Ratgeber · Recht & Datenschutz
DSGVO bei Browser-Encoding-Tools: Was Art. 6 für In-Browser-Verarbeitung bedeutet
binaerkonverter.de verarbeitet alle Eingaben ausschliesslich im Browser des Nutzers. Wir erklären, warum das die DSGVO-Verantwortlichkeit reduziert, welche Pflichten der TTDSG für Cookies vorsieht und warum Transparenz trotzdem oberstes Gebot bleibt.
Wenn Sie ein Online-Tool im Browser benutzen, gehen Sie davon aus, dass Ihre Eingaben irgendwo verarbeitet werden. Bei den meisten Tools geschieht das auf einem Server, der die Daten sieht, verarbeitet und das Ergebnis zurücksendet. binaerkonverter.de macht es anders: Die gesamte Konvertierungs-Logik läuft im Browser, die eingegebenen Texte und Binärsequenzen verlassen das Endgerät nie. Wir erklären, was das datenschutzrechtlich bedeutet und welche Pflichten trotzdem bestehen.
Wer ist Verantwortlicher nach Art. 4 Nr. 7 DSGVO?
Die DSGVO definiert in Art. 4 Nr. 7 den Verantwortlichen als die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Definition ist absichtlich weit gefasst, hat aber zwei wichtige Voraussetzungen: Es muss eine Verarbeitung stattfinden, und es muss eine Entscheidungsmacht über Zwecke und Mittel geben.
Bei einem In-Browser-Tool wie binaerkonverter.de fehlt es bei der eigentlichen Tool-Funktion an beiden Voraussetzungen. Die Konvertierungs-Logik läuft im Browser des Nutzers ab. Der eingegebene Text wird vom JavaScript-Code in Bytes umgewandelt, die Bytes in Binärgruppen, und das Ergebnis wird im DOM angezeigt. Es findet keine Übertragung an den Server statt. Der Anbieter erhält die Daten nicht, kann sie nicht einsehen, kann sie nicht speichern.
Diese rein lokale Verarbeitung im Browser ist nach der herrschenden datenschutzrechtlichen Bewertung keine Verarbeitung durch den Anbieter im Sinne der DSGVO. Der Anbieter stellt nur den Code zur Verfügung, der dann beim Nutzer ausgeführt wird. Das ist vergleichbar mit einem Softwarehersteller, der ein Programm auf USB-Stick verteilt: Was der Nutzer mit dem Programm macht und welche Daten er damit verarbeitet, ist keine Verarbeitung durch den Hersteller.
Wichtig: Diese Bewertung gilt nur für die reine Tool-Funktion. Andere Verarbeitungen rund um die Tool-Bereitstellung (Server-Logs, Analytik, Cookies) fallen sehr wohl in die Verantwortlichkeit des Anbieters.
Was Art. 6 DSGVO für die übrigen Verarbeitungen verlangt
Auch wenn die Tool-Logik keine Verarbeitung beim Anbieter ist, gibt es andere Verarbeitungen rund um den Web-Auftritt, die DSGVO-relevant sind. Jede dieser Verarbeitungen braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. In der Praxis kommen für Tool-Anbieter drei Grundlagen in Betracht:
Erstens: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die technische Bereitstellung. Server-Logs mit IP-Adresse, User-Agent und Zeitstempel sind nötig für Sicherheits- und Performance-Zwecke. Das berechtigte Interesse des Anbieters an einer funktionierenden, geschützten Bereitstellung überwiegt regelmässig die Interessen der Nutzer, solange die Speicherdauer auf das Notwendige beschränkt ist (typischerweise wenige Tage bis Wochen).
Zweitens: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für alles, was über die unbedingt erforderliche Funktionalität hinausgeht. Werbe-Cookies, Tracking-Pixel, Marketing-Analytik, Personalisierung: alles braucht eine aktive Einwilligung des Nutzers, dokumentiert über ein Consent-Management-Tool. Die Einwilligung muss freiwillig, informiert, spezifisch und widerruflich sein. Vorausgewählte Checkboxen sind nach EuGH-Rechtsprechung (Planet49, C-673/17) unzulässig.
