Eine Münchener Steuerberaterin bereitet die ESt-Erklärung eines Mandanten für 2025 vor. Sie muss zehn Unterlagen — Lohnsteuerbescheinigungen, Spendenquittungen, Krankenkassennachweise, Anlagedaten — in ein einziges PDF zusammenführen und es über ELSTER-Schnittstelle zur Übermittlung vorbereiten. Reflex: “PDF zusammenfügen online” googlen, erstes Ergebnis anklicken, zehn Dateien hochladen, fertig in zwölf Sekunden. In genau diesen zwölf Sekunden haben Steuerdaten, Sozialversicherungsnummern und persönliche Lebensumstände eines deutschen Bürgers den Münchner Praxis-Rechner verlassen und liegen nun auf Servern in Spanien, der Schweiz oder den USA — je nach gewähltem Tool.
Dieser Artikel richtet sich an deutschsprachige Nutzer in der DACH-Region (Deutschland, Österreich, Schweiz, Südtirol, Liechtenstein) — Privatpersonen, Selbstständige, KMU, Freiberufler und Konzernteams — die kostenlose PDF-Tools brauchen, aber auch verstehen wollen, was die jeweilige Wahl datenschutzrechtlich bedeutet. Die These ist einfach: Nicht alle PDF-Tools sind aus Sicht des Datenschutzes gleichwertig, und die richtige Wahl hängt vom Inhalt des Dokuments ab, nicht von der Marke des Tools.
Wir vergleichen sechs populäre Tools nach objektiven Kriterien: Wo werden die Dateien verarbeitet, welcher Rechtsrahmen ist anwendbar, welche deutschsprachige Bedienoberfläche wird geboten, welche Kosten fallen an. Ziel ist nicht, etablierte Dienste schlechtzureden — alle großen Anbieter sind DSGVO-konform und haben ordentliche Sicherheitshistorien — sondern dem Leser die Kriterien für eine eigene Entscheidung zu liefern.
Der DACH-Rechtsrahmen: DSGVO, BDSG, BSI, eIDAS
Um zu verstehen, warum die Tool-Wahl relevant ist, hier das anwendbare Normgefüge für deutschsprachige Nutzer.
Europäische Union — DSGVO (Verordnung (EU) 2016/679). Seit dem 25. Mai 2018 in allen Mitgliedstaaten direkt anwendbar. Schlüsselartikel für PDF-Tools:
- Art. 5: Grundsätze — Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.
- Art. 6: Rechtmäßigkeitsgrundlagen — Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse.
- Art. 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design and by Default).
- Art. 28: Auftragsverarbeitung — Auftragsverarbeitungsvereinbarung (AVV) erforderlich, hinreichende Garantien des Auftragsverarbeiters.
- Art. 32: Sicherheit der Verarbeitung — Pseudonymisierung, Verschlüsselung, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Tests.
- Art. 35: Datenschutz-Folgenabschätzung (DSFA) bei voraussichtlich hohem Risiko.
- Art. 44-50: Drittlandsübermittlung — Angemessenheitsbeschlüsse, geeignete Garantien (SCC, BCR), Ausnahmen.
- Art. 83: Geldbußen bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Deutschland — BDSG, Landesgesetze, BfDI und LfD. Das Bundesdatenschutzgesetz (BDSG, Fassung vom 30. Juni 2017) ergänzt die DSGVO in Bereichen, die diese den Mitgliedstaaten überlässt. Es enthält insbesondere Regelungen zur Bestellung von Datenschutzbeauftragten in Unternehmen, zu spezifischen Verarbeitungen (Beschäftigtendatenschutz, Scoring, Bonität), zum Geheimnis und zu Strafvorschriften. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist die Aufsichtsbehörde für Bundesbehörden, Telekommunikations- und Postunternehmen sowie für Tätigkeiten von EU-Institutionen mit Deutschlandbezug. Die 16 Landesbeauftragten für Datenschutz (LfD) sind zuständig für die jeweiligen Landesbehörden und private Stellen in den Bundesländern.
Österreich — DSG und Datenschutzbehörde. Das Datenschutzgesetz 2018 ist das nationale Ergänzungsgesetz zur DSGVO. Die österreichische Datenschutzbehörde (DSB) hat Sitz in Wien.
