Die versteckten Daten in Ihren Dokumenten (die Sie nie teilen wollten)

Sie haben das Dokument überprüft. Sie haben den sensiblen Absatz entfernt. Sie haben es gesendet.

Was Sie nicht entfernt haben, waren die 47 Minuten Bearbeitungszeit, die von Microsoft Word protokolliert wurden, der Name des Kollegen, der den ersten Entwurf geschrieben hat, oder der Netzwerkpfad, der zeigt, von welchem gemeinsamen Laufwerk es ursprünglich stammt.

Diese Informationen sind immer noch vorhanden. Sie werden als Metadaten bezeichnet. Und die meisten Dateien, die Sie erstellen, tragen sie.

Dies ist kein theoretisches Risiko. Im Jahr 2019 reichten Anwälte, die Paul Manafort – den ehemaligen Wahlkampfleiter von Donald Trump – vertraten, ein Gerichtsdokument als Antwort auf das Team von Sonderermittler Robert Mueller ein. Sensible Passagen waren mit dicken schwarzen Balken abgedeckt. Aber der zugrunde liegende Text war nie aus der Datei gelöscht worden. Ein Reporter markierte die geschwärzten Abschnitte, kopierte sie und fügte sie in ein leeres Dokument ein. Der versteckte Inhalt – einschließlich Details zu Manaforts Treffen mit einem russischen Agenten – erschien sofort. Die Geschichte war innerhalb von Stunden auf der Titelseite.

Dieser Leitfaden behandelt, was in jedem wichtigen Dateityp verborgen ist, was es offenbaren kann und wie Sie es entfernen, bevor Sie es teilen.

Was sind Dokumentenmetadaten?

Metadaten sind Daten über Daten. Informationen, die in einer Datei eingebettet sind und beschreiben, wie sie erstellt wurde, wer sie erstellt hat und was im Laufe der Zeit damit passiert ist. Sie werden automatisch von Ihrem Betriebssystem und der von Ihnen verwendeten Software generiert, normalerweise ohne sichtbare Anzeichen dafür, dass sie aufgezeichnet werden.

Es gibt zwei Kategorien, die für die meisten Menschen relevant sind:

Systemmetadaten – aufgezeichnet von Ihrem Betriebssystem und der Anwendung: Autorenname, Erstellungsdatum, Datum der letzten Änderung, Dateigröße, verwendete Softwareversion.

Eingebettete Metadaten – aufgezeichnet von der Anwendung selbst: Versionsgeschichte, Kommentare, nachverfolgte Änderungen, GPS-Koordinaten (bei Fotos), Bearbeitungszeit, interne Netzwerkpfade.

Die meisten davon sind im normalen Gebrauch unsichtbar. Sie müssten bestimmte Panels öffnen oder spezielle Tools verwenden, um sie zu sehen. Aber jeder, der weiß, wo er suchen muss, kann sie oft aus den Dateien extrahieren, die Sie ihnen senden. Und viele Menschen tun dies.

Word-Dokumente (.docx)

Word ist das metadatenreichste Format im allgemeinen Gebrauch. Eine typische .docx-Datei kann enthalten:

• Autorenname und Firma – aus Ihren Windows- oder Microsoft 365-Kontoeinstellungen zum Zeitpunkt der Erstellung des Dokuments übernommen
• Zuletzt geändert von – der Name des letzten Bearbeiters
• Revisionsanzahl – wie oft das Dokument gespeichert wurde
• Gesamte Bearbeitungszeit – die kumulierte Zeit, in der Word mit diesem Dokument aktiv geöffnet war, in Minuten
• Erstellungs- und Änderungszeitstempel
• Nachverfolgte Änderungen – alle Änderungen, die vorgenommen wurden, während die Nachverfolgung aktiv war, einschließlich gelöschter Texte, Einfügungen und wer jede Änderung vorgenommen hat, selbst wenn “Alle akzeptieren” geklickt wurde
• Kommentare – einschließlich gelöster und gelöschter Kommentare, die oft noch wiederherstellbar sind
• Vorlagenpfad – der interne Dateipfad der Dokumentvorlage, der Netzwerknamen oder Ordnerstrukturen offenlegen kann
• Vorherige Autorennamen – wenn ein Dokument aus einer bestehenden Datei umfunktioniert wurde, kann der Name des ursprünglichen Autors bestehen bleiben

