PDF-Zentrale

Recht & Compliance · 10 Min. Lesezeit

DSGVO und PDF: Was beim Verarbeiten sensibler Daten zählt

PDFs mit personenbezogenen Daten gehen täglich tausendfach durch deutsche Unternehmen. Bewerbungen, Verträge, Rechnungen, Personalakten, Steuerunterlagen. Wo die DSGVO bei der Verarbeitung tatsächlich greift und welche Maßnahmen pragmatisch sinnvoll sind.

Wo die DSGVO PDFs überhaupt erfasst

Die DSGVO gilt für die Verarbeitung personenbezogener Daten (Art. 4 Nr. 1, 2). Personenbezogen ist jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. PDFs sind das Speicher-Medium, der Inhalt entscheidet:

  • Personenbezogen: Name, Adresse, E-Mail, Telefon, Kontonummer, Sozialversicherungsnummer, IP-Adresse, Foto, Unterschrift
  • Sensibel (Art. 9): Gesundheitsdaten, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung, biometrische Daten, ethnische Herkunft
  • Nicht personenbezogen: anonymisierte Statistiken ohne Rückschluss-Möglichkeit, technische Spezifikationen, Quellcode

Praktisch heißt das: Eine Bewerbung-PDF (Name, Foto, Lebenslauf) fällt klar unter die DSGVO. Eine Rechnung-PDF an ein Unternehmen ohne Einzelpersonen-Bezug nicht. Ein Mietvertrag (Name, Adresse, Kontonummer) wieder ja.

Sechs Pflichten beim PDF-Workflow

Wer regelmäßig PDFs mit personenbezogenen Daten verarbeitet, muss sechs Kernpflichten erfüllen:

  1. Rechtsgrundlage (Art. 6 DSGVO): Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig.
  2. Zweckbindung (Art. 5 Abs. 1 lit. b): PDFs dürfen nur für den ursprünglichen Zweck verwendet werden. Eine Bewerbungs-PDF darf nicht für Marketing-Zwecke recycelt werden.
  3. Datensparsamkeit: Nur die wirklich benötigten Daten. Wenn der Zweck "Versand der Rechnung" ist, brauchst du nicht die Geburtstags-Information mit drin.
  4. Speicherbegrenzung: Löschen wenn der Zweck erfüllt ist und keine Aufbewahrungspflicht greift. Bei 10-Jahres-Aufbewahrungspflicht: nach 10 Jahren löschen.
  5. Integrität & Vertraulichkeit (Art. 32): Technisch-organisatorische Maßnahmen je nach Risiko. Zugriffskontrolle, Verschlüsselung, Backup-Strategie.
  6. Rechenschaftspflicht (Art. 5 Abs. 2): Bei Bedarf nachweisen können dass die obigen Punkte eingehalten wurden. Verarbeitungs-Verzeichnis (Art. 30) führen.

Tools-Wahl: Wo die DSGVO oft kippt

Online-PDF-Tools fallen je nach Architektur in drei Klassen:

  • Client-side / Browser-only (z.B. pdf-zentrale.de): das PDF verlässt dein Gerät nicht. Keine Auftragsverarbeitung, kein Drittland-Problem, keine Vertraulichkeits-Lücke. DSGVO-Risiko: minimal.
  • Server-Upload, EU-Anbieter mit AV-Vertrag: PDF wird hochgeladen, verarbeitet, zurückgegeben (oft gelöscht nach Verarbeitung). Erfordert AV-Vertrag (Art. 28), Server in EU/EWR.
  • Server-Upload, US-Anbieter: hier entstehen die Probleme. Ohne EU-US-DPF-Zertifizierung (seit Juli 2023) und ohne AV-Vertrag mit SCC-Klauseln nicht DSGVO-konform.

Bei sensiblen Daten (Bewerbungen, Verträge, Personalakten) gilt: nur Browser-only oder zertifizierte EU-Anbieter. Ein PDF mit Bewerbungsfoto an Smallpdf, ilovepdf oder ähnliche US-Tools hochzuladen ist ohne Einwilligung der betroffenen Person ein DSGVO-Verstoß.

