Skip to content
reader.me

DSGVO und Dokumente: Was das Gesetz zum Hochladen von PDFs sagt

Ein PDF mit personenbezogenen Daten in ein Cloud-Tool hochzuladen, kann DSGVO-Pflichten auslösen. Was als Verarbeitung gilt, wer der Auftragsverarbeiter ist und warum lokal gewinnt.

AG Antonia González · 23. Juni 2026 · 7 Min. Lesezeit

Sie ziehen eine Rechnung in ein kostenloses Online-Tool, um sie zu verkleinern. Darauf stehen der Name eines Kunden, eine Adresse, vielleicht eine Steuernummer. Fünf Sekunden später haben Sie eine kleinere Datei und machen weiter. Ist gerade etwas rechtlich Relevantes passiert?

Nach der DSGVO durchaus möglich. Und die meisten Menschen denken nie darüber nach, weil das Dokument harmlos aussah und das Tool kostenlos schien.

Dies ist keine Rechtsberatung. Ich bin nicht Ihr Anwalt, und jede Situation hat ihre eigenen Details. Aber die Grundform der Regeln ist es wert, verstanden zu werden, denn sie verändert, wie Sie mit Dokumenten umgehen sollten, die die Daten anderer Menschen enthalten.

Was die DSGVO „Verarbeitung” nennt

Viele nehmen an, die DSGVO drehe sich um Datenbanken und Marketinglisten. Die tatsächliche Definition ist viel weiter gefasst. Verarbeitung ist fast alles, was Sie mit personenbezogenen Daten tun: sie erheben, speichern, lesen, ändern, weitergeben, löschen. Die Verordnung führt sogar „Abfrage” und „Verwendung” ausdrücklich als Formen der Verarbeitung auf.

Wenn Ihr PDF also personenbezogene Daten enthält (ein Name plus eine Telefonnummer reicht schon) und Sie etwas mit dieser Datei tun, dann verarbeiten Sie personenbezogene Daten. Komprimieren zählt. Zusammenführen zählt. Konvertieren zählt.

Das allein ist noch kein Problem. Unternehmen verarbeiten den ganzen Tag personenbezogene Daten. Die Frage, die die DSGVO stellt, ist wie Sie es tun und wer sonst noch die Daten unterwegs anfasst.

Warum das Hochladen einen „Auftragsverarbeiter” ins Spiel bringt

Hier kommt der Cloud-Teil ins Spiel. Wenn Sie diese Rechnung zu einem externen Dienst hochladen, verlässt die Datei Ihre Kontrolle und landet auf den Servern eines anderen. Dieses Unternehmen verarbeitet nun die personenbezogenen Daten in Ihrem Auftrag. Die DSGVO hat einen Namen dafür: einen Auftragsverarbeiter. Sie, die Person, die das entschieden hat, sind der Verantwortliche.

In dem Moment, in dem ein Auftragsverarbeiter beteiligt ist, kommen auf den Verantwortlichen echte Pflichten zu. Die wichtigste ist Artikel 28: Sie brauchen einen schriftlichen Vertrag mit diesem Auftragsverarbeiter, oft Auftragsverarbeitungsvertrag genannt. Er muss festlegen, was sie mit den Daten tun dürfen, wie sie sie schützen, wann sie sie löschen und ob sie sie an jemand anderen weitergeben dürfen.

Halten Sie einen Moment inne und denken Sie an das kostenlose PDF-Tool, das Sie letzten Monat benutzt haben. Haben Sie einen Auftragsverarbeitungsvertrag mit ihnen unterschrieben? Haben Sie nachgelesen, wo deren Server stehen? Haben Sie geprüft, wer ihre Unterauftragsverarbeiter sind? Mit ziemlicher Sicherheit nicht. Sie haben eine Datei mit den personenbezogenen Daten eines anderen zu einem Unternehmen hochgeladen, mit dem Sie keinen Vertrag haben. Das ist die Lücke.

Die Falle der internationalen Datenübermittlung

Heikler wird es, wenn die Server außerhalb der EU stehen. Personenbezogene Daten an einen Anbieter in einem anderen Land zu senden, ist eine Übermittlung, und die DSGVO schränkt diese ein. Sie brauchen dafür eine gültige Rechtsgrundlage, etwa Standardvertragsklauseln oder einen Angemessenheitsbeschluss für das betreffende Land.