Schweiz — revidiertes DSG (revDSG) seit 1. September 2023. Die Schweiz ist nicht EU-Mitglied, hat aber das revidierte Datenschutzgesetz stark an die DSGVO angepasst. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die nationale Aufsichtsbehörde. Die Schweiz hat einen Angemessenheitsbeschluss der EU-Kommission, was den EU-Schweiz-Datenfluss erleichtert.
BSI IT-Grundschutz. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale deutsche Behörde für IT-Sicherheit. Sein IT-Grundschutz-Kompendium ist der nationale Sicherheitsstandard, von vielen Behörden und kritischen Infrastrukturen verbindlich anzuwenden. Für PDF-Tools relevante Bausteine: SYS.4.5 (Wechseldatenträger), OPS.1.1.5 (Protokollierung), CON.1 (Kryptokonzept), SYS.1.1 (Allgemeiner Server) und das Pendant zur Cloud-Nutzung in OPS.2.
TR-RESISCAN — Beweiswerterhaltendes ersetzendes Scannen. Die Technische Richtlinie BSI TR-03138 “RESISCAN” definiert, wie Papierdokumente so digitalisiert werden können, dass das gescannte PDF das Papieroriginal beweiswerterhaltend ersetzen kann (Stichwort: rechtssicheres ersetzendes Scannen). Für Buchhaltung, Personalakten und juristische Dokumente ist dies ein wichtiger Rahmen. Anbieter und Tools können TR-RESISCAN-konform zertifiziert sein.
eIDAS und eIDAS 2.0. Die Verordnung (EU) 910/2014 etabliert seit 2016 den europäischen Rahmen für Vertrauensdienste, einschließlich elektronische Signaturen. Die Verordnung (EU) 2024/1183 (eIDAS 2.0), veröffentlicht im EU-Amtsblatt am 30. April 2024, erweitert diesen Rahmen mit der Europäischen Digitalen Brieftasche (EUDI Wallet), die in allen Mitgliedstaaten zwischen 2026 und 2027 verpflichtend wird. In Deutschland führt die Bundesnetzagentur die Liste der qualifizierten Vertrauensdiensteanbieter (QTSP) — u.a. D-Trust (Tochter der Bundesdruckerei), Sparkassen-CC, certSIGN, GlobalSign.
TKG, TMG und Cross-Border-Erwägungen. Das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG, seit 1. Dezember 2021 weitgehend durch das TTDSG ersetzt) regeln Aspekte von Diensten der Informationsgesellschaft. Für Cloud-PDF-Tools ergeben sich daraus Hinweispflichten und in einigen Fällen besondere Anforderungen an die Behandlung von Verkehrsdaten.
Drittlandsübermittlung nach Schrems II
Das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II) hat das Datentransfer-Recht grundlegend geprägt. Der EuGH hat den EU-US Privacy Shield für ungültig erklärt und die Anforderung verschärft, dass jede Drittlandsübermittlung außerhalb des EWR ein “im Wesentlichen gleichwertiges” Schutzniveau zur DSGVO gewährleisten muss.
Praktische Folgen für DACH-Nutzer:
- Übermittlungen innerhalb des EWR (Deutschland nach Frankreich, Spanien, Italien etc.): frei, ohne zusätzliche Anforderungen unter der DSGVO.
- Übermittlungen in Länder mit Angemessenheitsbeschluss (Schweiz, Vereinigtes Königreich, Andorra, Argentinien, Kanada -kommerziell-, Israel, Japan, Neuseeland, Uruguay, Südkorea, USA -via Data Privacy Framework 2023-): zulässig ohne zusätzliche Mechanismen.
- Übermittlungen in andere Länder (einschließlich USA außerhalb des DPF, Indien, Brasilien, China): erfordern aktualisierte Standardvertragsklauseln (SCC 2021), verbindliche unternehmensinterne Datenschutzvorschriften (BCR) oder ausdrückliche Einwilligung der Betroffenen.
Für PDF-Tools wird die Frage: Wo wird die Datei physisch verarbeitet, wenn ich sie hochlade?
Was passiert, wenn man eine PDF mit personenbezogenen Daten hochlädt
Stellen Sie sich das typische Szenario vor: Die Personalabteilung eines mittelständischen Unternehmens in Hamburg muss dem externen Lohnbüro die monatlichen Gehaltsabrechnungen für 80 Mitarbeitende in einer 35-MB-PDF übermitteln. Das Lohnbüro akzeptiert nur Anhänge unter 10 MB. Die HR-Verantwortliche öffnet iLovePDF, lädt die Datei hoch, komprimiert, lädt herunter, sendet die kleinere Version. Zwölf Sekunden.