Verschlüsselung: Wann Pflicht, wann nicht

Art. 32 DSGVO verlangt "geeignete technisch-organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungs-Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung". Verschlüsselung ist explizit als Beispiel genannt (Art. 32 Abs. 1 lit. a).

Praktisch differenziert die Aufsichtsbehörden zwischen Risikostufen:

  • Geringes Risiko (z.B. allgemeine Korrespondenz mit Geschäftspartnern): Verschlüsselung empfohlen, nicht zwingend
  • Normales Risiko (z.B. Bewerbungen, Rechnungen mit Bankdaten): Verschlüsselung bei E-Mail-Versand stark empfohlen
  • Hohes Risiko (z.B. Gesundheits-Daten, Steuerakten, Personalakten): Verschlüsselung nahezu zwingend
  • Sehr hohes Risiko (z.B. Patientenakten, Strafregister-Auszüge): zusätzlich Ende-zu-Ende-Verschlüsselung oder verschlüsselte Übertragungs-Kanäle (S/MIME, PGP)

Praktisch lohnt sich die Konvention: Sobald in einer PDF Konto-Daten, Sozialversicherungsnummer, Gesundheits-Bezüge oder Personalakten-Inhalte stehen, mit Passwort verschlüsseln und Passwort über separaten Kanal mitteilen. Mit PDF verschlüsseln auf pdf-zentrale.de geht das in Sekunden, AES-256.

Der versteckte DSGVO-Killer: Metadaten

PDFs enthalten standardmäßig Metadaten: Autor, Erstellungs-Software, Bearbeitungs-Datum, manchmal Editor-Name aus dem System. Beim Versand an Dritte verraten diese Metadaten oft mehr als gewollt:

  • "Autor: Erika Müller" auf einer angeblich anonymen Bewertung
  • "Letzte Bearbeitung: 2026-04-30 23:47" auf einer Datei die du angeblich am 1. Mai erstellt hast
  • "Erstellt mit: Microsoft Office Word, Lizenznehmer xy GmbH" beim Versand vermeintlich neutraler Dokumente

Vor Veröffentlichung oder Versand an Dritte: Metadaten cleanen. Mit PDF optimieren auf pdf-zentrale.de geht das automatisch (Optimierung räumt Metadaten mit auf), oder gezielt in Adobe Acrobat unter "Datei → Eigenschaften".

Aufbewahrungs- und Löschpflichten

Die DSGVO verlangt Löschung wenn der Zweck weggefallen ist (Art. 17 Recht auf Vergessen). Aber: andere Gesetze schreiben Aufbewahrung vor, das geht der Löschung vor:

  • Geschäftsbriefe (HGB § 257): 6 Jahre
  • Rechnungen, Steuerunterlagen (AO § 147): 10 Jahre
  • Personalakten: bis zu 10 Jahre nach Beendigung des Arbeitsverhältnisses (je nach Inhalt)
  • Bewerbungen abgelehnter Kandidaten: typisch 6 Monate nach Absage (Beweissicherung AGG)
  • Mietverträge nach Ende: typisch 3 Jahre (Verjährung Forderungen)

Nach Ablauf der Aufbewahrungs-Frist: löschen, dokumentieren, aufschreiben warum. Wer Daten "für alle Fälle" länger speichert riskiert ein DSGVO-Bußgeld bei Aufsichtsbehörden-Prüfung.