Die meisten kostenlosen Tools verraten Ihnen nicht, wo sie laufen. Die Datei könnte in einem Rechenzentrum auf einem anderen Kontinent verarbeitet, durch eine Warteschlange geschleust, in einem Speicher-Bucket zwischengespeichert werden, und Sie hätten keine Möglichkeit, das zu erfahren. Für ein privates Urlaubsfoto in Ordnung. Für einen Vertrag voller Kundendaten haben Sie stillschweigend eine internationale Übermittlung vorgenommen, die Sie nicht dokumentieren können.

Datenminimierung, das Prinzip, das alle vergessen

Die DSGVO kennt ein Prinzip namens Datenminimierung. Sie sollten nur die personenbezogenen Daten verarbeiten, die Sie tatsächlich brauchen, und zwar auf die Weise, die am wenigsten eingreift. Es gibt auch ein verwandtes Prinzip: Denken Sie an den Datenschutz, wenn Sie einen Prozess gestalten, nicht erst danach.

Wenden Sie das auf eine einfache Aufgabe wie das Komprimieren eines PDFs an. Müssen Sie den Vertrag eines Kunden an einen Server eines Dritten senden, um ihn zu verkleinern? Nein. Die Komprimierung kann auf Ihrem eigenen Rechner stattfinden. Sie nach draußen zu schicken, bringt einen Auftragsverarbeiter ins Spiel, einen Vertrag, den Sie nicht haben, und vielleicht eine Übermittlung, die Sie nicht rechtfertigen können, alles nur für eine Änderung der Dateigröße. Das ist das Gegenteil von Minimierung.

Warum lokale Verarbeitung das meiste davon umgeht

Hier kommt der Teil, der das ganze Problem kleiner macht. Wenn die Datei Ihr Gerät nie verlässt, verarbeitet kein Dritter sie. Kein Auftragsverarbeiter bedeutet kein Vertrag nach Artikel 28, dem man hinterherlaufen müsste. Nichts überquert eine Grenze, also gibt es keine Übermittlung zu rechtfertigen. Sie sind weiterhin der Verantwortliche, Sie schulden der betroffenen Person weiterhin die übliche Sorgfalt, aber ein großer Teil des Papierkrams entfällt schlicht, weil niemand sonst die Daten angefasst hat.

Das ist die Idee hinter Tools, die vollständig in Ihrem Browser laufen. Der Code erledigt die Arbeit lokal, im Speicher Ihres Computers, und Ihr PDF bleibt, wo es ist. So haben wir reader.me gebaut. Wenn Sie ein PDF komprimieren, wird die Datei in Ihrem Browser verarbeitet und erreicht nie einen Server von uns. Öffnen Sie die DevTools Ihres Browsers, beobachten Sie den Tab „Network”, und Sie können bestätigen, dass nichts mit Ihrem Dokument nach draußen geht.

Praktische Schritte für Unternehmen und Freiberufler

Ein paar Gewohnheiten, die Sie auf der sicheren Seite halten:

  • Behandeln Sie jedes Dokument mit Namen, Ausweisnummern oder Kontaktdaten als personenbezogene Daten. Rechnungen, Verträge, Lebensläufe und medizinische Formulare zählen alle dazu.
  • Bevor Sie etwas in ein Cloud-Tool hochladen, fragen Sie, wer der Auftragsverarbeiter ist. Kein Auftragsverarbeitungsvertrag, keine klare Auskunft zum Serverstandort? Schicken Sie keine Kundendaten hindurch.
  • Greifen Sie bei Routinearbeiten standardmäßig zu lokalen Tools, etwa beim Komprimieren, Zusammenführen oder Teilen. Wenn es im Browser laufen kann, gibt es keinen Auftragsverarbeiter zu prüfen.
  • Führen Sie ein kurzes Verzeichnis darüber, welche Dienste personenbezogene Daten anfassen. Die DSGVO erwartet ohnehin, dass Verantwortliche das wissen.
  • Wenn Sie wirklich einen Cloud-Dienst brauchen, wählen Sie einen, der einen echten Auftragsverarbeitungsvertrag anbietet und Ihnen sagt, wo die Daten liegen.

Die Regeln klingen schwer, aber die alltägliche Lösung ist leicht. Die meiste PDF-Arbeit braucht überhaupt keinen Server. Behalten Sie die Datei auf Ihrem Rechner, und das meiste rechtliche Gewicht landet gar nicht erst bei Ihnen.