epsjpg.de
DSGVO Art. 6 lit. f bei client-only Konvertierung: was Designer wissen müssen
Wer eine vertrauliche Kundengrafik konvertiert, hat eine reale DSGVO-Frage am Hals. Bei Server-Upload greift Art. 6 Abs. 1 lit. b (Vertragsanbahnung) als Rechtsgrundlage für die kurzzeitige Server-Verarbeitung. Bei einer client-only Konvertierung wie epsjpg.de greift dagegen Art. 6 Abs. 1 lit. f (berechtigtes Interesse), und die DSGVO-Lage ist deutlich einfacher. Hier steht, warum das für Designer mit vertraulichen Logos und unveröffentlichten Kampagnen-Assets relevant ist.
Geschäftsführer · UrhG & DSGVO Art. 6 lit. f
Veröffentlicht am 10.06.2026 · Zuletzt geprüft am 10.06.2026
Die zwei Verarbeitungs-Modelle
Wer eine EPS-Datei in ein JPG konvertieren will, hat die Wahl zwischen zwei technisch verschiedenen Modellen, die rechtlich sehr unterschiedlich aussehen:
Modell A, Server-Upload. Die EPS-Datei wird per HTTP-POST an einen Server geschickt. Dort läuft ein Konvertierungs-Programm (typisch Ghostscript), das die Datei in JPG umwandelt. Der Server gibt einen Download-Link zurück. Beispiele: CloudConvert, Convertio, die Schwester-Site eps-jpg-converter.
Modell B, Client-only WASM. Die EPS-Datei wird in einer Browser-Engine (WebAssembly) lokal im Tab konvertiert. Es gibt keinen Server-Upload mit dem Datei-Inhalt. Beispiele: epsjpg.de (diese Site), Photopea für Photoshop-Dateien, Squoosh für Bild-Optimierung.
Aus DSGVO-Perspektive sind das zwei verschiedene Welten.
Modell A: Server-Upload, Art. 6 Abs. 1 lit. b DSGVO
Beim Server-Upload findet eine Verarbeitung personenbezogener Daten beim Anbieter statt. Der Anbieter erhält die EPS-Datei und kann sie zumindest theoretisch öffnen, hashen, archivieren oder weitergeben. Auch wenn der Anbieter zusichert, dass die Datei nach 30 Minuten gelöscht wird, ist sie in diesen 30 Minuten ein DSGVO-relevantes Datum.
Rechtsgrundlage ist typischerweise Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung): der Nutzer beauftragt den Anbieter implizit mit der Konvertierung, und der Anbieter liefert die Konvertierung gegen die Datei als Eingabe. Es kommt ein konkludenter Vertrag zustande, dessen Erfüllung die Datei-Verarbeitung erforderlich macht.
Das hat Konsequenzen für den Anbieter:
- Er muss eine Datenschutzerklärung haben, die die Verarbeitung der Datei beschreibt: was geladen wird, wie lange gespeichert, wer Zugriff hat, an wen ggf. weitergegeben.
- Wenn der Anbieter im Auftrag eines anderen verarbeitet (z.B. bei einer White-Label-Konvertierungs-Lösung), greift Art. 28 DSGVO (Auftragsverarbeitung) mit einem Auftragsverarbeitungs-Vertrag (AVV).
- Bei Server-Standorten außerhalb der EU (z.B. USA-Cloud-Server) braucht es zusätzliche Garantien nach Art. 44 ff. DSGVO. Seit EuGH C-311/18 (Schrems II, 2020) reicht ein blosser Standardvertragsklausel-Hinweis nicht mehr, es muss eine Einzelfall-Prüfung erfolgen.
- Sicherheitsmassnahmen nach Art. 32 DSGVO sind verpflichtend: Verschlüsselung in Transit (TLS), Verschlüsselung at-rest, Zugriffs-Kontrolle, Lösch-Routinen.
Das ist nicht unmöglich, aber es ist Aufwand. Und es ist ein realer Risikofaktor, weil ein einziger Datenpanne-Vorfall (z.B. Server-Hack mit Datei-Leak) eine meldepflichtige Datenpanne nach Art. 33 DSGVO ist.
Modell B: Client-only WASM, Art. 6 Abs. 1 lit. f DSGVO
Bei client-only Konvertierung findet keine Verarbeitung personenbezogener Daten der Datei beim Anbieter statt. Die EPS-Datei wird im Browser des Nutzers geladen, an die lokale WebAssembly-Engine übergeben und dort gerendert. Es gibt keinen HTTP-Request mit Datei-Inhalt. Der Anbieter erfährt nicht einmal, dass eine Konvertierung stattgefunden hat.
