Datenschutz
EXIF und DSGVO: Wann Metadaten beim Komprimieren weg müssen
Jedes Foto bringt Metadaten mit: GPS, Kameramodell, Aufnahmedatum. Wann diese EXIF-Daten ein DSGVO-Risiko sind, wann sie bleiben sollten, und wie sie sicher entfernt werden.
Ein Smartphone-Foto bringt 40 bis 80 EXIF-Felder mit, ohne dass der Nutzer das je gesehen hat. Marke und Modell der Kamera, Belichtungsdaten, Datum, GPS-Koordinaten, manchmal sogar die Seriennummer. Die meisten sind harmlos. Einige sind DSGVO-relevant. Wer regelmäßig fremde Bilder veröffentlicht oder verarbeitet, kommt um das Thema nicht herum.
Was EXIF eigentlich ist
EXIF ist eine Erweiterung des JPEG- und TIFF-Containers, in der Kameras strukturierte Metadaten zum Bild ablegen. Der Standard kommt von der japanischen Camera & Imaging Products Association, die aktuelle Version ist 2.32 aus 2019. Bei PNG übernimmt ein vergleichbares Konzept der iTXt-Chunk, bei WebP der EXIF-Chunk.
Typische Felder im Smartphone-Foto:
- Make, Model (Kamera-Hersteller und -Modell)
- DateTimeOriginal (Aufnahmezeitpunkt sekundengenau)
- GPSLatitude, GPSLongitude, GPSAltitude (Geo-Koordinaten)
- ExposureTime, FNumber, ISOSpeedRatings (Belichtungsparameter)
- Software (Bildbearbeitungs-Tool)
- Orientation (Drehung)
- ICC-Profile (Farbraum)
Wichtig ist: das alles steht in der Datei, ohne dass ein Bildbetrachter es zwingend anzeigt. Wer per Rechtsklick „Eigenschaften” wählt oder das Bild durch ein Tool wie exiftool jagt, sieht es trotzdem. Suchmaschinen und Bildanalysen lesen die Felder auch.
Wo das DSGVO-Risiko liegt
Drei Felder sind aus Datenschutzsicht relevant:
GPS-Koordinaten. Das ist der heikelste Punkt. Sekundengenaue Koordinaten zur Wohnung einer identifizierbaren Person sind personenbezogene Daten im Sinne von DSGVO Art. 4 Nr. 1. Veröffentlicht man ein Foto vom Geburtstag der Mutter mit aktivem GPS, gibt man die Adresse der Mutter mit dem Bild öffentlich preis. Aufsichtsbehörden behandeln das im Schadensfall als unverhältnismäßige Datenverarbeitung.
Aufnahmezeitpunkt sekundengenau. Einzeln meist harmlos, in Kombination mit erkennbaren Personen oder Locations aber ein Identifizierungsmerkmal. Beispiel: ein Foto in einem geschlossenen Personenkreis, mit Zeitstempel, lässt Rückschlüsse auf die Anwesenheit bestimmter Personen zu.
Seriennummer der Kamera. Selten, aber relevant bei journalistischer Quellen-Schutz. Wenn dieselbe Seriennummer in mehreren Bildern auftaucht, lässt sich der Urheber technisch verfolgen.
Wann man EXIF entfernen sollte:
- Veröffentlichung fremder Bilder auf der eigenen Website (man weiß meist nicht, was im Original drinsteht)
- Fotos in sozialen Medien, wenn man nicht sicher ist, was die Plattform damit macht
- Bilder, die in Newsletter oder E-Mail-Anhänge gehen
- Pressefotos, bei denen Quellenschutz wichtig ist
Wann man EXIF behalten kann (oder soll):
- Stock-Fotos auf einer eigenen Plattform, bei denen Aufnahmedaten und Kamerakonfiguration redaktioneller Wert haben
- Archiv-Fotos für interne Dokumentation
- Print-Vorlagen, bei denen ICC-Profile für korrekte Farbwiedergabe erhalten bleiben müssen
Was beim Komprimieren standardmäßig passiert
Bei verlustfreiem Re-Encoding (PNG-Optimierer, WebP-Lossless) bleiben EXIF-Container meist erhalten, weil sie als separater Chunk in der Datei stehen und nicht zum Pixel-Inhalt gehören. Beim Re-Encoding eines JPEG (Quality-Änderung) hängt es vom Encoder ab: libjpeg behält EXIF mit dem entsprechenden Flag, mozjpeg ebenso, viele Browser-basierte Encoder schmeißen EXIF standardmäßig weg, weil sie nur den Pixel-Inhalt umkodieren.
Der Bild-Kompressor auf bild-komprimieren.de verfährt so:
- Bei reiner PNG-Optimierung bleibt das EXIF-Equivalent (iTXt-Chunk) erhalten, optionale Chunks wie tIME werden gestrichen.
- Bei JPEG-Re-Encoding wird der EXIF-Container standardmäßig komplett entfernt (Datenschutz-freundliche Default-Einstellung).