Analysieren wir die DSGVO-Lage in diesen zwölf Sekunden:
- Betroffene personenbezogene Daten: 80 Vor- und Nachnamen, 80 Sozialversicherungsnummern (RV-Nummern), 80 Steuer-ID, 80 IBAN, 80 Bruttogehälter, Abzüge, Lohnsteuer, Solidaritätszuschlag, Kirchensteuer, Nettogehälter. Unter DSGVO eindeutig personenbezogen (Art. 4 Nr. 1). Gehaltsdaten sind keine besonderen Kategorien nach Art. 9, aber unterliegen den allgemeinen Grundsätzen und dem Beschäftigtendatenschutz nach § 26 BDSG.
- Wer ist Verantwortlicher, wer Auftragsverarbeiter?: Das Unternehmen ist Verantwortlicher (Art. 4 Nr. 7). iLovePDF, das die Daten im Auftrag verarbeitet, ist Auftragsverarbeiter (Art. 4 Nr. 8).
- Existiert eine AVV?: Art. 28 DSGVO verlangt eine schriftliche oder elektronische AVV. iLovePDF bietet einen Standard-DPA zum Download an. Wenn das Unternehmen diesen nie ausdrücklich akzeptiert hat, besteht eine dokumentarische Lücke.
- Findet eine Drittlandsübermittlung statt?: iLovePDF ist in Barcelona (Spanien, EU) ansässig und verarbeitet auf europäischen Servern. Für deutsche Nutzer findet KEINE Drittlandsübermittlung statt. Das ist ein wichtiger Vorzug von iLovePDF für DACH-Nutzer.
- Ist eine DSFA erforderlich?: Art. 35 DSGVO verlangt eine DSFA bei voraussichtlich hohem Risiko. Die gelegentliche Kompression einer Lohnabrechnung über ein Cloud-Tool erreicht diesen Schwellenwert wahrscheinlich nicht; die systematische Nutzung im großen Stil schon eher.
- Wurden die Beschäftigten informiert?: Der Transparenzgrundsatz (Art. 5 Abs. 1 Buchst. a) und Art. 13 verlangen Information. In den meisten Datenschutzhinweisen für Beschäftigte werden Cloud-Tool-Anbieter nicht namentlich genannt — die allgemeine Kategorie “technische Dienstleister” kann ausreichend sein, wenn hinreichend bestimmt.
Keiner dieser Punkte führt notwendigerweise zu einer Geldbuße. Aber jeder einzelne löst Dokumentationsbedarf aus, falls die Aufsichtsbehörde prüft oder ein Beschäftigter Auskunftsrechte geltend macht. Die strukturell einfachste Lösung besteht darin, die Datei gar nicht erst hochzuladen — sondern sie lokal im Browser des HR-Arbeitsplatzes zu verarbeiten. Wenn die Datei das Gerät nicht verlässt, gibt es keinen Auftragsverarbeiter, keine Drittlandsübermittlung, kein neues Risiko zu bewerten.
Vergleich von 6 PDF-Tools für DACH-Nutzer
Die folgende Tabelle vergleicht sechs verbreitete Tools aus deutschsprachiger Perspektive, mit Fokus auf DSGVO-relevante Faktoren:
| Tool | Verarbeitungsort | DSGVO-Bewertung | Deutsche UI | Kosten (kostenlos) | Position DACH |
|---|---|---|---|---|---|
| imisspdf | Browser des Nutzers (lokal) | Keine Auftragsverarbeitung; keine Übermittlung | Ja, vollständig | Kostenlos (unbegrenzt) | Aktiviert Art. 28 nicht |
| iLovePDF | Spanien (EU) | DSGVO direkt anwendbar | Ja, gute Übersetzung | Kostenlos mit Limits | AVV als Standard verfügbar |
| Smallpdf | Schweiz (Angemessenheit) | DSGVO via Adequacy-Beschluss | Ja, gut | Kostenlos mit Limits | AVV verfügbar |
| PDF24 Tools | Deutschland (EU) | DSGVO direkt anwendbar | Ja, deutscher Anbieter | Kostenlos ohne Limits | Lokaler DACH-Default; ISO 27001 |
| Adobe Acrobat Online | USA (überwiegend) | Schrems II + DPF 2023 | Ja, deutsche Lokalisierung | Sehr begrenzt kostenlos | DPF, aber USA-Risiko |
| Foxit Online | USA + China | DPF + verschärfte Prüfung für China | Teilweise | Kostenlos mit Wasserzeichen | DPF, aber China kompliziert |
Wichtige Anmerkungen zur Tabelle:
PDF24 ist die DACH-spezifische Stärke. Das deutsche Unternehmen PDF24 mit Sitz in Geseke (NRW) ist der einheimische Default für viele deutsche Nutzer. Die kostenlose Web-Version hat einen der großzügigsten Free Tiers im Markt (kaum nennenswerte Tageslimits). PDF24 bietet auch PDF24 Creator, eine kostenlose Desktop-Anwendung für Windows, die Dateien lokal verarbeitet — datenschutztechnisch äquivalent zu einem in-browser-Tool. Für viele deutsche Mittelständler ist PDF24 Creator auf jedem Arbeitsplatzrechner installiert.
