn ein Steuerberater oder ein Personalbüro Ihre Daten verarbeitet, behandelt die DSGVO diese nicht als deren Privatangelegenheit, mit der sie tun und lassen können, was sie wollen. Sie verarbeiten personenbezogene Daten im Auftrag anderer, und damit gehen Pflichten einher.
Von ihnen wird erwartet, dass sie geeignete technische Maßnahmen treffen, um diese Daten zu schützen (Artikel 32). Sie sollen wissen, mit wem sie die Daten teilen, und eine beliebige PDF-Website, die eine hochgeladene Datei entgegennimmt, ist ein Dritter in dieser Kette. Wenn sie Ihre Daten an einen Auftragsverarbeiter weitergeben, muss es einen Vertrag geben, der das regelt. Und wenn diese Website ein Datenleck erleidet, sind es diejenigen, deren Gehaltsabrechnungen offengelegt wurden, die den Preis dafür zahlen, in Stress und Schlimmerem.
Die Steuererklärung eines Mandanten auf ein unbekanntes Gratis-Tool hochzuladen, um dreißig Sekunden zu sparen, lässt sich mit all dem kaum vereinbaren. Die meisten Berufstätigen, die es tun, haben schlicht nie darüber nachgedacht, wohin die Datei geht. Das Tool fühlte sich an wie ein Taschenrechner, nicht wie eine Datenübertragung.
Die Lösung: die Datei auf dem Gerät behalten
Es gibt eine Kategorie von PDF-Tools, die anders funktioniert. Statt Ihre Datei an einen Server zu schicken, führt sie die gesamte Operation im Browser aus. Der Code wird einmal auf das Gerät geladen, Ihr PDF wird im eigenen Speicher des Browsers geöffnet und bearbeitet, und die fertige Datei wird direkt wieder auf demselben Rechner gespeichert. Das Dokument geht nirgendwohin.
So funktioniert reader.me, und das ist der Grund, warum es zu sensiblen Dokumenten passt. Wenn ein Lohnbüro unser Tool zum PDF zusammenfügen verwendet, um einen Stapel Gehaltsabrechnungen zu kombinieren, werden diese Dateien auf deren Computer verarbeitet, in deren Browser. Nichts wird zu uns hochgeladen, weil es keinen Server-Schritt gibt, zu dem man hochladen könnte. Schließen Sie den Tab, und der Arbeitsspeicher ist leer.
Sie müssen das auch nicht einfach glauben. Öffnen Sie die DevTools des Browsers, gehen Sie zum Tab „Network”, führen Sie eine Zusammenführung aus und schauen Sie zu: Keine Anfrage trägt Ihre Datei nach draußen. Wenn die Datei in keinem Anfrage-Body steckt, wurde sie nirgendwohin gesendet.
Was Sie konkret tun sollten
Wenn Sie der Berufstätige sind, ändern Sie eine Gewohnheit. Bevor Sie die Gehaltsabrechnung oder den Vertrag eines Mandanten in ein Web-Tool geben, fragen Sie sich, ob es im Browser oder auf einem Server verarbeitet. Wenn Sie es nicht erkennen können, machen Sie einmal den DevTools-Test und finden Sie es heraus. Wählen Sie ein Tool, das clientseitig arbeitet, und machen Sie es zu Ihrem Standard. Es ist ohnehin schneller, weil es keine Hin- und Her-Reise für Upload und Download gibt, und es funktioniert weiter, wenn das Büro-WLAN ausfällt.
Wenn Sie der Mandant sind, dürfen Sie fragen. Wenn Ihr Steuerbüro oder die Personalabteilung das nächste Mal Ihre Dokumente bearbeitet, fragen Sie nach, wie sie Ihre PDFs verarbeiten und ob die Dateien deren Computer verlassen. Eine gute Antwort ist „Alles bleibt auf unserem Rechner”. Ein Schulterzucken ist ein Zeichen, dem man nachgehen sollte. Es geht um Ihr Gehalt und Ihren Ausweis auf diesen Seiten, und zu fragen, wohin sie wandern, ist eine völlig vernünftige Sache.
Die Arbeit selbst ist trivial. Ein paar Dateien zusammenzuführen dauert Sekunden. Die einzige Frage ist, ob diese Sekunden auf Ihrem Gerät oder auf dem Server eines Fremden ablaufen, und bei einer Gehaltsabrechnung ist das eine Frage, bei der es sich lohnt, sie richtig zu beantworten.
Nach Kategorie entdecken