Warum es wichtig ist: Nachverfolgte Änderungen und Kommentare sind die häufigste Quelle für versehentliche Offenlegungen. Anwälte, Berater und Vertragsverhandler tauschen häufig Word-Dokumente während der Entwurfsphase aus. Nachdem “Alle akzeptieren” geklickt wurde, werden nachverfolgte Revisionen aus dem sichtbaren Dokument entfernt. Andere Metadaten – einschließlich Kommentare, Dokumenteigenschaften und Bearbeitungshistorie – können jedoch bestehen bleiben, es sei denn, die Datei wird explizit mit dem Dokumentinspektor bereinigt.

In einem dokumentierten Fall sandte eine Anwaltskanzlei, die einen Mandanten in einem Streit vertrat, ein Word-Dokument an die gegnerische Partei mit sichtbaren nachverfolgten Änderungen – Änderungen, die der Position des Mandanten widersprachen. Der Fehler wurde bemerkt, aber der Schaden für die Verhandlungsposition des Falls war sofort.

Wie man überprüft: In Word, gehen Sie zu Datei → Informationen → Auf Probleme überprüfen → Dokument prüfen. Der Dokumentinspektor scannt alle Kategorien versteckter Daten und ermöglicht es Ihnen, sie selektiv zu entfernen.

PDFs

PDF wird oft als “sauberes” Format angesehen – ein endgültiges Ergebnis, das die Unordnung von Word entfernt. Dies ist teilweise wahr, aber PDFs enthalten immer noch bedeutende Metadaten:

• Autor, Titel, Betreff, Schlüsselwörter – oft automatisch aus dem Word-Dokument übernommen, das zur Erstellung des PDFs verwendet wurde
• Erstellungsanwendung – die Software, die zur Erstellung oder Konvertierung der Datei verwendet wurde (z. B. “Microsoft Word 16.0” oder der Name eines kostenlosen Online-PDF-Konverters)
• Erstellungs- und Änderungsdaten
• XMP-Metadaten – ein erweitertes Metadatenformat, das in vielen PDFs eingebettet ist und detailliertere Dokumenthistorie enthält
• Anmerkungen und Kommentare – einschließlich derer, die verborgen oder als gelöst markiert sind
• Unzureichend geschwärzter Text – schwarze Kästchen, die in PDF-Editoren über Text gezeichnet werden, lassen den zugrunde liegenden Text oft in der Dateistruktur lesbar

Das Problem der Schwärzung verdient besondere Aufmerksamkeit. Im Januar 2019 reichten Anwälte von Paul Manafort eine Antwort an das Team von Sonderermittler Robert Mueller bei einem Bundesgericht ein. Das Dokument enthielt dicke schwarze Balken über sensiblen Passagen – Beschreibungen von Manaforts Kontakten mit einem russischen Agenten und Details über die Trump-Kampagne. Aber das Anwaltsteam hatte nur schwarze Kästchen über den Text gezeichnet; sie hatten den zugrunde liegenden Inhalt nicht aus der Datei gelöscht. Jeder Leser konnte die geschwärzten Abschnitte markieren, kopieren und in ein neues Dokument einfügen, um alles zu lesen. Innerhalb von Stunden nach der Veröffentlichung der Einreichung hatten Reporter den versteckten Text extrahiert und veröffentlicht.

Dieser Fehler ist überraschend häufig. Ein schwarzes Rechteck über Text zu zeichnen oder dessen Hintergrundfarbe in einem Textverarbeitungsprogramm zu ändern, löscht den Text im endgültigen PDF-Ausgang nicht zuverlässig – es verdeckt ihn oft nur visuell. Eine ordnungsgemäße Schwärzung erfordert spezielle Tools, die den zugrunde liegenden Inhalt dauerhaft aus der Dateistruktur entfernen und nicht nur verdecken. Wenn Sie Patienten- oder Kundendaten sammeln und PDF-Metadatenrisiken vollständig vermeiden möchten, die Umwandlung Ihres PDFs in ein Online-Formular hält Einreichungen von Anfang an in einer strukturierten, kontrollierten Umgebung.