iLovePDF ist in Barcelona (Spanien, EU) und verarbeitet vorwiegend in europäischer Infrastruktur. Für deutsche Nutzer findet keine Drittlandsübermittlung statt, der AVV ist als Standard verfügbar. Eine der Optionen mit dem geringsten DSGVO-Reibungsverlust unter den großen Cloud-Anbietern.
Smallpdf operiert aus der Schweiz, einem Land mit Angemessenheitsbeschluss der EU-Kommission seit 2000 (aktualisiert 2021). EU-Schweiz-Übermittlungen sind ohne zusätzliche Mechanismen zulässig.
Adobe Acrobat Online verarbeitet überwiegend in den USA. Adobe ist seit 2023 dem EU-US Data Privacy Framework beigetreten, was die GDPR-Übermittlung wieder ermöglicht. Allerdings steht das DPF unter EuGH-Beobachtung und ein mögliches Schrems III könnte es invalidieren (wie seine zwei Vorgänger Safe Harbor 2015 und Privacy Shield 2020). Für gelegentliche Nutzung mit nicht-sensitiven Dokumenten praktikabel; für systematische Verarbeitung personenbezogener Daten gibt es Alternativen mit weniger Exposition.
Foxit hat US- und China-Präsenz. Foxit Software ist in Fremont (Kalifornien) ansässig, die historische Muttergesellschaft und ein erheblicher Teil der Entwicklung befinden sich aber in Fuzhou (China). Für deutsche Verantwortliche fügt dies eine zusätzliche Analyseebene hinzu: Die Übermittlung nach China ist nicht durch einen Angemessenheitsbeschluss abgedeckt, und das chinesische Datenschutzgesetz (PIPL 2021) wirft spezifische Fragen zum behördlichen Zugriff auf. Die meisten Compliance-Abteilungen in DACH verlangen zusätzliche Dokumentation, bevor sie die Nutzung für personenbezogene Daten freigeben.
DACH-spezifische Anwendungsfälle
Personalausweis, Reisepass, Aufenthaltstitel
Betroffene Daten: Vor- und Nachname, biometrisches Foto, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Ausweisnummer, Zugangsnummer (Card Access Number), oft Adresse. Die Kombination ist wertvoll für Identitätsdiebstahl und Kreditbetrug.
Empfehlung: in-browser Tools (imisspdf) oder lokale Desktop-Tools (PDF24 Creator). Niemals an Cloud-Dienste hochladen außer bei klarer Geschäftsnotwendigkeit und in diesem Fall iLovePDF (EU) oder PDF24 Tools (EU) gegenüber Adobe oder Foxit bevorzugen.
Gehaltsabrechnungen, Arbeitsverträge, SV-Nachweise
Betroffene Daten: Name, RV-Nummer, Steuer-ID, IBAN, Bruttogehalt, Lohnsteuer, Soli, KiSt, Sozialversicherungsbeiträge, Nettogehalt. Beschäftigtendaten unter § 26 BDSG mit zusätzlichem Schutz.
Empfehlung: in-browser Tools für Einzelbearbeitungen. Für Volumen (Lohnbüros, Steuerberater, Personalabteilungen) PDF24 Creator Desktop kombiniert mit imisspdf Web für geräteübergreifenden Zugriff. Bei Cloud-Nutzung AVV mit dem Anbieter formalisieren und Verarbeitungsverzeichnis (Art. 30 DSGVO) führen.