- Bei Konvertierung JPEG zu WebP gehen alle EXIF-Daten verloren.
Wer die Datenschutz-Default-Behandlung mag, kann das Tool für Mass-Stripping einsetzen: Bilder rein, komprimieren, raus. Der EXIF-Container ist weg, GPS-Koordinaten verschwinden, der Bildinhalt bleibt erhalten.
Was rechtlich wirklich vorgeschrieben ist
Die DSGVO schreibt nicht explizit „lösche EXIF”, sondern verlangt Datenminimierung (Art. 5 Abs. 1 lit. c). Wer Bilder verarbeitet und veröffentlicht, soll nur die Daten verarbeiten, die für den Zweck nötig sind. Wenn der Zweck „Foto im Blog zeigen” ist, sind GPS-Koordinaten nicht nötig. Sie müssen also raus, wenn sie nicht zwingend rein müssen.
Konkretes Risiko: Aufsichtsbehörden können bei Beschwerden Bußgelder verhängen, wenn nachweisbar personenbezogene EXIF-Daten ohne Notwendigkeit veröffentlicht wurden. Die Schwellen sind in der Praxis hoch (echter Schaden, mehrfache Hinweise ignoriert, Vorsatz oder grobe Fahrlässigkeit), aber das Risiko ist real.
Bei eigenen Fotos auf der eigenen Website ohne Personen-Bezug ist das Risiko praktisch null. Bei fremden Fotos, bei Fotos mit erkennbaren Personen oder bei Fotos von privaten Orten lohnt es sich, die Default-Einstellung „EXIF beim Komprimieren entfernen” zu nutzen.
Was nicht in der EXIF, aber im Bild selbst steckt
Eine wichtige Abgrenzung: Diesem Ratgeber geht es um Metadaten in der Datei-Hülle. Daten, die im sichtbaren Bildinhalt stehen (Gesichter, Nummernschilder, Schriften an Häusern), sind ein separates Thema und müssen mit anderen Mitteln behandelt werden (Verpixeln, Schwarzbalken, Mustervorlagen). Das Streichen von EXIF schützt nur vor maschinenlesbaren Standort- und Identifikations-Daten, nicht vor dem Bild selbst.
Wer ein Foto vom Garten mit erkennbarem Hausnummer-Schild veröffentlicht, kann die GPS-Koordinaten noch so sauber löschen, das Schild verrät die Adresse trotzdem. Datenschutz beim Bild ist ein zweistufiger Prozess: erst das Bild selbst prüfen, dann die Metadaten.
Wichtig: Diese Hinweise sind eine redaktionelle Einordnung der Rechtslage und ersetzen keine Rechtsberatung im Einzelfall. Bei konkreten Veröffentlichungsplänen mit sensiblem Bildmaterial lohnt sich der Blick auf die spezifische Empfehlung der zuständigen Aufsichtsbehörde oder anwaltliche Beratung.
Häufige Fragen
- Sind EXIF-Daten automatisch personenbezogene Daten im Sinne der DSGVO?
- Nicht automatisch, aber häufig. Ein reines Aufnahmedatum oder Kameramodell ist meist unproblematisch. GPS-Koordinaten, die zur Wohnadresse oder zum regelmäßigen Aufenthaltsort einer identifizierbaren Person führen, sind dagegen personenbezogene Daten und unterliegen DSGVO Art. 4 Nr. 1. Dasselbe gilt für die Seriennummer der Kamera, wenn sie sich einer Person zuordnen lässt.
- Muss ich EXIF-Daten löschen, wenn ich Fotos auf meiner Website veröffentliche?
- Nicht zwingend, aber meist sinnvoll. Wenn Personen erkennbar abgebildet sind, sind GPS-Koordinaten oft das größere Datenschutz-Problem als das Bild selbst, weil sie maschinenlesbar sind und Standort verraten. Aufsichtsbehörden raten in der Regel zur Reduktion der Metadaten auf das Notwendige.
- Welche EXIF-Felder lohnen sich zu behalten?
- Für Web-Publikation kaum welche. In journalistischen oder dokumentarischen Kontexten kann das Aufnahmedatum (DateTimeOriginal) sinnvoll bleiben, weil es die Authentizität stützt. Color-Profile (ICC) sollte erhalten bleiben, wenn der Farbeindruck korrekt sein muss (Druck, Kunst). Für klassische Web-Fotos kann alles bis auf das ICC-Profile weg.
- Verlieren Fotos durch das Streichen der EXIF-Daten an Qualität?
- Nein, weder am Bildinhalt noch an der Pixelmenge. Beim verlustfreien Streichen der EXIF-Container ändert sich nur die Datei-Hülle. Beim Re-Encoding (JPEG-Quality-Änderung) gehen die EXIF-Daten allerdings standardmäßig verloren, wenn der Encoder sie nicht aktiv durchreicht. Wer beides will (kleiner UND mit Datum), muss EXIF nach dem Re-Encoding wieder einsetzen.