Wenn Sie PDF-Dokumente mit sensiblen Informationen schwärzen müssen, kommt es auf die Wahl des richtigen Anbieters an. Sie vertrauen ihm vertrauliche Daten an – möglicherweise personenbezogene Informationen, Finanzdaten oder rechtlich geschützte Unterlagen. Bevor Sie etwas in einen Cloud-Dienst hochladen, sollten Sie sich diese Fragen stellen:
1. Ist das Unternehmen legitim und identifizierbar?
Ein anonymes Tool ohne klare Eigentümerschaft ist ein Warnsignal. Ein vertrauenswürdiger Dienst zur PDF-Schwärzung sollte leicht überprüfbar sein: Suchen Sie nach einem eingetragenen Unternehmensnamen, einer Handelsregisternummer, einer Postadresse und namentlich genannten Personen, die hinter dem Produkt stehen. Prüfen Sie, ob das Unternehmen in einem offiziellen Handelsregister eingetragen ist.
2. Wo werden Ihre Daten verarbeitet?
Datensouveränität ist wichtig, insbesondere wenn Sie PDF-Dateien mit personenbezogenen Daten schwärzen, die regulatorischen Anforderungen unterliegen. Wenn Sie EU-Personendaten verarbeiten, ist die sicherste Wahl ein Anbieter, der Dateien innerhalb der Europäischen Union auf Infrastruktur verarbeitet, die der DSGVO und dem europäischen Datenschutzrecht unterliegt.
Achten Sie darauf, wo die Infrastruktur des Dienstanbieters tatsächlich gehostet wird, nicht nur, wo das Unternehmen eingetragen ist. Ein europäisches Unternehmen kann seine Server dennoch auf US-amerikanischer Cloud-Infrastruktur betreiben. Gemäß dem CLOUD Act können US-Behörden amerikanische Unternehmen dazu zwingen, Daten unabhängig vom Speicherort herauszugeben.
Die Mindestanforderung ist, dass jede Datenübertragung durch einen angemessenen Datenschutzrahmen abgedeckt ist, also für Übertragungen von der EU in die USA durch den EU-US-Datenschutzrahmen. Der Gerichtshof der Europäischen Union hat jedoch bereits zwei EU-US-Datenschutzrahmen für ungültig erklärt: Safe Harbour im Jahr 2015 und das EU-US Privacy Shield im Jahr 2020, mit der Begründung, dass das US-Überwachungsrecht nicht den EU-Grundrechtsstandards entsprach. Obwohl der EU-US-Datenschutzrahmen im September 2025 eine rechtliche Anfechtung überstand, war das Urteil knapp, und weitere Anfechtungen werden bereits vorbereitet.
3. Was sagen die Nutzungsbedingungen und Datenschutzrichtlinien wirklich?
Lesen Sie über das Marketing hinaus. Konkret:
- Verwendet der Anbieter Ihre Dokumente zum Training von KI-Modellen?
- Wie lange werden Dateien aufbewahrt, nachdem die Schwärzung abgeschlossen ist?
- Gibt es eine klare Datenlöschungsrichtlinie, oder nur vage Zusicherungen?
- Wer hat Zugriff auf Ihre Dokumente: Menschen, automatisierte Systeme oder Drittanbieter-KI?
4. Wie werden Ihre Daten verschlüsselt?
TLS bei der Übertragung sollte Standard sein, aber nicht als ausreichend angesehen werden. Achten Sie auf zusätzliche Sicherheitsmaßnahmen:
- Werden Dokumente im Ruhezustand auf den Servern des Anbieters verschlüsselt?
- Wird die Verschlüsselung vor dem Hochladen im Browser angewendet, oder erst nach dem Empfang der Datei?
- Werden Verschlüsselungs-schlüssel getrennt von den Daten gespeichert, die sie schützen?
