Sind Online-PDF-Tools sicher?

Bei Online-PDF-Tools gibt es zwei typische Modelle.

Bei der Server-Verarbeitung lädst du Dateien hoch. Die Umwandlung oder Bearbeitung findet auf fremden Servern statt. Das ist technisch oft leistungsfähig, bringt aber Datenschutz- und Kontrollrisiken mit sich.

Bei der Browser-Verarbeitung läuft die Verarbeitung lokal in deinem Browser. Die Datei bleibt im Idealfall auf deinem Gerät. Das reduziert das Risiko deutlich, wenn die Implementierung sauber ist und keine versteckten Uploads stattfinden.

In der Praxis sind Mischformen häufig. Ein Tool kann zum Beispiel lokal schneiden, aber für Vorschau, OCR oder Analyse externe Dienste nutzen.

Sobald du ein Dokument hochlädst, gibst du technische Kontrolle ab. Relevante Fragen sind dann, wie lange die Datei gespeichert wird, wer intern Zugriff hat und ob Daten in weitere Systeme kopiert werden.

Wichtig ist auch, ob der Anbieter den Prozess nachvollziehbar dokumentiert. Vage Aussagen wie «wird nach kurzer Zeit gelöscht» reichen bei sensiblen Inhalten nicht aus.

Viele Nutzer denken nur an den Dokumentinhalt. In der Praxis entstehen zusätzliche Daten.

Auch wenn Dateien «temporär» gespeichert werden, können Metadaten und technische Protokolle länger bestehen bleiben. Dazu gehören Zeitstempel, Dateinamen, IP-Adressen, User-Agent-Daten und Fehlerprotokolle.

Hinzu kommen PDF-Metadaten im Dokument selbst, etwa Autor, Erstellungswerkzeug, Bearbeitungszeit oder interne IDs. Diese Informationen können Rückschlüsse auf Personen, Unternehmen und interne Prozesse zulassen.

Viele Online-Dienste binden Drittanbieter ein, etwa für Hosting, CDN, Captcha, Analytics, Monitoring oder Malware-Scanning. Das ist nicht per se problematisch, erhöht aber die Zahl der beteiligten Stellen.

Für Datenschutz und Compliance ist entscheidend, ob diese Einbindungen offen kommuniziert werden und ob die Verantwortlichkeiten klar geregelt sind.

HTTPS schützt die Übertragung zwischen Browser und Dienst. Das ist zwingend, löst aber nur einen Teil des Problems.

HTTPS sagt nichts darüber aus, was nach dem Upload auf dem Server passiert. Ein Dienst kann also eine korrekt verschlüsselte Verbindung haben und trotzdem Daten unnötig lange speichern oder intern zu breit verfügbar machen.

Der Markt für PDF-Tools ist unübersichtlich. Neben seriösen Angeboten gibt es auch Seiten mit aggressiver Werbung, irreführenden Download-Buttons oder versteckten Installern.

Risikofaktoren sind vor allem geklonte Markenauftritte, plötzlich wechselnde Domains und auffällige Berechtigungsabfragen. Wenn ein Tool unerwartet Datei-Downloads anstösst oder zur Installation zusätzlicher Software drängt, solltest du den Vorgang abbrechen.

Für Unternehmen und Organisationen reicht «funktioniert technisch» nicht aus. Besonders relevant wird das bei serverseitiger Verarbeitung, weil Dokumente dabei an externe Dienste übertragen und dort verarbeitet werden.

Enthalten diese Dokumente personenbezogene Daten, solltest du prüfen, ob eine Auftragsverarbeitung im Sinn der DSGVO vorliegt. Relevant sind unter anderem ein Auftragsverarbeitungsvertrag, der Verarbeitungsort, eingesetzte Unterauftragsverarbeiter, Löschfristen sowie eine nachvollziehbare Dokumentation von Zugriffen und Sicherheitsmassnahmen.

Lokale Browser-Verarbeitung kann die Bewertung vereinfachen, weil die Datei idealerweise nicht an den Anbieter übertragen wird. Sie ersetzt aber keine Prüfung, wenn das Tool im Hintergrund doch Serverdienste, Analysefunktionen oder Drittanbieter nutzt.

Für die Auswahl eines Online-PDF-Tools helfen pragmatische Kriterien.

• Verarbeitet das Tool lokal im Browser oder auf dem Server?
• Welche Daten werden hochgeladen und wie lange gespeichert?
• Sind Datenschutzinformationen konkret, aktuell und verständlich?
• Welche Drittanbieter sind eingebunden?
• Gibt es Optionen zur Datenminimierung und automatischen Löschung?
• Ist der Dienst für deinen Compliance-Rahmen geeignet?

Wenn du diese Punkte nicht zuverlässig beantworten kannst, ist das bei sensiblen Dokumenten bereits ein Warnsignal.

Online-PDF-Tools können sicher eingesetzt werden, wenn Schutzbedarf und Tool-Architektur zusammenpassen. Für unkritische Dateien ist ein gut gemachter Onlinedienst oft ausreichend.

Für vertrauliche Inhalte solltest du Dienste mit klarer lokaler Browser-Verarbeitung, transparenter Datenschutzdokumentation und nachvollziehbaren Betriebsprozessen bevorzugen.

Je nach Anforderungen sind auch selbst gehostete Anwendungen sinnvoll, insbesondere wenn Organisationen Infrastruktur, Zugriffe, Speicherung und Compliance-Prozesse strenger steuern wollen.

Wenn du datenschutzorientierte PDF-Tools suchst, findest du auf SimpleDMS eine kleine Sammlung mit Fokus auf lokaler Browser-Verarbeitung:

• PDF-Tools auf SimpleDMS
• PDF-Seiten-Extraktor
• PDF-Merger
• PDF-Splitter