Datenschutz bei Bild-Konvertern: warum lokale Verarbeitung gewinnt

Ein Bild zu konvertieren wirkt wie eine harmlose technische Routine. Aus einer JPG-Datei wird eine PNG-Datei, fertig. Doch sobald auf diesem Bild ein Gesicht zu sehen ist, ein Name, ein Aktenzeichen oder ein eingescanntes Ausweisdokument, wird aus der technischen Routine ein datenschutzrechtlicher Vorgang. Denn ein Foto, das eine identifizierbare Person zeigt, ist nach der Datenschutz-Grundverordnung (DSGVO) ein personenbezogenes Datum. Und wer personenbezogene Daten verarbeitet, sei es auch nur durch Hochladen auf einen Konvertierungs-Server, unterliegt rechtlichen Pflichten.

In diesem Ratgeber erklären wir, welche datenschutzrechtlichen Fragen beim Konvertieren von Bildern entstehen können, warum klassische Upload-Konverter ein strukturelles Problem haben und warum Browser-only-Werkzeuge wie jpgpng.de die Compliance-Frage erheblich vereinfachen, weil die Datei das Gerät schlicht nicht verlässt.

Warum Bilder personenbezogene Daten sein können

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Bildern ist diese Schwelle schnell erreicht, und zwar an mehreren Stellen gleichzeitig.

Der sichtbare Bildinhalt

Das offensichtlichste personenbezogene Datum ist das Motiv selbst. Ein Foto, auf dem ein Gesicht erkennbar ist, identifiziert in der Regel eine Person. Auch ohne Gesicht kann ein Bild personenbezogen sein, etwa durch ein Kfz-Kennzeichen, eine Hausfassade mit Klingelschild oder eine Tätowierung. Besonders sensibel sind eingescannte Ausweisdokumente, Führerscheine oder Versichertenkarten, die häufig in andere Formate konvertiert werden, um sie per Formular hochzuladen.

Screenshots mit Klartext

Screenshots sind ein unterschätzter Risikofall. Ein Bildschirmfoto eines E-Mail-Postfachs, eines Chatverlaufs oder einer Tabelle kann Namen, Adressen, Telefonnummern, Kontostände oder Krankheitsdaten enthalten. Wird ein solcher Screenshot zur Weitergabe in PNG umgewandelt, wandern unter Umständen sehr viele personenbezogene Informationen mit.

EXIF-Metadaten und GPS-Standort

Weniger sichtbar, aber oft brisant sind die Metadaten. JPG-Dateien aus Kameras und Smartphones tragen in der Regel sogenannte EXIF-Daten in sich. Dazu können Aufnahmedatum, Kameramodell, Seriennummer und, je nach Geräteeinstellung, die GPS-Koordinaten des Aufnahmeortes gehören. Ein scheinbar belangloses Urlaubsfoto kann so den genauen Standort des eigenen Wohnhauses oder eines Kindes verraten. Auch das sind personenbezogene Daten, die beim Hochladen auf einen fremden Server mit übertragen werden.

Der rechtliche Rahmen beim Konvertieren

Sobald personenbezogene Daten ins Spiel kommen, greift die DSGVO. Entscheidend ist dabei, wer die Daten verarbeitet und auf welcher Grundlage. Bei einem reinen Browser-Tool fällt ein großer Teil dieser Pflichten weg, weil keine Übermittlung an einen Anbieter stattfindet.

Art. 6 DSGVO: die Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten braucht nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage. Konvertierst du eigene Bilder oder Bilder, für die du verantwortlich bist, für eigene Zwecke, kann das je nach Kontext über ein berechtigtes Interesse oder eine Einwilligung getragen sein. Verarbeitet hingegen ein Online-Dienst deine hochgeladenen Bilder auf seinen Servern, wird er selbst zum Akteur in dieser Kette, und es stellt sich die Frage, auf welcher Grundlage und zu welchen Zwecken er das tut. Bei lokaler Verarbeitung im Browser tritt dieser zusätzliche Akteur gar nicht erst auf den Plan.

Art. 32 DSGVO: Sicherheit der Verarbeitung

Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Genannt werden unter anderem Verschlüsselung und die Fähigkeit, Vertraulichkeit dauerhaft sicherzustellen. Bei einem Upload-Konverter hängt die Sicherheit vollständig davon ab, wie der Anbieter seine Server absichert, wie lange er Dateien speichert und wer Zugriff hat. Bei einem Browser-Tool ist die wirksamste denkbare Maßnahme bereits eingebaut: Die Daten werden gar nicht erst übertragen, sodass viele der typischen Übertragungs- und Speicherrisiken strukturell entfallen.