Steuererklärungen, ELSTER-PDFs, Belegmappen
Betroffene Daten: Vollständige Identifikation, Familiensituation, alle Einkunftsarten, Vermögen, Sonderausgaben, IBAN für Erstattung. In falschen Händen Risiko von Erpressung, Kreditbetrug, ELSTER-Identitätsdiebstahl.
Empfehlung: ausschließlich lokale Verarbeitung. Es gibt keinen guten Grund, eine Steuererklärung an einen Drittanbieter-Server hochzuladen — alle nützlichen Manipulationen (Zusammenführen mehrerer PDFs, Komprimieren für Anhang an Mieterantrag, Hinzufügen von Belegen) können im Browser erledigt werden.
Medizinische Befunde, Rezepte, Krankschreibungen
Betroffene Daten: Gesundheitsdaten nach Art. 9 DSGVO, besondere Kategorie mit verstärktem Schutz. Verarbeitung erfordert ausdrückliche Einwilligung oder erweiterte Rechtsgrundlage nach Art. 9 Abs. 2 (z.B. medizinische Behandlung, öffentliche Gesundheit).
Empfehlung: in-browser Tools zwingend. Arztpraxen, Kliniken und Krankenhäuser sollten in der internen Datenschutz-Policy festhalten, dass die Bearbeitung von PDFs mit Gesundheitsdaten ausschließlich lokal erfolgt. Für hohe Volumina internes Hosting von Open-Source-Tools (PdfArranger, ocrmypdf) auf eigenen Servern in Erwägung ziehen.
Banking-PDFs (Kontoauszüge, BWA, Bürgschaften)
Betroffene Daten: IBAN, Salden, Bewegungen, vollständiges Ausgabenprofil, Gläubiger- und Schuldnerbeziehungen. Sehr sensitiv unter dem Bankgeheimnis (§ 30a AO bei steuerlichen Bezügen) und allgemeinen DSGVO-Grundsätzen.
Empfehlung: ausschließlich in-browser. Für Banken, Sparkassen und Versicherungen gelten zudem aufsichtliche Vorgaben (BAIT, KAIT, VAIT der BaFin) zur Cloud-Nutzung.
Notariell beurkundete Dokumente, ITZBund-Dokumente
Betroffene Daten: vollständige Identifikation der Parteien, wirtschaftliche Bewertungen, häufig vertrauliche Klauseln. Notarielle Dokumente unterliegen dem Notargeheimnis nach § 18 BNotO.
Empfehlung: ausschließlich lokale Verarbeitung. Für Rechtsanwaltskanzleien gilt das anwaltliche Berufsgeheimnis nach § 43a Abs. 2 BRAO und § 203 StGB.
TR-RESISCAN — beweiswerterhaltendes ersetzendes Scannen
Für Unternehmen, die Papierdokumente rechtssicher digitalisieren wollen (z.B. um nach § 147 AO Originale zu entsorgen), ist die BSI Technische Richtlinie TR-03138 RESISCAN der Referenzrahmen. Sie umfasst Anforderungen an Scanprozesse, Aufbewahrung, Verfahrensdokumentation. Hier empfehlen sich speziell zertifizierte Scan-Software-Lösungen. Cloud-PDF-Tools sind in der Regel nicht TR-RESISCAN-konform — für reines Komprimieren/Zusammenfügen nach abgeschlossener Digitalisierung kann aber lokales Tooling weiter eingesetzt werden.
eIDAS QES — Qualifizierte elektronische Signatur
Für die Signatur mit voller Beweiswirkung gleichwertig zur handschriftlichen Unterschrift kommt nur die QES infrage. In Deutschland ausgestellt von:
- D-Trust (Tochter der Bundesdruckerei) — sign-me, QES Signaturkarten
- Sparkassen-CC — Sparkassen-Signaturservice für Mittelstand
- certSIGN, GlobalSign, eMudhra Europe — international tätige QTSP
- DocuSign Qualified — DocuSign mit qualifizierter Variante via QTSP-Partner
Die Liste aller qualifizierten Vertrauensdiensteanbieter wird von der Bundesnetzagentur geführt. Für die Vorbereitung des PDF vor der QES (Anordnen der Seiten, Hinzufügen von Anhängen, finale Layout-Kontrolle) eignen sich in-browser Tools optimal, weil die Datei dort sauber bleibt. Nach der QES darf das PDF nicht mehr verändert werden — jede Manipulation würde die Signatur invalidieren.