Drittens: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für etwaige kostenpflichtige Premium-Funktionen, Account-Verwaltung oder ähnliches. Bei binaerkonverter.de nicht einschlägig, weil das Tool kostenlos und ohne Registrierung nutzbar ist.
Was das TTDSG zu Cookies und localStorage sagt
Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG, in Kraft seit Dezember 2021) ergänzt die DSGVO um deutsche Spezialregeln für Tracking-Technologien im weiteren Sinne. § 25 TTDSG ist hier zentral: Die Speicherung und das Auslesen von Informationen auf dem Endgerät des Nutzers ist nur mit dessen Einwilligung zulässig, ausser die Speicherung ist unbedingt erforderlich, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Diese Regelung gilt nicht nur für Cookies im klassischen Sinne, sondern für alle Speichertechniken: localStorage, sessionStorage, IndexedDB, Service-Worker-Caches, ETag-Header. Wenn binaerkonverter.de zum Beispiel die Encoding-Wahl des Nutzers (UTF-8 oder ASCII) im localStorage speichert, um beim nächsten Besuch automatisch zu laden, ist das nach § 25 Abs. 2 TTDSG zustimmungspflichtig, sofern es nicht unbedingt erforderlich ist.
Die Abgrenzung, was unbedingt erforderlich bedeutet, ist im Detail umstritten. Convenience-Settings wie Encoding-Präferenzen sind nach herrschender Meinung nicht unbedingt erforderlich, weil das Tool auch ohne sie funktioniert. Cookies oder localStorage, die rein technisch für die Funktionalität nötig sind (etwa Session-Tokens für eingeloggte Nutzer, Warenkorb-Inhalte bei Online-Shops), sind hingegen einwilligungsfrei. Im Zweifel sollten Sie den Anbieter eines Consent-Management-Tools fragen oder eine datenschutzrechtliche Begutachtung einholen.
<rect class="box" x="60" y="155" width="200" height="70" rx="8"/>
<circle class="num" cx="100" cy="190" r="18"/>
<text class="numText" x="100" y="195">4</text>
<text class="label" x="195" y="185">Privacy by Design</text>
<text class="label" x="195" y="203">Default datenminimierend</text>
<rect class="box" x="280" y="155" width="200" height="70" rx="8"/>
<circle class="num" cx="320" cy="190" r="18"/>
<text class="numText" x="320" y="195">5</text>
<text class="label" x="415" y="185">Drittanbieter prüfen</text>
<text class="label" x="415" y="203">Analytik, CDN, Fonts</text>
<rect class="box" x="500" y="155" width="200" height="70" rx="8"/>
<circle class="num" cx="540" cy="190" r="18"/>
<text class="numText" x="540" y="195">6</text>
<text class="label" x="635" y="185">Betroffenenrechte</text>
<text class="label" x="635" y="203">Auskunft, Löschung</text>
<rect class="box" x="280" y="255" width="200" height="50" rx="8"/>
<text class="label" x="380" y="285">Regelmässig aktualisieren</text>
Transparenz nach Art. 13 DSGVO
Auch wenn das Tool selbst keine personenbezogenen Daten an den Anbieter überträgt, bleiben die Transparenzpflichten nach Art. 13 DSGVO bestehen. Der Anbieter muss in der Datenschutzerklärung umfassend über alle Verarbeitungen informieren, die im Zusammenhang mit dem Web-Auftritt anfallen. Konkret sind das mindestens:
Erstens: Identität und Kontaktdaten des Verantwortlichen, also Firmenname, Anschrift, Telefon, E-Mail. Bei juristischen Personen auch die gesetzliche Vertretung.
Zweitens: Eventuelle Datenschutzbeauftragte (DPO) mit Kontaktdaten. Für kleine Unternehmen unter 20 Mitarbeitern, die nicht regelmässig sensible Daten verarbeiten, ist ein DPO nicht Pflicht, aber empfehlenswert.
