Ratgeber · Datenschutz & Recht
Datenschutz bei Online-Konvertern: clientseitig oder serverseitig?
Online-Konverter sind praktisch, doch nicht jedes Tool behandelt Ihre Daten gleich. Der Unterschied zwischen Browser- und Server-Verarbeitung entscheidet darüber, ob Ihre Dateien das Gerät verlassen.
Online-Konverter gehören zu den meistgenutzten Werkzeugen im Arbeitsalltag. Eine JSON-Datei aus einer API soll schnell in eine CSV für Excel umgewandelt werden, eine Tabelle muss zurück ins JSON-Format für einen Import. Der Vorgang dauert Sekunden, das Ergebnis liegt sofort vor. Was dabei oft unbeachtet bleibt: Nicht jeder Konverter verarbeitet die Daten am selben Ort. Manche Tools rechnen direkt im Browser, andere schicken die hochgeladene Datei an einen Server. Dieser Unterschied ist technisch unscheinbar, datenschutzrechtlich aber entscheidend.
Dieser Beitrag ordnet die beiden Verarbeitungsmodelle ein, zeigt, wie sich der Unterschied nachvollziehen lässt, und skizziert die datenschutzrechtliche Relevanz aus Betreiberperspektive. Es handelt sich um allgemeine, sachliche Hinweise und ausdrücklich nicht um eine Rechtsberatung im Einzelfall.
Zwei Wege, eine Datei zu konvertieren
Eine Konvertierung von JSON nach CSV ist im Kern eine Datentransformation. Strukturierte Schlüssel-Wert-Paare werden in Zeilen und Spalten überführt. Diese Rechenoperation muss irgendwo stattfinden, und genau hier trennen sich die beiden Ansätze.
Beim serverseitigen Modell lädt der Browser die Datei zunächst auf einen entfernten Server hoch. Dort führt ein Programm die Umwandlung durch und liefert das Ergebnis zurück. Die Datei verlässt in diesem Fall das Gerät vollständig. Sie wandert über das Internet zu einer fremden Infrastruktur, wird dort entgegengenommen, verarbeitet und im günstigen Fall danach wieder gelöscht.
Beim clientseitigen Modell passiert die Umwandlung im Browser selbst. Moderne Browser bringen über die File API und JavaScript alles mit, um eine ausgewählte Datei lokal einzulesen und zu transformieren. Die Datei wird im Arbeitsspeicher des eigenen Rechners verarbeitet. Es findet kein Upload statt. Der Server liefert lediglich einmal den Programmcode der Webseite aus, danach läuft die eigentliche Arbeit ohne weitere Datenübertragung ab.
Clientseitig vs. serverseitig im direkten Vergleich
Die folgende Tabelle stellt beide Modelle anhand der wichtigsten Kriterien gegenüber.
| Kriterium | Clientseitig (Browser) | Serverseitig (Upload) |
|---|---|---|
| Verarbeitungsort | Lokaler Browser, eigener Rechner | Entfernter Server des Anbieters |
| Datei verlässt das Gerät | Nein | Ja |
| Netzwerkübertragung der Inhalte | Keine | Vollständiger Upload |
| Mögliche Speicherung beim Anbieter | Technisch ausgeschlossen | Möglich, abhängig vom Betreiber |
| Server-Logs mit Dateibezug | Nicht vorhanden | Möglich (Zugriffe, Metadaten) |
| Funktion ohne Internet nach Laden | Ja | Nein |
| Abhängigkeit von Serverlast | Keine | Wartezeit bei hoher Auslastung |
| Dateigrößen-Limit | Durch Arbeitsspeicher begrenzt | Durch Upload-Limit begrenzt |
Der zentrale Punkt steht in der dritten Zeile. Bei clientseitiger Verarbeitung gibt es keine Netzwerkübertragung der Dateiinhalte. Damit entfallen sämtliche Risiken, die sich aus einem Upload ergeben könnten, von der Speicherung über Logs bis zur Übertragung in unbekannte Rechenzentren.
Warum der Verarbeitungsort datenschutzrechtlich zählt
JSON- und CSV-Dateien wirken oft harmlos, weil sie technisch aussehen. Tatsächlich enthalten sie häufig genau die Art von Information, die besonderen Schutz genießt. Ein API-Export aus einem CRM-System kann Namen, E-Mail-Adressen, Telefonnummern oder Kundennummern enthalten. Eine Bestellliste umfasst Lieferadressen. Ein Log-Export trägt IP-Adressen. Sobald sich eine Person aus den Daten direkt oder indirekt bestimmen lässt, handelt es sich um personenbezogene Daten im Sinne der DSGVO.