Art. 28 DSGVO: Auftragsverarbeitung greift bei reiner Lokalverarbeitung nicht

Lädst du Bilder mit personenbezogenen Daten auf einen externen Konvertierungsdienst, verarbeitet dieser Dienst die Daten in der Regel in deinem Auftrag. Das kann eine Auftragsverarbeitung nach Art. 28 DSGVO begründen, für die es einen Vertrag mit konkreten Pflichten braucht. Gerade im beruflichen Kontext ist das ein erheblicher organisatorischer Aufwand. Bei einem Tool wie jpgpng.de, das die Datei ausschließlich lokal im Browser verarbeitet, verarbeitet der Anbieter die Bilddaten überhaupt nicht. Es gibt keinen Empfänger, der die Daten in deinem Auftrag berührt, und damit liegt schon dem Grunde nach keine Auftragsverarbeitung vor.

Drittland-Problematik: Schrems II entfällt

Viele kostenlose Online-Konverter betreiben ihre Server außerhalb der EU oder nutzen Dienstleister, deren Infrastruktur in Drittländern liegt. Mit dem Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18, bekannt als Schrems II, sind die Anforderungen an solche Drittlandübermittlungen deutlich gestiegen. Die Übermittlung personenbezogener Daten in ein Drittland kann zusätzliche Prüfungen und Garantien erfordern. Wenn aber gar keine Daten das Gerät verlassen, gibt es auch keine Übermittlung in ein Drittland. Die gesamte Schrems-II-Problematik entfällt bei reiner Lokalverarbeitung, weil es schlicht nichts zu übermitteln gibt.

Das strukturelle Problem klassischer Upload-Konverter

Ein klassischer Server-Upload-Konverter funktioniert technisch immer nach demselben Muster: Die Datei wird vom Gerät zum Server hochgeladen, dort umgewandelt und das Ergebnis zurückgeschickt. In diesem Ablauf liegt das eigentliche Risiko, und zwar unabhängig von den guten Absichten des Anbieters.

Während die Datei auf dem Server liegt, ist sie potenziell mehreren Risiken ausgesetzt. Server-Logs können Dateinamen oder Metadaten festhalten. Der genaue Speicherort und die Speicherdauer sind für Nutzer oft nicht nachvollziehbar. Backups können Kopien über lange Zeiträume aufbewahren. Bei einem Datenleck oder einer Fehlkonfiguration können Dritte Zugriff erhalten. All das gilt selbst dann, wenn der Anbieter seriös arbeitet, denn das Risiko entsteht allein dadurch, dass die Daten überhaupt erst übertragen und gespeichert werden.

Hinzu kommt die Transparenzfrage. Bei vielen kostenlosen Diensten ist nicht erkennbar, ob hochgeladene Bilder ausschließlich zur Konvertierung genutzt werden oder ob sie etwa zu Trainingszwecken, zur Analyse oder zur Weitergabe verwendet werden. Diese Unsicherheit ist für Nutzer kaum aufzulösen.

Lokale Verarbeitung: wie jpgpng.de arbeitet

jpgpng.de wandelt Bilder vollständig im Browser deines eigenen Geräts um. Technisch geschieht das über die Canvas-API, eine Standardfunktion moderner Browser, die Bilddaten lokal lesen, neu zeichnen und in einem anderen Format ausgeben kann. Die Datei wird also nicht an einen Server geschickt, sondern direkt auf deinem Rechner oder Smartphone verarbeitet. Wie diese clientseitige Bildverarbeitung im Detail funktioniert, beschreiben wir in unserem Beitrag zur verlustfreien JPG-zu-PNG-Umwandlung.

Der praktische Effekt ist klar: Kein Bild und kein darin enthaltenes personenbezogenes Datum verlässt das Gerät. Es gibt keinen Upload, keinen Server-Speicherort, keine Logs mit deinen Bildinhalten und keine Drittlandübermittlung. Genau diese Architektur ist es, die die datenschutzrechtliche Bewertung so stark vereinfacht.