Drittens: Zwecke und Rechtsgrundlagen der jeweiligen Verarbeitungen. Hier gehört der Hinweis hin, dass die Tool-Logik im Browser läuft und keine Daten an den Anbieter überträgt. Genauso müssen Server-Logs, Analytik, Cookies und andere Verarbeitungen einzeln dokumentiert werden.
Viertens: Empfänger der Daten, also alle Dienstleister und Drittanbieter, die im Rahmen der Bereitstellung Daten erhalten. Typisch: Hosting-Anbieter, CDN, Analytik-Tool, Newsletter-Dienst.
Fünftens: Speicherdauer der jeweiligen Datenkategorien. Server-Logs typischerweise sieben bis dreissig Tage, Analytik-Daten je nach Tool unterschiedlich.
Sechstens: Betroffenenrechte nach Art. 15 bis 22 DSGVO, also Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Mit konkreten Anweisungen, wie diese Rechte ausgeübt werden können.
Siebtens: Beschwerderecht bei der zuständigen Aufsichtsbehörde, mit Namen und Kontaktdaten der Behörde. Für AKARA Solutions GmbH ist das das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel.
Best Practices für In-Browser-Tools
Aus der Praxis als Geschäftsführer einer Firma, die mehrere kostenlose Browser-Tools betreibt, kann ich die folgenden Best Practices empfehlen.
Erstens: Klare Trennung in der Kommunikation. Direkt am Tool sollte ein Hinweis stehen, dass die Verarbeitung lokal im Browser stattfindet. Das schafft Vertrauen und ist gleichzeitig eine Information nach Art. 13 DSGVO. binaerkonverter.de zeigt einen entsprechenden Hinweis in der Tool-Beschreibung.
Zweitens: Privacy by Design (Art. 25 DSGVO). Voreinstellungen müssen datenminimierend sein. Analytik nur opt-in, Cookies nur nach aktiver Einwilligung, keine Marketing-Pixel ohne Consent. Bei binaerkonverter.de ist Umami-Analytik aktiv (cookielose Web-Analyse ohne personenbezogene Daten, in Deutschland gehostet), Werbe-Cookies sind opt-in.
Drittens: Lokale Hosting von Schriften und Icons. Google Fonts und ähnliche Dienste übertragen IP-Adressen an US-Server, was nach Schrems-II-Urteil (EuGH C-311/18) problematisch ist. binaerkonverter.de hostet alle Schriften und Icons lokal, um keine Anfragen an Drittserver zu verursachen.
Viertens: Cookie-Banner mit echter Wahlfreiheit. Der Banner muss eine gleichwertige Ablehnen-Option haben, nicht nur einen winzigen Link versteckt unter mehreren Klicks. Sonst ist die Einwilligung nach EuGH-Rechtsprechung unwirksam.
Fünftens: Aktive Pflege der Datenschutzerklärung. Bei jeder relevanten Änderung am Tool, an den Dienstleistern oder an der Rechtslage muss die Erklärung aktualisiert werden. Eine Datenschutzerklärung von 2018 ist heute fast garantiert lückenhaft.
Was bei einer Datenschutz-Anfrage zu tun ist
Auch bei einem Tool, das keine personenbezogenen Daten beim Anbieter speichert, können Datenschutz-Anfragen eingehen. Typische Fälle: Nutzer fragen nach Auskunft über gespeicherte Daten (Art. 15 DSGVO), nach Löschung (Art. 17 DSGVO) oder nach Widerspruch gegen Verarbeitungen (Art. 21 DSGVO).
Bei binaerkonverter.de ist die Antwort meist einfach: Wir verarbeiten keine personenbezogenen Daten im Zusammenhang mit der Tool-Nutzung, weil alle Eingaben lokal im Browser bleiben. Wenn doch eine Verarbeitung stattfindet (etwa Server-Logs mit IP-Adresse), informieren wir transparent darüber und erfüllen die Auskunft binnen eines Monats nach Eingang der Anfrage. Bei komplexen Fällen kann die Frist um zwei Monate verlängert werden, der Betroffene muss aber innerhalb des ersten Monats informiert werden.