Wer eine solche Datei zu einem serverseitigen Konverter hochlädt, übermittelt diese personenbezogenen Daten an einen Dritten. Damit rückt eine Reihe von Fragen in den Blick, die bei einem clientseitigen Tool gar nicht erst entstehen.
Auftragsverarbeitung
Verarbeitet ein Anbieter Daten im Auftrag eines Unternehmens, kann eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegen. In solchen Konstellationen ist üblicherweise ein Vertrag zur Auftragsverarbeitung erforderlich, der Pflichten, Löschfristen und technische Maßnahmen regelt. Ein beiläufig genutzter Online-Konverter ohne solchen Vertrag passt schlecht in dieses Bild. Bei einem rein clientseitigen Tool stellt sich die Frage nicht, weil keine Daten an den Anbieter gelangen und damit keine Verarbeitung durch einen Dritten stattfindet.
Datenminimierung
Art. 5 DSGVO nennt unter den Grundsätzen für die Verarbeitung die Datenminimierung. Personenbezogene Daten sollen auf das notwendige Maß beschränkt bleiben. Eine Übermittlung an einen externen Server allein für eine Format-Umwandlung lässt sich unter diesem Grundsatz kritisch betrachten, wenn dieselbe Aufgabe lokal im Browser erledigt werden kann. Die clientseitige Variante ist insofern die datensparsamere Lösung, weil sie ohne jede Übermittlung auskommt.
Speicherung und Logs
Bei einem Upload liegt es allein beim Betreiber, was nach der Konvertierung mit der Datei geschieht. Manche Anbieter löschen sofort, andere halten Dateien für eine gewisse Zeit vor, wieder andere protokollieren zumindest Metadaten. Ohne Einblick in die Serverkonfiguration lässt sich das von außen nicht zuverlässig beurteilen. Genau diese Unsicherheit ist der Grund, warum sensible Datenexporte besser nicht durch beliebige Server laufen sollten.
So prüfen Sie, ob ein Tool lokal arbeitet
Die gute Nachricht: Der Verarbeitungsort lässt sich mit Bordmitteln des Browsers nachvollziehen. Zwei einfache Tests genügen.
Test über das Netzwerk-Tab
Öffnen Sie die Entwicklertools Ihres Browsers. In Chrome, Edge und Firefox erreichen Sie diese mit der Taste F12 oder über das Kontextmenü und den Eintrag Untersuchen. Wechseln Sie zum Reiter Netzwerk. Dieses Tab zeigt jede Anfrage, die der Browser stellt.
Starten Sie nun eine Konvertierung mit einer Testdatei. Beobachten Sie dabei das Netzwerk-Tab. Bei einem serverseitigen Tool erscheint ein Eintrag, meist mit der Methode POST, der Ihre Datei an einen Server überträgt. Die Größe dieses Requests entspricht ungefähr der Dateigröße. Bei einem clientseitigen Tool bleibt diese Liste während der Konvertierung leer. Es taucht kein Upload auf, weil keiner stattfindet.
Test ohne Internetverbindung
Der zweite Test ist noch direkter. Laden Sie die Webseite des Konverters vollständig. Trennen Sie danach die Internetverbindung, etwa indem Sie den Flugmodus aktivieren oder das WLAN ausschalten. Versuchen Sie jetzt, eine Datei zu konvertieren.
Funktioniert die Umwandlung trotz fehlender Verbindung, kann sie nur lokal im Browser ablaufen. Ein serverseitiges Tool würde an dieser Stelle scheitern, weil der Upload ohne Netz nicht durchgeht. Dieser Offline-Test ist der einfachste Beweis dafür, dass eine Datei das Gerät nicht verlässt.
Wie json-csv.de mit Ihren Daten umgeht
json-csv.de arbeitet bewusst rein clientseitig. Die gesamte Konvertierung zwischen JSON und CSV läuft im Browser über JavaScript. Wenn Sie eine Datei auswählen oder Inhalte einfügen, liest das Tool diese lokal über die File API ein und transformiert sie direkt auf Ihrem Gerät. Es gibt keinen Upload, keine Übertragung der Inhalte an einen Server und folglich auch keine serverseitige Speicherung Ihrer Dateien.
