svgpatheditor.de

Ratgeber · recht

Datenschutz bei Online-SVG-Werkzeugen: warum lokal gewinnt

SVG-Dateien können versteckte Metadaten, eingebettete Bilder oder Kommentare enthalten. Welche DSGVO-Pflichten beim Bearbeiten gelten und warum Browser-only-Tools wie svgpatheditor.de, die nichts hochladen, die Compliance-Frage stark vereinfachen.

Eike-Christian Ramcke
Eike-Christian RamckeGeschäftsführer · DSGVO & Tool-Compliance
Veröffentlicht am ·Zuletzt geprüft am

Ein SVG wirkt harmlos. Es ist doch nur eine Grafik, ein Logo, ein Icon, ein Diagramm. Genau diese Wahrnehmung führt in der Praxis regelmäßig zu einem Fehlschluss, den ich als Geschäftsführer immer wieder beobachte: Eine Datei wird schnell in ein x-beliebiges Online-Werkzeug gezogen, um sie zu optimieren oder einen Pfad zu korrigieren, und niemand fragt sich, was dabei eigentlich das Gerät verlässt. In diesem Ratgeber schaue ich mir mit Dir an, welche Informationen ein SVG über die reine Grafik hinaus tragen kann, welche Pflichten die DSGVO beim Bearbeiten mit sich bringt und warum ein Werkzeug, das vollständig in Deinem Browser läuft, die Compliance-Frage deutlich entspannt. Ich bleibe dabei bewusst nüchtern: Datenschutz ist kein Marketing-Argument, sondern eine Sorgfaltspflicht.

Ein SVG ist mehr als seine sichtbare Form

Der erste Punkt, den man verstehen muss, ist technischer Natur. SVG steht für Scalable Vector Graphics und ist im Kern kein Bildformat im klassischen Sinn, sondern ein XML-basiertes Textformat. Wenn Du eine SVG-Datei in einem Editor öffnest, siehst Du keinen Pixelbrei, sondern lesbaren Quelltext mit Elementen, Attributen und Koordinaten. Das ist einer der großen Vorteile von SVG, birgt aber genau deshalb eine Eigenschaft, die im Datenschutz relevant wird: In diesem Textformat lässt sich einiges unterbringen, das mit der eigentlichen Grafik nichts zu tun hat.

In der Praxis findest Du in SVG-Dateien immer wieder:

  • Metadaten aus dem Grafikprogramm. Werkzeuge wie Illustrator, Inkscape oder Figma schreiben beim Export gerne Informationen über den Ersteller, die verwendete Software, die Version und teils Zeitstempel in die Datei. Diese stecken in <metadata>-Blöcken oder proprietären Namespaces und sind für das Rendern der Grafik völlig überflüssig.
  • Eingebettete Rasterbilder. Ein SVG kann ein PNG oder JPEG als Base64-Zeichenkette direkt im Quelltext enthalten. Das bedeutet: Ein vermeintlich schlankes Vektorlogo kann in Wahrheit ein komplettes Foto mit sich tragen, inklusive dessen eigener Metadaten.
  • Kommentare. Genau wie in HTML kann ein SVG <!-- ... -->-Kommentare enthalten. Manchmal stehen dort interne Notizen, Projektnamen, Kundennamen oder Hinweise, die nie für Dritte gedacht waren.
  • Skripte. SVG erlaubt eingebettetes JavaScript in <script>-Elementen. Das ist zwar selten und im Datenkontext eher ein Sicherheitsthema, gehört aber der Vollständigkeit halber genannt.

Kurz gesagt: Eine SVG-Datei kann Informationen enthalten, die weit über das hinausgehen, was Du am Bildschirm siehst. Wer eine Grafik weitergibt oder verarbeitet, gibt potenziell mehr preis als gedacht.

Warum das beim Bearbeiten sensibler Grafiken heikel wird

Solange es um ein generisches Icon geht, ist das Thema überschaubar. Kritisch wird es, sobald die Grafik selbst schützenswert ist. Denk an ein Logo, das vor einem Produktlaunch noch unter Verschluss steht. An ein internes Organigramm oder ein Architekturdiagramm mit Namen, Rollen und Systemen. An eine Infografik, die personenbezogene Daten visualisiert, etwa eine Karte mit Standorten oder eine Auswertung mit Klarnamen.