Wichtig: Die Identität des Anfragenden muss überprüft werden, bevor Daten herausgegeben werden. Sonst entsteht das Risiko, dass Dritte sich als Betroffene ausgeben und Daten erlangen, die nicht ihnen gehören. Eine typische Verifikation läuft über die E-Mail-Adresse, die in einem eventuellen Account hinterlegt ist. Bei reiner Tool-Nutzung ohne Account gibt es keine Verknüpfung zu einer Identität, also auch keine Daten, die zugeordnet werden könnten.
Was hängenbleibt
Bei einem In-Browser-Tool wie binaerkonverter.de findet die eigentliche Konvertierung lokal im Endgerät des Nutzers statt. Der Anbieter ist für diese Verarbeitung nach Art. 4 Nr. 7 DSGVO kein Verantwortlicher, weil er weder Daten erhält noch Entscheidungen über deren Verwendung treffen kann. Für alle anderen Verarbeitungen (Server-Logs, Analytik, Cookies) bleibt die volle Verantwortlichkeit nach DSGVO bestehen, mit allen Pflichten zur Rechtsgrundlage, Transparenz und Betroffenenrechten. Das TTDSG ergänzt für jedes Speichern auf dem Endgerät (Cookies, localStorage) eine Einwilligungspflicht, sofern die Speicherung nicht unbedingt erforderlich ist. Wer ein DSGVO-konformes Browser-Tool betreibt, sollte Privacy by Design konsequent umsetzen, Drittanbieter sorgfältig auswählen und die Datenschutzerklärung aktiv pflegen.
FAQ
Häufige Fragen
Bin ich als Betreiber eines Browser-Tools für die eingegebenen Daten DSGVO-verantwortlich?
Nur eingeschränkt. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wenn ein Tool die Verarbeitung komplett im Browser des Nutzers ausführt und der Anbieter weder die eingegebenen Daten erhält noch über deren Verwendung entscheidet, fehlt es an der Verantwortlichkeit für diese spezifische Verarbeitung. Die Daten verlassen das Endgerät des Nutzers nie, der Anbieter kann sie weder einsehen noch speichern. Allerdings bleibt der Anbieter für andere Aspekte verantwortlich: das Hosting der Tool-Seite, eventuelle Analytik-Tools, Cookies, eingebundene Drittdienste. Diese Aspekte unterliegen vollumfänglich der DSGVO und müssen in der Datenschutzerklärung dokumentiert werden.
Welche Rechtsgrundlage greift für die reine Tool-Bereitstellung nach DSGVO?
Wenn überhaupt eine Verarbeitung personenbezogener Daten beim Anbieter stattfindet (etwa für Logs der Server-Anfrage, die IP-Adresse zur Anti-Missbrauchs-Prävention), greift typischerweise Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Das berechtigte Interesse des Anbieters an einer funktionierenden, technisch sicheren Bereitstellung des Dienstes überwiegt regelmässig die Interessen der Nutzer, solange keine sensiblen Daten verarbeitet werden und die Speicherdauer auf das Notwendige beschränkt ist. Für reine Performance-Optimierung wie CDN-Logs oder Sicherheits-Logs ist diese Rechtsgrundlage etabliert. Wenn das Tool optional einen Nutzungs-Account oder eine Speicherung von Konvertierungs-Historie anbietet (was binaerkonverter.de nicht tut), wäre Art. 6 Abs. 1 lit. b DSGVO einschlägig (Vertragserfüllung). Bei freiwilliger Anmeldung zum Newsletter oder ähnlichem wäre Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) die Grundlage.
Muss ich für In-Browser-Tools überhaupt eine Datenschutzerklärung haben?