Tabelle: lokale Verarbeitung gegenüber Server-Upload

Aspekt	Lokal im Browser (jpgpng.de)	Klassischer Server-Upload
Datei verlässt das Gerät	Nein	Ja, Upload zum Server
Auftragsverarbeitung (Art. 28 DSGVO)	In der Regel nicht einschlägig	Häufig erforderlich
Drittlandübermittlung (Schrems II)	Entfällt	Möglich, je nach Serverstandort
Server-Logs mit Bildbezug	Keine Bilddaten betroffen	Möglich
Speicherdauer auf fremdem Server	Keine	Oft unklar
EXIF-Metadaten	Werden bei Canvas-Umwandlung in der Regel entfernt	Werden mit hochgeladen
Funktioniert ohne Internet	Ja, nach Laden der Seite	Nein

EXIF-Metadaten: ein positiver Nebeneffekt

Ein erwähnenswerter Punkt betrifft die bereits angesprochenen EXIF-Metadaten. Wenn ein Bild über die Canvas-API neu gezeichnet und als neue Datei ausgegeben wird, überträgt der Browser typischerweise nur die reinen Pixeldaten in das neue Bild. EXIF-Informationen wie GPS-Standort, Aufnahmedatum oder Kameraseriennummer werden dabei in der Regel nicht übernommen, sondern fallen weg.

Wir formulieren das bewusst vorsichtig, weil das genaue Verhalten vom Browser und vom Ausgangsbild abhängen kann und kein garantiertes Datenschutz-Feature darstellt. Als Nebeneffekt der Canvas-Konvertierung ist es dennoch ein willkommener Gewinn für die Privatsphäre: Das konvertierte PNG enthält in der Praxis meist keine Standort- oder Geräteinformationen mehr. Wer auf das vollständige Entfernen aller Metadaten angewiesen ist, etwa aus beruflichen Gründen, sollte das Ergebnis im Einzelfall dennoch mit einem Metadaten-Prüfwerkzeug kontrollieren.

Praktische Empfehlungen für Nutzer

Aus den genannten Punkten lassen sich einige einfache Handlungsempfehlungen ableiten, die unabhängig vom konkreten Werkzeug gelten.

Bevorzuge für Bilder mit personenbezogenem Inhalt Werkzeuge, die ausdrücklich lokal im Browser arbeiten und nichts hochladen. Achte dabei auf nachvollziehbare Aussagen, dass keine Datei den Browser verlässt. Ein praktischer Test: Ein echtes Browser-Tool funktioniert nach dem Laden der Seite auch dann weiter, wenn du die Internetverbindung trennst, weil keine Server-Kommunikation für die Umwandlung nötig ist.

Sei besonders vorsichtig bei Ausweisscans, medizinischen Dokumenten und Screenshots mit Klartextdaten. Diese gehören zu den sensibelsten Inhalten und sollten möglichst nie auf einen unbekannten Server hochgeladen werden. Im beruflichen Umfeld solltest du zusätzlich prüfen, ob für ein eingesetztes Online-Tool ein Auftragsverarbeitungsvertrag nötig wäre, und ob ein lokales Werkzeug diesen Aufwand vermeidet.

Denke schließlich an die Metadaten. Auch wenn du nur ein Format änderst, kann ein Bild mehr verraten, als auf den ersten Blick sichtbar ist. Die Wahl des passenden Zielformats ist dabei eine eigene Frage, die wir in unseren Beiträgen zum Vergleich von JPG und PNG und zur Frage, wann PNG statt JPG sinnvoll ist, näher beleuchten. Wie wir unsere Werkzeuge und Ratgeber inhaltlich erstellen und prüfen, erklären wir transparent in unserer Methodik.

Fazit

Datenschutz beim Bild-Konvertieren ist kein Randthema, sobald auf den Bildern Personen, Dokumente oder Standortdaten zu finden sind. Klassische Upload-Konverter tragen ein strukturelles Risiko, weil die Daten das Gerät verlassen und auf fremden Servern liegen, was Pflichten nach Art. 6, 28 und 32 DSGVO und potenziell die Drittland-Problematik nach Schrems II auslösen kann. Browser-only-Werkzeuge wie jpgpng.de drehen diese Ausgangslage um: Weil die Datei lokal im Browser bleibt, entstehen viele dieser Fragen gar nicht erst. Das ist kein juristischer Kunstgriff, sondern eine Eigenschaft der zugrundeliegenden Technik, und genau deshalb gewinnt lokale Verarbeitung beim Datenschutz.

Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Im Einzelfall, insbesondere im beruflichen Kontext, kann eine gesonderte datenschutzrechtliche Prüfung sinnvoll sein.

Hast du einen Fehler entdeckt oder einen Quellen-Hinweis für uns? Schreib gern an info@akara-solutions.de.