Wenn Du eine solche Datei in ein serverbasiertes Online-Werkzeug hochlädst, verlässt sie Dein Gerät und landet auf fremder Infrastruktur. Was dort mit ihr geschieht, entzieht sich Deiner Kontrolle: Wird sie zwischengespeichert, wie lange, in welchem Land, mit welchen Zugriffsrechten? Bei einem unveröffentlichten Logo ist das ein Geschäftsgeheimnis-Risiko. Bei personenbezogenen Inhalten wird es unmittelbar zu einer Frage der DSGVO.

Die relevanten DSGVO-Bezüge im Überblick

Ich möchte hier nicht mit Paragrafen um mich werfen, sondern die drei Artikel benennen, die beim Bearbeiten von Grafiken mit personenbezogenem Bezug wirklich einschlägig sind.

Artikel 6 Absatz 1 DSGVO, die Rechtsgrundlage. Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage, etwa eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Wenn Deine Grafik personenbezogene Daten enthält, ist ihre Bearbeitung eine Verarbeitung im Sinne der DSGVO. Du solltest Dir also bewusst sein, auf welcher Grundlage Du das tust.

Artikel 32 DSGVO, die Sicherheit der Verarbeitung. Dieser Artikel verlangt geeignete technische und organisatorische Maßnahmen, um Daten zu schützen. Der Upload einer sensiblen Datei auf einen Server, dessen Verarbeitung Du nicht kennst, ist im Zweifel keine geeignete Maßnahme. Wenn dieselbe Aufgabe lokal erledigt werden kann, ohne dass Daten das Gerät verlassen, ist das der datensparsamere und damit vorzugswürdige Weg.

Artikel 28 DSGVO, die Auftragsverarbeitung. Hier liegt der entscheidende Hebel. Sobald ein externer Dienstleister personenbezogene Daten in Deinem Auftrag verarbeitet, brauchst Du in aller Regel einen Auftragsverarbeitungsvertrag mit ihm. Ein serverbasierter Online-Konverter, der Deine Datei entgegennimmt und verarbeitet, ist genau ein solcher Dienstleister. Und jetzt kommt der Punkt, der die ganze Diskussion so wichtig macht: Bei einer reinen Lokalverarbeitung im Browser gibt es keinen solchen Dienstleister, weil keine Daten an ihn übermittelt werden. Artikel 28 greift schlicht nicht, weil die Konstellation gar nicht entsteht.

Server-Tool gegenüber Browser-Tool

Der Unterschied lässt sich am einfachsten in einer Gegenüberstellung fassen.

AspektServerbasiertes Online-ToolBrowser-only-Tool wie svgpatheditor.de
Wo läuft die Verarbeitung?Auf fremden ServernLokal in Deinem Browser
Verlässt die Datei das Gerät?Ja, beim UploadNein
Auftragsverarbeitung (Art. 28)?In der Regel ja, AV-Vertrag nötigNein, keine Übermittlung an Dritte
Kontrolle über SpeicherungBeim Anbieter, oft intransparentVollständig bei Dir
Risiko für unveröffentlichte AssetsErhöhtMinimal

Das Muster ist eindeutig. Sobald eine Datei das Gerät verlässt, öffnest Du eine ganze Reihe von Fragen, die Du beantworten und dokumentieren musst. Bleibt die Datei lokal, entfallen die meisten dieser Fragen von vornherein. Das ist kein juristischer Kniff, sondern schlicht die Konsequenz daraus, dass ohne Datenübermittlung kein Verarbeiter im Sinne des Gesetzes existiert.

So prüfst Du selbst, dass nichts hochgeladen wird

Du musst mir das nicht glauben, und das sollst Du auch nicht. Vertrauen ist im Datenschutz gut, Nachprüfbarkeit ist besser. Zum Glück kannst Du mit Bordmitteln Deines Browsers selbst kontrollieren, ob ein Werkzeug tatsächlich lokal arbeitet.

  1. Öffne die Entwicklertools Deines Browsers. In Chrome, Edge und Firefox geht das mit der Taste F12 oder über das Menü.
  2. Wechsle in den Reiter Netzwerk (englisch: Network).
  3. Lade oder öffne nun eine SVG-Datei im Werkzeug und bearbeite sie wie gewohnt.
  4. Beobachte die Liste der Netzwerkanfragen. Bei einem echten Browser-only-Tool siehst Du keine Anfrage, die Deine Dateiinhalte an einen Server sendet. Es tauchen höchstens die Anfragen auf, die einmalig die Seite selbst geladen haben, aber kein Upload Deiner Grafik.