Was beim Anbieter trotzdem ankommt:
- IP-Adresse des Nutzers (durch den Webseiten-Aufruf an sich)
- User-Agent-Header (Browser, Betriebssystem)
- Server-Logs der einzelnen Page-Loads (mit Zeitstempel)
- Bei Analytics: anonymisierte Nutzungs-Statistiken
- Bei Cookie-Consent: Consent-Entscheidung
Diese Daten fallen bei jeder Webseite an, unabhängig vom Tool. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): der Webseiten-Betreiber hat ein berechtigtes Interesse an einem funktionsfähigen Webserver, Logs für Debugging und Statistik für Tool-Verbesserung.
Was nicht beim Anbieter ankommt:
- Datei-Inhalt
- Datei-Name
- Datei-Hash
- Konvertierungs-Parameter (DPI, Qualität, Hintergrundfarbe)
Das ist der entscheidende Unterschied. Bei client-only entfällt die ganze Kategorie der Datei-Verarbeitung in der DSGVO-Prüfung. Die Datenschutzerklärung wird kürzer und ehrlicher: sie beschreibt nur den Webseiten-Betrieb, nicht die Konvertierung.
<text class="label" x="180" y="60">Server-Upload (lit. b)</text>
<rect class="box" x="40" y="80" width="280" height="200"/>
<text class="small" x="180" y="106">Art. 6 Abs. 1 lit. b DSGVO</text>
<text class="small" x="180" y="124">Vertragsanbahnung</text>
<text class="small" x="180" y="148">- Datei wird zum Server geladen</text>
<text class="small" x="180" y="166">- AVV-Pflicht bei B2B-Nutzung</text>
<text class="small" x="180" y="184">- Drittlands-Prüfung Art. 44 ff.</text>
<text class="small" x="180" y="202">- Löschfrist mit Auto-Delete</text>
<text class="small" x="180" y="220">- Datenpanne Art. 33 bei Leak</text>
<text class="small" x="180" y="238">- Datenschutzerklärung 1500+ Worte</text>
<text class="small" x="180" y="260">Risiko bei vertraulichen Grafiken: HOCH</text>
<text class="label" x="540" y="60">Client-only (lit. f)</text>
<rect class="box-alt" x="400" y="80" width="280" height="200"/>
<text class="small" x="540" y="106">Art. 6 Abs. 1 lit. f DSGVO</text>
<text class="small" x="540" y="124">Berechtigtes Interesse</text>
<text class="small" x="540" y="148">- Datei bleibt im Browser-Tab</text>
<text class="small" x="540" y="166">- Kein AVV nötig</text>
<text class="small" x="540" y="184">- Kein Drittlands-Transfer</text>
<text class="small" x="540" y="202">- Keine Löschfrist (nichts gespeichert)</text>
<text class="small" x="540" y="220">- Keine Datei-Datenpanne möglich</text>
<text class="small" x="540" y="238">- Datenschutzerklärung kürzer</text>
<text class="small" x="540" y="260">Risiko bei vertraulichen Grafiken: NIEDRIG</text>Was das für Designer und KMU heißt
Designer und Agenturen arbeiten oft mit Materialien, die unter Geheimhaltungsklauseln stehen. Ein Logo-Entwurf vor der offiziellen Markenfreigabe. Ein Visitenkarten-Layout für einen geheimen Re-Brand. Ein Plakat-Mockup für eine noch nicht angekündigte Kampagne. All diese Materialien sind im Kunden-Vertrag oder NDA als vertraulich klassifiziert.
Wenn diese Designer eine EPS-zu-JPG-Konvertierung brauchen (zum Beispiel um eine Vorschau in eine E-Mail einzufügen), stehen sie vor einer Wahl:
- Lokale Installation von Inkscape oder Adobe Illustrator nutzen. Sicher, aber zeitaufwendig zu starten und das Tool muss vorhanden sein.
- Cloud-Tool nutzen wie CloudConvert oder Convertio. Schnell, aber die vertrauliche Datei verlässt den eigenen Rechner.
- Client-only Browser-Tool nutzen wie epsjpg.de. Schnell und die Datei bleibt im Browser.
Option 3 ist genau das, was epsjpg.de lösen will. Der Designer kann mit ruhigem Gewissen eine unveröffentlichte Logo-EPS in JPG konvertieren, weil die Datei nicht über die NDA-Grenzen hinaus geht.
Für KMU gilt das gleiche Argument. Eine kleine Firma, die eine EPS-Visitenkarten-Vorlage des hauseigenen Designers konvertieren will, muss nicht prüfen, ob CloudConvert die deutsche DSGVO ernst nimmt. Sie kann epsjpg.de nutzen, das Tool ist in Deutschland gehostet (Coolify auf Netcup-Server) und macht die ganze Konvertierung lokal.
Was epsjpg.de in der Datenschutzerklärung trotzdem hat
Auch eine client-only Site hat eine Datenschutzerklärung. Was wir abdecken:
- Server-Logs. IP-Adresse, User-Agent, Request-URL, Zeitstempel. Speicherdauer 14 Tage, gemäss BSI-Empfehlung. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.