Das bedeutet konkret: Auch ein Datenexport mit Kundennamen, Adressen oder anderen personenbezogenen Inhalten verbleibt vollständig in Ihrem Browser. Sie können beide oben beschriebenen Tests anwenden und den Befund selbst überprüfen. Das Netzwerk-Tab bleibt während der Konvertierung ohne Datei-Upload, und der Offline-Test gelingt, sobald die Seite einmal geladen ist.
Dieser Ansatz hat einen angenehmen Nebeneffekt jenseits des Datenschutzes. Weil keine Daten hin- und hergeschickt werden, gibt es keine Wartezeit durch Serverlast und keine Abhängigkeit von der Verfügbarkeit eines Backends. Die Konvertierung ist so schnell, wie Ihr eigener Rechner rechnet.
Wann ein Upload trotzdem in Ordnung sein kann
Serverseitige Verarbeitung ist nicht grundsätzlich problematisch. Für rein technische Dateien ohne Personenbezug, etwa eine Konfigurationsdatei oder einen synthetischen Testdatensatz, spielt der Verarbeitungsort kaum eine Rolle. Auch wenn ein Anbieter mit klarer Löschpolitik und vertraglicher Grundlage eingebunden ist, kann ein serverseitiger Dienst sinnvoll sein, besonders bei sehr großen Dateien, die den Arbeitsspeicher des Browsers überfordern würden.
Die Faustregel lautet: Je sensibler der Inhalt, desto eher lohnt der Blick auf den Verarbeitungsort. Bei Dateien mit personenbezogenen Daten ist ein clientseitiges Tool die naheliegende Wahl, weil es das Risiko an der Wurzel vermeidet. Die Daten verlassen das Gerät nicht, also kann auch unterwegs oder beim Anbieter nichts mit ihnen geschehen.
Worauf es ankommt
Der Unterschied zwischen clientseitiger und serverseitiger Verarbeitung ist kein Detail für Spezialisten, sondern eine Grundsatzfrage des Datenschutzes. Ein clientseitiger Konverter verarbeitet Ihre Datei lokal im Browser, ohne sie jemals zu übertragen. Ein serverseitiges Tool lädt sie auf eine fremde Infrastruktur, womit Fragen zu Speicherung, Logs und Auftragsverarbeitung entstehen können.
Prüfen lässt sich der Unterschied mit zwei Handgriffen: ein Blick ins Netzwerk-Tab des Browsers und ein Konvertierungsversuch ohne Internetverbindung. Wer JSON- oder CSV-Dateien mit personenbezogenen Inhalten umwandelt, fährt mit einem rein lokal arbeitenden Tool am sichersten. json-csv.de ist genau so aufgebaut, sodass Ihre Daten dort niemals das Gerät verlassen. Für die konkrete rechtliche Bewertung im eigenen Anwendungsfall bleibt die Rücksprache mit einer fachkundigen Stelle die richtige Adresse.
FAQ
Häufige Fragen
Verlassen meine Daten bei json-csv.de das Gerät?
Nein. Die Konvertierung läuft vollständig im Browser über JavaScript. Die Datei wird lokal im Arbeitsspeicher verarbeitet und niemals an einen Server hochgeladen. Sie können dies prüfen, indem Sie das Netzwerk-Tab Ihres Browsers öffnen oder die Verbindung trennen und trotzdem konvertieren.
Woran erkenne ich, ob ein Konverter clientseitig arbeitet?
Öffnen Sie die Entwicklertools Ihres Browsers, wechseln Sie ins Netzwerk-Tab und starten Sie eine Konvertierung. Erscheint dabei kein Upload-Request mit Ihrer Datei, arbeitet das Tool lokal. Ein zweiter Test: Trennen Sie die Internetverbindung. Funktioniert die Konvertierung weiter, läuft sie im Browser.
Sind personenbezogene Daten in einer CSV-Datei DSGVO-relevant?
Ja. Sobald eine Datei Namen, E-Mail-Adressen, Kundennummern oder andere identifizierende Merkmale enthält, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Das Hochladen solcher Dateien zu einem fremden Server kann eine Verarbeitung durch einen Dritten auslösen.
Brauche ich einen Auftragsverarbeitungsvertrag für einen Online-Konverter?
Das hängt davon ab, ob der Anbieter Ihre Daten in Ihrem Auftrag verarbeitet. Bei serverseitigen Tools, die Dateien empfangen und speichern, kann ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich sein. Bei rein clientseitiger Verarbeitung entsteht diese Konstellation nicht, weil keine Daten an den Anbieter übermittelt werden.
Quellen