LazyPDF
Branchenratgeber21. März 2026
Meidy Baffou·LazyPDF

PDF in Excel DSGVO-konform konvertieren – Datenschutz-Leitfaden

Die Konvertierung von PDF-Dokumenten in Excel ist in vielen Unternehmen Alltag: Finanzdaten aus Depotauszügen, Lieferantenrechnungen, Kontoauszügen und Jahresabschlüssen werden in Excel übertragen für Analyse, Reporting und Weiterverarbeitung. Was dabei häufig übersehen wird: Viele dieser Dokumente enthalten personenbezogene Daten im Sinne der DSGVO – Kundennamen und -adressen auf Rechnungen, Mitarbeiterdaten auf Lohnabrechnungen, Bankverbindungen auf Kontoauszügen. Die Nutzung von Online-Konvertern, die Dokumente auf externe Server hochladen, ist für solche personenbezogenen Daten datenschutzrechtlich problematisch. Ohne eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO ist die Übermittlung personenbezogener Daten an einen Drittdienstleister rechtswidrig. Dieser Leitfaden erklärt die DSGVO-Anforderungen für PDF-zu-Excel-Konvertierungen und zeigt datenschutzkonforme Lösungen.

Wann sind DSGVO-Anforderungen bei der Konvertierung relevant?

Die DSGVO ist relevant, wenn das zu konvertierende PDF personenbezogene Daten enthält. Das ist in der Praxis sehr häufig der Fall. Prüfen Sie bei jedem Konvertierungsvorgang: Enthält das Dokument Namen, Adressen oder Kontaktdaten von Personen? Enthält es Bankverbindungen, IBAN oder Kontonummern? Enthält es Gehalts- oder Lohndaten? Enthält es Gesundheitsdaten (z. B. bei Krankenkassen-Abrechnungen)? Enthält es Daten zu identifizierbaren Unternehmen mit Ansprechpartnern? Wenn eine dieser Fragen mit Ja beantwortet wird, gelten DSGVO-Anforderungen.

  1. 1Identifizieren Sie die personenbezogenen Daten im Dokument: Scanned Sie das PDF vor der Konvertierung und notieren Sie, welche Datenkategorien es enthält (Name, Adresse, Bankdaten, Gesundheitsdaten etc.). Besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, politische Ansichten) erfordern erhöhten Schutz.
  2. 2Wählen Sie ein DSGVO-konformes Konvertierungstool: Für personenbezogene Daten: Nur Tools mit lokaler Verarbeitung (LazyPDF – kein Server-Upload) oder Tools mit abgeschlossenem AVV und EU-Server. Nicht geeignet: Cloud-Dienste ohne AVV oder mit US-Server ohne Standardvertragsklauseln.
  3. 3Dokumentieren Sie die Verarbeitung: Tragen Sie die Konvertierungsaktivität in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO ein: Zweck der Verarbeitung, Kategorien der Daten, verwendete Tools, technische Schutzmaßnahmen.
  4. 4Sichern Sie das Ergebnis angemessen: Die konvertierte Excel-Datei mit personenbezogenen Daten muss genauso geschützt werden wie das Original-PDF: Zugangskontrolle, Verschlüsselung bei Übertragung, sichere Löschung nach Ende der Aufbewahrungsfrist.

AVV-Pflicht und Cloud-Konverter: Was ist erlaubt?

Wenn Sie einen Cloud-Dienst für die PDF-Konvertierung nutzen, der Dokumente auf eigene Server hochlädt, sind Sie Auftraggeber einer Auftragsverarbeitung nach Art. 28 DSGVO. Das verpflichtet Sie zur AVV (Auftragsverarbeitungsvereinbarung) mit dem Dienstleister. In der Praxis: Viele kostenlose Online-Konverter bieten keine AVV an. Das bedeutet: Die Nutzung dieser Dienste für personenbezogene Daten ist nach DSGVO rechtswidrig, auch wenn Sie sich nicht wissentlich um Datenschutz bemühen. Die Konsequenzen können Bußgelder der Datenschutzaufsichtsbehörde (in Deutschland die Landesbeauftragten für Datenschutz) bis zu 2% des weltweiten Jahresumsatzes betragen (Art. 83 Abs. 4 DSGVO). Für Unternehmen mit hohem PDF-Konvertierungsvolumen und personenbezogenen Daten: Nutzen Sie LazyPDF (kein AVV nötig, da kein Upload) oder schließen Sie mit Ihrem Konvertierungsdienstleister eine AVV ab.