Beachten Sie, dass jeder Cloud-Schwärzungsdienst Ihr Dokument vorübergehend entschlüsseln muss, um seinen Inhalt zu lesen und zu verarbeiten. Das ist eine unvermeidliche technische Realität. Die Frage ist, ob die Architektur die Exposition minimiert: wer oder was die Entschlüsselung durchführt, auf welcher Infrastruktur und ob entschlüsselte Inhalte anschließend gespeichert werden.
5. Verwendet der Dienst externe KI-Anbieter?
In dieser KI-Ära ist es relevant zu untersuchen, ob der Schwärzungsdienst Dokumenteninhalte an Drittanbieter-APIs für große Sprachmodelle (LLMs) sendet (OpenAI, Anthropic, Google und andere), um personenbezogene Daten zu identifizieren. Dies bringt eine zusätzliche Partei in die Datenkette ein, mit eigenen Nutzungsbedingungen, Aufbewahrungsrichtlinien und rechtlicher Exposition.
Fragen Sie, ob die KI-Modelle des Anbieters auf eigener Infrastruktur betrieben werden oder ob Ihre Dokumenteninhalte an eine externe API übermittelt werden. Ein Anbieter, der proprietäre Modelle intern betreibt, bietet eine einfachere und besser prüfbare Datenkette.
Checkliste Zusammenfassung
| Frage | Worauf zu achten ist |
|---|---|
| Ist das Unternehmen identifizierbar? | Eingetragenes Unternehmen, Handelsregisternummer, namentlich genannte Führung |
| Wo werden Daten verarbeitet? | Infrastruktur in der gleichen Rechtsordnung wie Ihre Datenverpflichtungen |
| (Nur EU) Wem gehört die Hosting-Infrastruktur? | EU-ansässiger Anbieter; oder zumindest EU-US-Datenschutzrahmen-Abdeckung |
| Was sagen die Bedingungen? | Explizite Löschungsrichtlinie, kein Modelltraining mit Nutzerdaten |
| Wie werden Daten verschlüsselt? | Verschlüsselung im Ruhezustand; idealerweise browserseitig vor dem Hochladen |
| Werden externe KI-Anbieter verwendet? | Proprietäre interne Modelle bevorzugt |
Wie RedactPDF.io Ihre Dokumente verarbeitet
RedactPDF.io ist ein kostenloses PDF-Schwärzungswerkzeug, das von Ante ApS entwickelt und betrieben wird, einem dänischen Unternehmen, das seit 2019 Enterprise-Schwärzungssoftware betreibt. Im Folgenden erläutern wir transparent, wie wir jedes Kriterium der obigen Checkliste erfüllen.
Das Unternehmen
RedactPDF.io wird von Ante ApS, CVR-Nr. 38703722, bereitgestellt, eingetragen in Dänemark und im offiziellen dänischen Handelsregister gelistet. Mehr über das Team und unseren Hintergrund erfahren Sie auf der Über uns-Seite.
Wo wir Ihre Daten hosten
Unsere Infrastruktur läuft auf Scaleway, einem europäischen Cloud-Anbieter mit Hauptsitz in Paris. Wir nutzen das Pariser Rechenzentrum von Scaleway. Scaleway operiert ausschließlich in Europa und unterliegt vollständig den EU-Datenschutzbestimmungen. Wenn Sie PDF-Dateien mit unserem Dienst schwärzen, verlassen Ihre Daten Europa niemals und werden niemals auf Infrastruktur verarbeitet, die der US-amerikanischen Rechtsprechung unterliegt.
Wie wir PDF-Dokumente schwärzen und Ihre Daten schützen
Die Schwärzungs-Pipeline funktioniert wie folgt:
- Sie laden eine PDF-Datei über eine verschlüsselte HTTPS-Verbindung in Ihrem Browser hoch.
- Das Dokument wird mit einem einmaligen Verschlüsselungsschlüssel in Ihrem Browser verschlüsselt, dann auf unsere Server hochgeladen, wo es in verschlüsseltem internen Speicher abgelegt und zur Schwärzung in die Warteschlange gestellt wird.