Empfohlener Stack nach Profil
Privatperson: imisspdf in-browser als Standard. Deckt alle alltäglichen Bedürfnisse ab (Zusammenfügen, Teilen, Komprimieren, Konvertieren Word/Excel/JPG, OCR, Signieren, Wasserzeichen). Kein Upload, keine Anmeldung.
Selbstständige und Freiberufler (Steuerberater, Anwälte, Ärzte): imisspdf in-browser als Standard wegen Berufsgeheimnispflichten. Für qualifizierte Signaturen QTSP nutzen. Für hohe Volumen PDF24 Creator Desktop ergänzen.
KMU (bis 250 Beschäftigte): gestaffeltes Stack. Schicht 1 (Default): imisspdf in-browser. Schicht 2 (Unterstützung): iLovePDF oder PDF24 Tools für nicht-sensitive Dokumente oder wenn Arbeitsplatzspeicher nicht ausreicht. Im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentieren.
Großunternehmen mit DSB: Aktuelle Nutzung von Cloud-PDF-Tools überprüfen, AVV mit aktiven Anbietern formalisieren, progressive Migration zu in-browser für Routineoperationen erwägen. Für industrielle Volumen internes Hosting von Open-Source-Tools (ocrmypdf, PdfArranger) auf eigenen Servern. Für SecNumCloud-/IT-Grundschutz-Anforderungen (öffentlicher Sektor, KRITIS-Betreiber) ausschließlich lokale oder qualifizierte deutsche Cloud-Lösungen.
Öffentliche Verwaltung: BSI IT-Grundschutz und ggf. C5/SecNumCloud-Anforderungen verbindlich. PDF24 Creator Desktop oder in-browser Tools (imisspdf) auf Behörden-Arbeitsplätzen. Cloud-Nutzung nur mit qualifizierten deutschen Cloud-Anbietern (DE-Mail-zertifizierte oder vergleichbar).
Über imisspdf und die in-browser-Architektur
Transparenz-Hinweis: imisspdf ist mit in-browser-Architektur per Design entwickelt. Die Wahl ist bewusst: Dateien vollständig im Browser des Nutzers zu verarbeiten, eliminiert strukturell die Fragen zur Drittlandsübermittlung, Auftragsverarbeitung, AVV und DSFA. Für DACH-Nutzer bedeutet dies, dass die DSGVO in ihrer am einfachsten nachweisbaren Form eingehalten wird: Die Datei hat das Gerät des Verantwortlichen nie verlassen.
Die Bedienoberfläche ist auf Deutsch verfügbar (vollständige Lokalisierung, keine maschinelle Übersetzung). Die Algorithmen für Kompression, Zusammenführung, OCR (über Tesseract.js) und Signaturverarbeitung sind äquivalent zu denen kommerzieller Tools, werden aber lokal über WebAssembly und Open-Source-Bibliotheken ausgeführt. Keine Abonnements, keine Wasserzeichen, keine künstlichen Limits.
Verfügbare Tools: Zusammenfügen, Teilen, Komprimieren, Konvertieren (Word/Excel/PowerPoint/JPG zu und von PDF), Bearbeiten, OCR, Signieren, Wasserzeichen, Seitenzahlen, Schwärzen (echte Redaktion, keine schwarzen Rechtecke), Passwortschutz, Entsperren, Drehen, Zuschneiden, Seiten organisieren.
Praktische Schlussfolgerungen
Für Privatpersonen: imisspdf oder anderes in-browser-Tool für jedes Dokument mit Ihren personenbezogenen Daten — Ausweis, Gehaltsabrechnungen, medizinische Befunde, Steuererklärung. Für öffentliche Dokumente passt jedes Tool.
Für Selbstständige und KMU: Stack in Schichten nach Sensibilität organisieren. Die Default-Schicht sollte in-browser sein, um Compliance-Dokumentation zu minimieren. iLovePDF / PDF24 Cloud zur Unterstützung. Nutzung im Verarbeitungsverzeichnis dokumentieren (Art. 30 DSGVO).
Für Berufsgeheimnisträger (Anwälte, Ärzte, Steuerberater): Das Berufsgeheimnis verstärkt die in-browser-Empfehlung. Für hohe Volumen internes Hosting von Open-Source-Tools erwägen.