Versand-Strategie für sensible PDFs

Sechs Schritte für sensible PDFs (z.B. Vertrag mit Bank-Daten):

  1. Metadaten cleanen vor Versand
  2. Sensible Bereiche schwärzen falls Adressat sie nicht braucht
  3. PDF mit AES-256 verschlüsseln, langes Passwort (12+ Zeichen)
  4. PDF per E-Mail (oder besser: verschlüsselter Cloud-Link wie Tresorit)
  5. Passwort über zweiten Kanal (SMS, Anruf) — niemals in derselben E-Mail
  6. Empfänger zur Bestätigung des Erhalts auffordern, dann eigene Kopie nach Zwecks-Erfüllung löschen

Bei Datenschutz-Vorfall: Was tun

PDF-Datenpanne (z.B. versehentlich an falschen Empfänger geschickt, geleaked, gehackt):

  1. Sofort dokumentieren: Was, wann, wer, Umfang
  2. Risikobewertung: Sind sensible Kategorien betroffen, droht Identitätsdiebstahl, finanzielle Schäden?
  3. Innerhalb 72 Stunden Meldung an Aufsichtsbehörde (Art. 33), wenn Risiko vorhanden
  4. Bei hohem Risiko: Betroffenen-Information (Art. 34)
  5. Maßnahmen einleiten um Wiederholung zu verhindern, dokumentieren

Häufige Fragen

Sind PDFs an sich DSGVO-Probleme?

Nein, das Format ist neutral. Die DSGVO-Relevanz entsteht durch den Inhalt (personenbezogene Daten) und die Verarbeitung (wer hat Zugriff, wie wird übertragen, wo gespeichert).

Ist Online-PDF-Bearbeitung DSGVO-konform?

Nur wenn die Verarbeitung lokal im Browser passiert (kein Server-Upload), oder wenn der Anbieter einen AV-Vertrag (Auftragsverarbeitung) bietet, in der EU/EWR sitzt und SCC-Klauseln einhält. Tools die PDFs auf US-Server hochladen sind ohne EU-US-DPF-Zertifikat problematisch.

Was tun bei einem Datenschutz-Vorfall mit einer PDF?

Nach Art. 33 DSGVO innerhalb 72 Stunden Meldung an die zuständige Aufsichtsbehörde. Bei hohem Risiko zusätzlich Benachrichtigung der Betroffenen (Art. 34). Ursachenanalyse und technisch-organisatorische Maßnahmen dokumentieren.

Wie lange darf ich PDFs mit personenbezogenen Daten speichern?

So lange der Zweck es erfordert (Zweckbindung Art. 5). Bei Geschäftsverträgen typisch 10 Jahre nach GoBD. Bei Bewerbungen typisch 6 Monate nach Absage. Danach Pflicht zur Löschung wenn keine andere Rechtsgrundlage greift.

Müssen PDFs verschlüsselt werden?

Bei sensiblen Kategorien (Art. 9 DSGVO: Gesundheit, Religion, Gewerkschaftszugehörigkeit, etc.) faktisch ja, mit AES-128 oder höher. Bei normalen Geschäftsdaten je nach Risikoabwägung empfohlen. Generell: bei E-Mail-Versand verschlüsseln, bei internem Netz oft nicht zwingend.

Was ist mit den PDF-Metadaten?

Auch Metadaten sind personenbezogene Daten (Autor, Editor-History, Bearbeitungs-Zeitpunkte). Bei Versand an Dritte vor Veröffentlichung optimieren oder Metadaten gezielt entfernen. Adobe Acrobat: Datei → Eigenschaften → Beschreibung. Online-Tools die Metadaten cleanen sind im DSGVO-Kontext besonders nützlich.

Quellen

  • DSGVO Verordnung (EU) 2016/679, insbesondere Art. 4, 5, 6, 9, 17, 28, 30, 32, 33, 34
  • BDSG-neu (Bundesdatenschutzgesetz, 2018)
  • EU-US Data Privacy Framework (DPF), Adäquanzbeschluss Juli 2023
  • BSI TR-03125 (ESOR) — Beweiswerterhaltende Aufbewahrung elektronischer Dokumente
  • HGB § 257, AO § 147 — Handelsrechtliche und steuerliche Aufbewahrungs-Pflichten
  • Datenschutzkonferenz (DSK) — Orientierungshilfen zu konkreten DSGVO-Themen