Kurzfassung: Das müssen Sie wissen
- Das Risiko: Der Einsatz von Cloud-OCR-Tools für Mandantendokumente kann gegen DSGVO Art. 28 verstoßen und erfordert einen AVV.
- Die Lösung: Offline-Software wie RenameIQ verarbeitet Dokumente lokal — kein Cloud-Upload, kein AVV erforderlich.
- Für wen es gilt: Steuerberater, Buchhalter, Rechtsanwälte und alle, die mit personenbezogenen Daten Dritter arbeiten.
Viele Kanzleien und Buchhaltungsbüros nutzen kostenlose Online-Tools, um ihre PDF-Dokumente zu bearbeiten und umzubenennen — ohne zu wissen, dass sie damit möglicherweise gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. In diesem Artikel erklären wir, warum Cloud-OCR für Unternehmen, die mit Mandantendaten arbeiten, ein erhebliches rechtliches Risiko darstellt.
Was sagt DSGVO Art. 28 über Cloud-Dienstleister?
Wenn Sie personenbezogene Daten von Mandanten (Namen, Adressen, Kontonummern, Steuernummern) an einen Cloud-Dienst übermitteln, werden Sie zum Auftraggeber und der Cloud-Dienst zum Auftragsverarbeiter im Sinne der DSGVO.
Nach DSGVO Artikel 28 sind Sie als Auftraggeber verpflichtet:
- Einen schriftlichen Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter abzuschließen
- Zu prüfen, ob der Anbieter ausreichende technische und organisatorische Maßnahmen (TOMs) implementiert hat
- Sicherzustellen, dass der Anbieter die Daten ausschließlich nach Ihren Weisungen verarbeitet
Das Problem mit kostenlosen Online-OCR-Tools
Die meisten kostenlosen OCR-Dienste im Web (ILovePDF, Smallpdf, Adobe Online, etc.) schließen keinen AVV mit Ihnen ab — zumindest nicht in ihren kostenfreien Tarifen. Wenn Sie also ein Mandantendokument mit einer Steuernummer oder einem Kontoauszug dort hochladen, befinden Sie sich in einer rechtlich riskanten Grauzone.
Was passiert beim Hochladen eines Dokuments in die Cloud?
Wenn Sie ein PDF in einen Online-OCR-Dienst hochladen, durchläuft es typischerweise folgende Stationen:
- Übertragung: Die Datei wird über das Internet an Server des Anbieters übertragen — oft in den USA oder anderen Drittstaaten außerhalb der EU.
- Verarbeitung: Auf den Servern des Anbieters wird der Text extrahiert. In dieser Phase haben Mitarbeiter und Systeme des Anbieters potenziell Zugriff auf Ihre Dokumente.
- Speicherung: Die meisten Dienste behalten Dokumente für einen bestimmten Zeitraum auf ihren Servern — manche für Stunden, manche für Tage oder länger.
- Verwendung: Einige Anbieter nutzen hochgeladene Daten zur Verbesserung ihrer KI-Modelle oder für andere Zwecke — oft in den AGBs vergraben.
Die sichere Alternative: Offline-OCR mit RenameIQ
RenameIQ Pro wurde von Grund auf für genau diese Situation entwickelt. Die KI läuft vollständig lokal auf Ihrem Windows-PC — kein einziges Byte Ihrer Mandantendaten verlässt Ihren Rechner.
✅ So schützt RenameIQ Ihre Kanzlei rechtlich
- Kein AVV erforderlich: Da keine Datenübertragung stattfindet, sind Sie nicht "Auftraggeber" im Sinne der DSGVO Art. 28.
- Keine Drittstaatenübertragung: Ihre Dokumente verlassen niemals Ihr Büronetzwerk — keine USA-Server, kein Datenschutzproblem.
- Keine Datenpannen: Was nicht übertragen wird, kann auch nicht gestohlen werden.
- Kompatibel mit Berufsgeheimnispflichten: Ideal für Rechtsanwälte, Steuerberater und Ärzte, die besonderen Schweigepflichten unterliegen.
Praktische DSGVO-Checkliste für Kanzleien
Verwenden Sie diese Checkliste, um Ihren aktuellen Dokumenten-Workflow zu bewerten:
| Frage | Cloud-OCR | RenameIQ (Offline) |
|---|---|---|
| AVV mit Anbieter abgeschlossen? | ❌ Oft nicht vorhanden | ✅ Nicht erforderlich |
| Daten verlassen EU? | ⚠️ Häufig (US-Server) | ✅ Niemals |
| Zugriff Dritter möglich? | ⚠️ Potenziell | ✅ Ausgeschlossen |
| Datenpannen-Risiko? | ⚠️ Ja | ✅ Minimal |
| Berufsgeheimnispflicht vereinbar? | ❌ Problematisch | ✅ Vollständig kompatibel |
Fazit: DSGVO-Konformität ist keine Option, sondern Pflicht
Die DSGVO ist kein bürokratisches Hindernis — sie schützt die Daten Ihrer Mandanten. Als Steuerberater, Buchhalter oder Rechtsanwalt tragen Sie eine besondere Verantwortung für die Daten, die Ihnen anvertraut werden.
Der einfachste Weg, DSGVO-konform zu bleiben: Nutzen Sie Software, die Dokumente ausschließlich lokal auf Ihrem PC verarbeitet. RenameIQ Pro tut genau das — und benennt dabei noch Ihre Rechnungen automatisch um.
Jetzt kostenlos testen — 50 Umbenennungen inklusive, keine Kreditkarte, kein Cloud-Upload.
📚 Weiterführende Artikel: Lesen Sie, wie Buchhalter Rechnungen automatisch umbenennen und dabei Zeit sparen.
Häufig gestellte Fragen
Muss ich für jeden Cloud-OCR-Dienst einen AVV abschließen?
Ja, wenn der Dienst personenbezogene Daten Ihrer Mandanten verarbeitet. Nach DSGVO Art. 28 sind Sie als Verantwortlicher verpflichtet, mit jedem Auftragsverarbeiter einen schriftlichen AVV abzuschließen. Viele kostenlose Online-Dienste bieten keinen AVV an — was Sie in eine rechtlich problematische Situation bringt.
Was passiert, wenn ich gegen DSGVO Art. 28 verstoße?
Die DSGVO sieht Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Darüber hinaus drohen zivilrechtliche Schadensersatzansprüche der betroffenen Mandanten.
Ist RenameIQ Pro DSGVO-konform?
Ja. RenameIQ verarbeitet alle Dokumente ausschließlich lokal auf Ihrem PC. Da keine personenbezogenen Daten an externe Server übertragen werden, ist kein AVV erforderlich und das DSGVO-Risiko entfällt vollständig.