Wenn Du beim Verarbeiten einer Datei plötzlich ausgehende Anfragen mit großem Datenvolumen siehst, ist das ein deutliches Warnsignal. Bei einem lokal arbeitenden Werkzeug bleibt der Netzwerk-Tab in dieser Hinsicht still. Diese kleine Kontrolle dauert keine zwei Minuten und gibt Dir Gewissheit, statt Dich auf Werbeversprechen zu verlassen.

Praktische Empfehlungen für den Alltag

Aus der Compliance-Perspektive lassen sich ein paar einfache Regeln ableiten, die sich in der Praxis bewährt haben.

Entferne Metadaten vor der Weitergabe. Bevor Du ein SVG an Dritte gibst oder öffentlich einbindest, wirf einen Blick in den Quelltext und lösche Metadatenblöcke, Kommentare und alles, was nicht zur Grafik gehört. Das reduziert nicht nur den Dateiumfang, sondern verhindert auch, dass interne Informationen unbeabsichtigt mitreisen.

Bearbeite sensible Assets nur mit lokalen Werkzeugen. Für unveröffentlichte Logos, interne Diagramme oder Grafiken mit personenbezogenem Bezug gilt: kein Upload auf fremde Server, wenn eine lokale Alternative existiert. Das ist die datensparsamste Variante und erspart Dir die gesamte Dokumentationslast rund um die Auftragsverarbeitung.

Prüfe im Zweifel, wo verarbeitet wird. Nicht jedes Werkzeug, das im Browser aussieht wie eine App, arbeitet auch lokal. Der Netzwerk-Tab schafft hier in Sekunden Klarheit. Genau aus diesem Grund läuft der Editor auf dieser Seite vollständig in Deinem Browser: Der Pfad, den Du bearbeitest, wird lokal verarbeitet und nicht an uns übermittelt. Wie wir bei AKARA generell an solche Werkzeuge herangehen, kannst Du in unserer Methodik nachlesen.

Ehrlichkeit gehört dazu: Server-Logs bleiben ein Thema

Ich wäre kein seriöser Ansprechpartner, wenn ich hier ein rundum sorgloses Bild zeichnen würde. Es gibt einen Aspekt, den man sauber vom eigentlichen Werkzeug trennen muss: die Auslieferung der Website selbst.

Damit Du diese Seite überhaupt aufrufen kannst, muss ein Server die Seiteninhalte an Deinen Browser senden. Dabei fallen, wie bei praktisch jeder Website, technische Server-Logs an, etwa Deine IP-Adresse, der Zeitpunkt des Zugriffs und Angaben zu Browser und Betriebssystem. Das ist eine unvermeidliche Begleiterscheinung des Betriebs jeder Website und hat nichts mit der Verarbeitung Deiner SVG-Dateien zu tun.

Diese beiden Ebenen sauber auseinanderzuhalten ist wichtig: Die Auslieferung der Website erzeugt technische Logs, die Verarbeitung Deiner Grafik findet lokal in Deinem Browser statt und erzeugt keinen solchen Datenfluss. Welche Server-Logs konkret anfallen, wie lange sie gespeichert werden und auf welcher Rechtsgrundlage, das legen wir transparent in unserer Datenschutzerklärung offen. Ich empfehle Dir ausdrücklich, dort einen Blick hineinzuwerfen, statt Dich auf pauschale Aussagen zu verlassen.

Das Fazit aus Compliance-Sicht

SVG ist ein Textformat, und Textformate tragen mehr mit sich, als das Auge zeigt: Metadaten, eingebettete Bilder, Kommentare, manchmal Skripte. Beim Bearbeiten sensibler Grafiken wird die Frage, wohin diese Datei geht, schnell zu einer Frage der DSGVO, insbesondere zur Rechtsgrundlage nach Artikel 6, zur Sicherheit nach Artikel 32 und zur Auftragsverarbeitung nach Artikel 28. Der einfachste Weg, sich einen großen Teil dieser Fragen zu ersparen, ist die lokale Verarbeitung. Wo keine Daten das Gerät verlassen, entsteht auch kein Verarbeiter, der vertraglich gebunden werden muss. Genau darin liegt der stille, aber echte Vorteil von Browser-only-Werkzeugen. Prüfe es selbst im Netzwerk-Tab, entferne Metadaten vor der Weitergabe, und behandle sensible Assets mit der Vorsicht, die sie verdienen.

Quellen

  • https://dsgvo-gesetz.de/art-32-dsgvo/
  • https://dsgvo-gesetz.de/art-28-dsgvo/
  • https://developer.mozilla.org/en-US/docs/Web/SVG

Korrekturen oder bessere Quellen? Schreib an info@akara-solutions.de. Änderungen landen mit Datum auf /korrekturen.