- Cookie-Consent. Vor Analytics-Loading wird Consent eingeholt. Bis dahin läuft nur das Funktions-Cookie für den Theme-Wechsel.
- Analytics (optional). Umami self-hosted, anonymisierte Nutzungs-Statistiken, keine Cross-Site-Tracking. Erst nach Consent geladen.
- AdSense (optional). Google AdSense für Monetarisierung, nur nach Consent. Datenübermittlung in die USA, mit den üblichen Standardvertragsklauseln.
- Verantwortliche Stelle. AKARA Solutions GmbH, vertreten durch Eike-Christian Ramcke als Geschäftsführer. Adresse, Telefon, E-Mail.
Was die Datenschutzerklärung nicht hat: einen Abschnitt zur Datei-Verarbeitung. Weil keine stattfindet. Das ist die kleine, aber feine Differenz, die client-only Tools von Server-Tools unterscheidet.
Was Designer wirklich brauchen
Aus zehn Jahren als GF einer Agentur-affilierten Software-Firma weiß ich, was Designer wirklich brauchen: ein Tool, das in 5 Sekunden eine EPS in eine JPG verwandelt, ohne dass sie sich Gedanken um Datenschutz machen müssen. Inkscape ist zu lahm zu starten, Adobe Illustrator ist zu teuer für einen Quick-Convert, CloudConvert ist zu unsicher für NDAs.
Client-only Browser-Tools wie epsjpg.de sind genau diese Nische. Sie sind schnell, sicher und nehmen die DSGVO-Prüfung dem Designer ab. Wer eine vertrauliche Grafik konvertieren muss, kann ohne weitere Prüfung loslegen. Die Datei verlässt den Browser nicht, der Anbieter erfährt nichts von der Konvertierung, der NDA bleibt unverletzt.
Das ist der USP, den wir bei epsjpg.de bauen, und der rechtlich tragfähig ist. Nicht weil wir Datenschutz besonders schön versprechen, sondern weil wir technisch verhindern, dass Daten überhaupt erst entstehen, die zu schützen wären.
FAQ
Häufige Fragen
Welche DSGVO-Norm greift bei client-only Konvertierung?
Bei einer reinen Browser-WASM-Konvertierung wie epsjpg.de werden serverseitig keine Datei-Inhalte verarbeitet. Es greift für den Webseiten-Betrieb (Server-Logs, IP-Adressen) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Anders als bei Server-Upload braucht es keine Rechtsgrundlage für eine Datei-Verarbeitung, weil keine solche stattfindet.
Warum ist lit. f sauberer als lit. b?
Lit. b (Vertragsanbahnung) verlangt, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Wer eine EPS hochlädt, schließt implizit einen Konvertierungs-Vertrag und liefert dafür Daten. Die Auftragsverarbeitung-Logik nach Art. 28 DSGVO greift. Bei client-only entsteht dieser Vertrag erst gar nicht, weil keine Daten zum Anbieter fließen. Lit. f reicht aus, und der ganze Vertragsanbahnung-Apparat (AVV, Auftragsverarbeitung, Drittlands-Transfer) entfällt.
Was bedeutet das für vertrauliche Kundengrafiken?
Designer, die ein unveröffentlichtes Logo eines Kunden konvertieren, haben oft eine Geheimhaltungspflicht aus Kunden-Vertrag oder NDA. Bei Server-Upload muss sie prüfen, ob der Konvertierungs-Anbieter die Vertraulichkeit halten kann (AVV, Drittlands-Transfer, technische Massnahmen). Bei client-only entfällt diese Prüfung, weil die Datei den Browser nicht verlässt und damit auch keine Dritten-Daten an den Anbieter fließen.
Was muss epsjpg.de trotzdem in der Datenschutzerklärung haben?
Server-Logs (IP-Adresse, User-Agent, Zeitstempel), Cookie-Consent für Analytics, AdSense und Funktions-Cookies, Hinweis auf den AKARA-Konzern als Auftraggeber. Was wir nicht haben müssen: AVV-Hinweis für Datei-Verarbeitung, Drittlands-Transfer-Hinweis für USA-Server, Löschfrist für Datei-Inhalte. Das macht die Datenschutzerklärung kürzer und ehrlicher.
Kann ich epsjpg.de für Auftragsarbeiten unter NDA nutzen?
Mit hoher Wahrscheinlichkeit ja, weil die Datei den Browser nicht verlässt und damit keine Dritte involviert werden. Prüfe trotzdem den konkreten NDA-Wortlaut: manche NDAs verbieten jede Verwendung von Cloud-Tools, was technisch auch eine Browser-Seite einschliesst. Im Zweifel mit dem Auftraggeber abstimmen, der NDA-Text gewinnt.
Quellen
Weitere Ratgeber