Ja, in jedem Fall. Art. 12 und 13 DSGVO verlangen vom Anbieter umfassende Transparenzpflichten gegenüber den Betroffenen, unabhängig vom konkreten Verarbeitungsumfang. Auch wenn die Tool-Logik selbst keine personenbezogenen Daten an den Anbieter überträgt, fallen typischerweise andere Verarbeitungen an: Server-Logs (IP-Adressen), eventuelle Analytik (Umami, Matomo, Google Analytics), CDN-Anbieter (Netlify, Cloudflare), Cookies (Consent-Management, Werbung). Jede dieser Verarbeitungen muss in der Datenschutzerklärung benannt werden, mit Rechtsgrundlage, Speicherdauer, Empfängern und Betroffenenrechten. Eine fehlende oder unzureichende Datenschutzerklärung kann von Aufsichtsbehörden mit Bussgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) sanktioniert werden, in der Praxis sind die Beträge bei kleineren Verstössen deutlich niedriger.
Was sagt das TTDSG zu Cookies in einem In-Browser-Tool?
Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG, in Kraft seit Dezember 2021) regelt in § 25 die Einwilligungspflicht für die Speicherung und das Auslesen von Informationen auf dem Endgerät des Nutzers. Das schliesst nicht nur Cookies ein, sondern auch andere Speicher-Mechanismen wie localStorage, sessionStorage und IndexedDB. Wenn binaerkonverter.de zum Beispiel die Encoding-Wahl des Nutzers (UTF-8 oder ASCII) im localStorage speichert, um beim nächsten Besuch automatisch zu laden, ist das nach § 25 Abs. 2 TTDSG zustimmungspflichtig, sofern es nicht unbedingt erforderlich ist. Die rechtliche Wertung, was unbedingt erforderlich bedeutet, ist umstritten. Convenience-Settings wie Encoding-Präferenzen sind nicht unbedingt erforderlich im strikten Sinne und brauchen daher eine Einwilligung. Cookies oder localStorage, die rein technisch für die Funktionalität nötig sind (etwa Session-Tokens für eingeloggte Nutzer), sind hingegen einwilligungsfrei.
Was empfehlen Sie als Best Practice für ein DSGVO-konformes Browser-Tool?
Erstens: Klare Trennung zwischen In-Browser-Verarbeitung (keine personenbezogenen Daten beim Anbieter) und sonstigen Verarbeitungen (Logs, Analytik, Cookies). Diese Trennung muss in der Datenschutzerklärung explizit benannt werden, damit Nutzer verstehen, was passiert. Zweitens: Privacy by Design (Art. 25 DSGVO). Die Voreinstellungen sollten datenminimierend sein, also etwa Analytik standardmässig deaktiviert, Cookies erst nach Einwilligung gesetzt. Drittens: Transparenz beim Tool selbst. Ein Hinweis direkt am Tool wie 'Verarbeitung erfolgt komplett in Ihrem Browser, keine Daten verlassen Ihr Gerät' schafft Vertrauen und ist gleichzeitig eine Information nach Art. 13 DSGVO. Viertens: Sorgfalt bei Drittanbieter-Diensten. Jeder eingebundene Dienst (Analytik, CDN, Fonts, Icons) ist eine potenzielle Datenübertragung an einen Dritten und braucht eine eigene Erwähnung in der Datenschutzerklärung. binaerkonverter.de hostet zum Beispiel alle Fonts und Icons lokal, um keine Anfragen an Google Fonts oder ähnliches zu verursachen. Fünftens: Aktive Pflege. Die Datenschutzerklärung muss bei jeder relevanten Änderung am Tool oder an den Dienstleistern aktualisiert werden.
Quellen
Worauf dieser Ratgeber sich stützt
- Datenschutz-Grundverordnung Art. 4, 6, 13 (Volltext, deutsch)
- TTDSG § 25 Speicherung und Auslesen von Informationen auf Endgeräten
- BfDI: Leitfaden zur Datenverarbeitung im Online-Bereich
- EuGH, Urteil vom 16.07.2020, C-311/18 (Schrems II)
- EDSA: Leitlinien 8/2020 zur gezielten Ansprache von Nutzern sozialer Medien
Verwandte Ratgeber