- Unsere Schwärzungs-Engine entschlüsselt Ihr Dokument, extrahiert Text (via PDF-Parsing und OCR), führt ihn durch unsere ML-Modelle zur Klassifizierung personenbezogener Daten und schwärzt die identifizierten Einheiten direkt im PDF.
- Das geschwärzte PDF wird dann mit demselben Schlüssel verschlüsselt und zum Download bereitgestellt.
- Nach dem Download werden sowohl die Original- als auch die geschwärzte Datei von unseren Servern gelöscht. Zwischendaten (extrahierter Text, identifizierte Einheiten) werden unmittelbar nach Abschluss der Schwärzung gelöscht. Zu keinem Zeitpunkt wird Ihr Dokument länger als notwendig gespeichert.
Wie wir Ihre Dokumente verschlüsseln
Der gesamte Datenverkehr zwischen Ihrem Browser und unseren Servern ist mit TLS-Verschlüsselung geschützt, sodass niemand Ihre Daten während der Übertragung abfangen oder lesen kann.
Ihre Dokumente werden direkt in Ihrem Browser mit AES-256 verschlüsselt, bevor sie hochgeladen werden. Sie bleiben auf unseren Servern im Ruhezustand verschlüsselt.
Dieser mehrschichtige Ansatz bedeutet, dass Ihre Daten in jeder Phase geschützt sind. Wenn jemand die Speicherschicht kompromittieren und auf die Rohdateien zugreifen würde, wäre der Inhalt unlesbar. Und selbst im höchst unwahrscheinlichen Fall, dass die TLS-Verschlüsselung kompromittiert würde, wären Ihre Dokumente weiterhin durch die starke clientseitige AES-256-Verschlüsselung geschützt.
Verschlüsselungsschlüssel werden getrennt gespeichert und sicher abgeleitet, sodass die Kompromittierung einer einzelnen Komponente, ob Netzwerkverkehr oder Speicher, keinen Zugriff auf Ihre PDF-Datei ermöglichen würde.
Modelltraining und Dokumentennutzung
Ihre Dokumente werden niemals zum Training unserer Modelle oder für andere Zwecke als die von Ihnen angeforderte Schwärzung verwendet. Wir behalten nach dem Download keine Kopien.
KI-Verarbeitung
Wir verwenden keine externen LLM-Anbieter zur Identifizierung personenbezogener Daten. Alle unsere KI-Modelle sind proprietär und laufen auf derselben sicheren Infrastruktur wie der Rest des Schwärzungsprozesses. Ihre Dokumenteninhalte werden niemals an eine Drittanbieter-API übermittelt.
Kein menschlicher Zugriff
Unser PDF-Schwärzungssystem ist vollständig automatisiert. Kein Mensch überprüft jemals Ihre Dateien. Die Pipeline ist vollständig maschinengesteuert: hochladen, schwärzen, herunterladen, löschen.
Zusammenfassung
| Frage | RedactPDF.io |
|---|---|
| Ist das Unternehmen identifizierbar? | Ante ApS, CVR 38703722, Dänemark |
| Wo werden Daten verarbeitet? | Scaleway Rechenzentrum Paris |
| (Nur EU) Wem gehört die Hosting-Infrastruktur? | Scaleway, EU-ansässiger Cloud-Anbieter |
| Was sagen die Bedingungen? | Kein Modelltraining mit Nutzerdaten; Dateien nach Download gelöscht; kein menschlicher Zugriff |
| Wie werden Daten verschlüsselt? | AES-256 clientseitig vor dem Hochladen; TLS bei Übertragung; im Ruhezustand verschlüsselt; Schlüssel getrennt gespeichert |
| Werden externe KI-Anbieter verwendet? | Nein, alle KI-Modelle sind proprietär und werden intern betrieben |