Für Großunternehmen mit DSB: Die Entscheidung ist nicht mehr “kostenloses Tool nutzen oder nicht”, sondern zwischen zwei Architekturen. Eine Cloud-first-Architektur verlangt AVV, DSFA, detailliertes Verarbeitungsverzeichnis, Schulungen. Eine in-browser-first-Architektur reduziert die Dokumentationslast drastisch durch Eliminierung des externen Auftragsverarbeiters. Die großen deutschen Beratungshäuser migrieren zunehmend zu dieser zweiten Option für routinemäßige Dokumentenmanipulation.
imisspdf auf Deutsch testen
Wenn die Argumentation oben zu Ihrem Anwendungsfall passt, bietet imisspdf 17 PDF-Tools (Zusammenfügen, Teilen, Komprimieren, Konvertieren, Signieren, Bearbeiten, OCR, Wasserzeichen, Schwärzen und mehr) vollständig in Ihrem Browser. Kein Upload, keine Anmeldung, kein Wasserzeichen, keine Größenbeschränkung außer dem RAM Ihres Geräts. Bedienoberfläche auf Deutsch.
Zur Vertiefung:
Häufig gestellte Fragen
Der FAQ-Block am Anfang des Artikels deckt die häufigsten Fragen ab. Für die französischsprachige Perspektive (RGPD/CNIL/eIDAS): Outils PDF Gratuits en Ligne 2026 (RGPD). Für die indonesische Perspektive (UU PDP) als cross-locale Referenz: Alat PDF Online Gratis Indonesia (UU PDP 2026). Für die allgemeine PDF-Sicherheits-Checkliste: PDF security checklist.
Für branchenspezifische Anwendungsfälle in DACH transponierbar: Best PDF Tools for Lawyers 2026 (anwaltliches Berufsgeheimnis, ABA Rule 1.6 / § 43a BRAO Parallelen), Best PDF Tools for Healthcare HIPAA 2026 (HIPAA / GDPR Art. 9 / KHZG-Kontext Parallelen).
Quellen
- DSGVO (Verordnung (EU) 2016/679) — konsolidierte Fassung EUR-Lex
- BDSG (Bundesdatenschutzgesetz) — Gesetze im Internet
- BfDI — Bundesbeauftragte für den Datenschutz
- BSI — Bundesamt für Sicherheit in der Informationstechnik
- BSI TR-03138 (RESISCAN) — Technische Richtlinie
- Schrems II Urteil (C-311/18) — EuGH
- eIDAS Verordnung (EU) 910/2014
- eIDAS 2.0 Verordnung (EU) 2024/1183
- Bundesnetzagentur — Liste der qualifizierten Vertrauensdiensteanbieter
- Schweizer revDSG — EDÖB
- Österreichische Datenschutzbehörde
- Data Privacy Framework EU-USA 2023
Frequently asked questions
Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten anwendbar. In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG) ergänzt, in Österreich durch das DSG, in der Schweiz gilt das revidierte Datenschutzgesetz (revDSG) seit 1. September 2023. PDF-Tools online sind betroffen, weil die meisten populären Dienste (iLovePDF, Smallpdf, Adobe Acrobat Online) Dateien auf Servern verarbeiten, die innerhalb oder außerhalb des Europäischen Wirtschaftsraums liegen können. Wenn eine PDF personenbezogene Daten enthält — Gehaltsabrechnungen, Arbeitsverträge, Personalausweis-Scans, medizinische Befunde — stellt ihr Upload auf einen Drittserver eine Auftragsverarbeitung (Art. 28 DSGVO) dar und, falls der Server außerhalb des EWR liegt, eine Drittlandsübermittlung gemäß Kapitel V (Art. 44 bis 50).
Grundsätzlich ja, mit Einschränkungen. iLovePDF ist in Barcelona (Spanien, EU) ansässig und verarbeitet auf europäischen Servern: Für deutsche Nutzer findet KEINE Drittlandsübermittlung statt. Smallpdf operiert aus der Schweiz, einem Land mit Angemessenheitsbeschluss der EU-Kommission (seit 2000, aktualisiert 2021), wodurch EU-Schweiz-Übermittlungen ohne zusätzliche Mechanismen legitimiert sind. PDF24 ist ein deutsches Unternehmen mit EU-Servern — der lokale Default in DACH. Adobe Acrobat Online (überwiegend US-Server) ist der komplexeste Fall: Seit 2023 erleichtert das EU-US Data Privacy Framework die Übermittlungen, steht aber unter Beobachtung des EuGH (ein mögliches Schrems III könnte es wie seine zwei Vorgänger invalidieren). Für öffentliche Dokumente ohne personenbezogene Daten sind alle Tools akzeptabel; für sensitive Dokumente empfehlen sich lokale oder europäische Lösungen.