Besondere Datenkategorien: Wenn Bilanzdaten zu personenbezogenen Daten werden

Interessanterweise können auch Finanzdaten unter bestimmten Umständen personenbezogene Daten sein. Einzelunternehmer und Personengesellschaften: Die Finanzdaten eines Einzelunternehmens können personenbezogene Daten des Inhabers sein, wenn der Inhaber aus den Daten identifizierbar ist. GmbH-Bilanzen: Kapitalgesellschaften sind keine natürlichen Personen, daher sind ihre Bilanzdaten in der Regel keine personenbezogenen Daten. Eine Ausnahme: Wenn Geschäftsführergehälter oder Gesellschafter-Namen in der Bilanz erscheinen. Kundenlisten und Lieferantenrechnungen: Diese enthalten fast immer personenbezogene Daten (Ansprechpartner, Rechnungsadresse). Prüfen Sie für jede Art von Dokument, das Sie konvertieren, ob personenbezogene Daten enthalten sind, und wählen Sie das Tool entsprechend.

DSGVO-konforme Nutzung von LazyPDF im Unternehmen

LazyPDF ist strukturell DSGVO-konform für die Verarbeitung personenbezogener Daten, weil: Alle Dokumente werden vollständig lokal im Browser des Nutzers verarbeitet. Es findet kein Upload auf externe Server statt. Es werden keine Dokument-Metadaten, Dateiinhalte oder Benutzerinformationen an LazyPDF übertragen. Das Prinzip der Datensparsamkeit (Art. 5 DSGVO) wird eingehalten, weil keine Daten erhoben werden, die nicht für die Konvertierung nötig sind. Für die Unternehmens-Dokumentation empfehlen wir: Nehmen Sie LazyPDF in Ihre Verfahrensdokumentation auf. Beschreiben Sie kurz: 'Für die PDF-Konvertierung wird LazyPDF (lazy-pdf.com) eingesetzt. Die Verarbeitung erfolgt lokal im Browser des Mitarbeiters ohne Übertragung auf externe Server. Es ist kein AVV erforderlich.' Diese Dokumentation schützt Sie bei Datenschutzprüfungen und bei Fragen von Aufsichtsbehörden.

Häufig gestellte Fragen

Brauche ich eine AVV wenn ich LazyPDF für die PDF-Konvertierung nutze?

Nein. Eine AVV nach Art. 28 DSGVO ist nur erforderlich, wenn Sie einen Dienstleister beauftragen, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Bei LazyPDF findet keine Übertragung von Daten an LazyPDF statt – die Verarbeitung erfolgt vollständig lokal in Ihrem Browser. Da kein Auftragsverarbeitungsverhältnis entsteht, ist keine AVV erforderlich.

Darf ich Gehaltsabrechnungen als PDF in Excel konvertieren?

Ja, aber nur mit einem datenschutzkonformen Tool. Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten (Gehaltsangaben, Steuer-ID, Bankverbindung). Diese dürfen nur mit Tools konvertiert werden, die keine Daten an externe Server übertragen (LazyPDF) oder bei denen eine AVV mit EU-Server und angemessenen Schutzmaßnahmen abgeschlossen wurde. Cloud-Dienste ohne AVV sind für Gehaltsabrechnungen ungeeignet.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit bei der PDF-Konvertierung?

Datenschutz (DSGVO) regelt, ob und wie personenbezogene Daten verarbeitet werden dürfen – also die rechtliche Ebene. Datensicherheit (IT-Sicherheit) regelt den technischen Schutz von Daten vor unbefugtem Zugriff – also die technische Ebene. Beide sind bei der PDF-Konvertierung relevant: Datenschutz: Darf ich dieses Dokument mit diesem Tool konvertieren? Datensicherheit: Ist die Verbindung verschlüsselt? Ist die konvertierte Datei sicher gespeichert? Beide Aspekte müssen erfüllt sein.

Welche Aufbewahrungsfristen gelten für konvertierte Excel-Dateien mit personenbezogenen Daten?

Die DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden als für den Verarbeitungszweck notwendig (Speicherbegrenzung, Art. 5 DSGVO). Für Buchhaltungsdaten: Die handelsrechtliche und steuerrechtliche Aufbewahrungsfrist (6 oder 10 Jahre) ist ein legitimer Zweck. Nach Ablauf der Frist müssen die personenbezogenen Daten gelöscht werden. Für Analysedaten (z. B. Kundenumsatz-Analysen): Solange der Analysezweck besteht. Implementieren Sie automatische Löschfristen in Ihrem Dokumentenmanagementsystem.

Konvertieren Sie PDFs DSGVO-konform in Excel – LazyPDF verarbeitet lokal, kein Upload, kein Datenschutzrisiko. Kostenlos.

Kostenlos Testen

Ähnliche Artikel

Tipps & Tricks

Mehrere Dateien auf einmal in PDF umwandeln

Tipps & Tricks

Tabellen aus PDF in Tabellenkalkulation extrahieren

Anleitungen

Excel in PDF umwandeln: Kostenlose XLSX-zu-PDF-Anleitung

Zurück zum Blog