Artikel 83 DSGVO regelt zwei Bußgeldstufen. Die erste Stufe sieht Geldbußen bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (je nachdem, welcher Betrag höher ist) — anwendbar bei Verstößen gegen Art. 8, 11, 25, 32 und andere. Die zweite Stufe sieht Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes vor — bei Verstößen gegen die Grundprinzipien (Art. 5), Rechtmäßigkeit (Art. 6), Betroffenenrechte (Art. 12-22) und internationale Übermittlungen (Kapitel V). In Deutschland verhängten die Datenschutzbehörden 2022 35,3 Millionen Euro gegen H&M und 14,5 Millionen gegen Deutsche Wohnen. Die irische DPC verhängte 1,2 Milliarden Euro gegen Meta (2023). Neben Bußgeldern können Aufsichtsbehörden Anordnungen, Verfahrenslast und Datenverarbeitungsverbote erlassen.
Die eIDAS-Verordnung (EU 910/2014) etabliert seit 2016 drei Vertrauensdienste-Stufen für elektronische Signaturen: einfache elektronische Signatur (EES), fortgeschrittene elektronische Signatur (FES) und qualifizierte elektronische Signatur (QES). Die QES ist nach Art. 25 eIDAS der handschriftlichen Unterschrift in allen EU-Mitgliedstaaten gleichgestellt und genießt eine Beweiserleichterungswirkung. Die eIDAS 2.0-Verordnung (EU 2024/1183), am 30. April 2024 im Amtsblatt veröffentlicht und am 20. Mai 2024 in Kraft getreten, erweitert das Spektrum: Europäische Digitale Brieftasche (EUDI Wallet) verpflichtend in allen Mitgliedstaaten bis 2026-2027, neue qualifizierte Vertrauensdienste (qualifizierte elektronische Archivierung, qualifizierte elektronische Register). In Deutschland werden QES-Zertifikate u.a. von D-Trust (Bundesdruckerei), Sparkassen-CC, eMudhra Europe, certSIGN und anderen qualifizierten Vertrauensdiensteanbietern ausgestellt, deren Liste die Bundesnetzagentur führt.
Wenn die Datei personenbezogene Daten oder besonders schützenswerte Daten enthält: Gehaltsabrechnungen, Arbeitsverträge, medizinische Befunde, Steuererklärungen (ELSTER-PDFs), Personalausweis-Scans, Verträge in Verhandlung, anwaltlich geschützte Korrespondenz. Ein in-browser Tool verarbeitet die Datei im Arbeitsspeicher des Endgeräts des Nutzers, ohne sie an einen externen Server zu senden. Dies eliminiert strukturell die Frage der Drittlandsübermittlung (es findet keine Übermittlung statt), erübrigt eine Auftragsverarbeitungsvereinbarung (AVV nach Art. 28 DSGVO) mit dem Anbieter, vereinfacht die Datenschutz-Folgenabschätzung (DSFA nach Art. 35) und reduziert die Angriffsfläche drastisch. Für PDFs ohne personenbezogene Daten — öffentliche Broschüren, Marketing-Materialien, bereits publizierte wissenschaftliche Papers — ist jedes Cloud-Tool völlig angemessen.
Related articles
Convert PDF to PDF/A: Long-Term Archival Format Explained (2026 Guide)
Convert PDF to PDF/A in 2026. What PDF/A is, the levels explained (1a vs 2b vs 3u vs 4), what gets stripped, and when you actually need it.
Convert JPG to PDF Online Free (2026 Guide: Multiple Images, Order, Quality)
Convert JPG to PDF online free. 2026 guide to multi-image PDFs: drag to reorder, DPI choice, HEIC/iPhone files, and the receipts-to-PDF workflow.
Best Free PDF Editor 2026 (8 Tools Compared: Edit, Sign, Convert, Privacy)
Best free PDF editor 2026: 8 tools compared on privacy, real editing, OCR, signup, and watermarks. Honest picks by use case, not paid placement.