Wie man überprüft: In Adobe Acrobat, gehen Sie zu Werkzeuge → Schwärzen → Dokument bereinigen, um alle Metadaten dauerhaft zu entfernen. Für eine kostenlose Option entfernt das Drucken als PDF (Datei → Drucken → Als PDF speichern) die meisten Metadaten, aber nicht alle – überprüfen Sie mit einem Metadaten-Viewer, bevor Sie sensible Dokumente teilen.

Excel-Tabellen (.xlsx)

Excel-Tabellen enthalten Metadaten ähnlich wie Word, jedoch mit zusätzlichen Risiken, die spezifisch für das Format sind:

• Autor- und Firmenname
• Versionsgeschichte und Bearbeitungszeit
• Kommentare und Notizen – einschließlich derer, die in der aktuellen Ansicht nicht sichtbar sind
• Versteckte Zeilen und Spalten – Daten, die mit der Ausblenden-Funktion von Excel ausgeblendet wurden, sind immer noch in der Datei vorhanden und vollständig zugänglich für jeden, der sie einblendet
• Versteckte Blätter – ganze Arbeitsblätter können ausgeblendet, aber in der Datei verbleiben
• Benannte Bereiche und Formeln – können interne Datenstrukturen oder Berechnungslogik offenlegen, die nicht geteilt werden sollten
• Externe Links – Verweise auf andere Dateien, die interne Netzwerkpfade oder Cloud-Speicherstrukturen offenlegen können

Versteckte Zeilen und Blätter sind eine besonders häufige Quelle für versehentliche Offenlegungen. Ein Berater, der ein kundenseitiges Preismodell vorbereitet, könnte die Kosten- und Margenzeilen ausblenden, bevor er es sendet – aber diese Zeilen sind immer noch in der Datei. Sie einzublenden erfordert zwei Klicks.

In wettbewerbsorientierten Beschaffungsprozessen erhalten Lieferanten gelegentlich Excel-basierte Ausschreibungsvorlagen, die bei Inspektion versteckte Blätter mit den internen Bewertungskriterien oder Zielpreisspannen des Käufers enthalten – Informationen, die nie das Unternehmen des Käufers verlassen sollten.

Wie man überprüft: In Excel, gehen Sie zu Datei → Informationen → Auf Probleme überprüfen → Arbeitsmappe prüfen. Achten Sie besonders auf versteckte Zeilen, Spalten und Blätter.

Bilder (JPG, PNG, HEIC)

Fotos tragen EXIF-Metadaten – ein standardisiertes Format zur Aufzeichnung technischer und kontextueller Informationen über ein Bild:

• GPS-Koordinaten – Breitengrad, Längengrad und manchmal Höhe, genau bis auf wenige Meter bei modernen Smartphones
• Zeitstempel – das genaue Datum und die Uhrzeit, zu der das Foto aufgenommen wurde
• Geräteinformationen – Marke, Modell und manchmal Seriennummer der Kamera oder des Telefons
• Kameraeinstellungen – Blende, Verschlusszeit, ISO, Brennweite
• Software – verwendete Bearbeitungssoftware und Versionsnummer

GPS-Koordinaten sind für die meisten Menschen am bedeutendsten. Ein Foto eines Dokuments, das zu Hause aufgenommen und per E-Mail gesendet wird, enthält Ihre Heimadresse, die in der Datei eingebettet ist. Ein Foto, das bei einem vertraulichen Kundentreffen aufgenommen wurde, zeigt, wo dieses Treffen stattfand. Im Gesundheitswesen unterliegen Fotos von Patientendokumenten dem HIPAA – siehe was HIPAA tatsächlich von den Tools verlangt, die Sie zur Erfassung von Patientendaten verwenden.

Das Risiko ist dokumentiert und real. Im Jahr 2012 wurde John McAfee – damals ein Flüchtling vor den belizischen Behörden – in Guatemala lokalisiert, nachdem ein online veröffentlichtes Foto eines ihn begleitenden Journalisten GPS-Koordinaten in seinen EXIF-Daten beibehalten hatte. Die Koordinaten lokalisierten seinen Standort auf wenige Meter genau. (McAfee selbst behauptete später, die GPS-Daten seien absichtlich gefälscht worden, um die Behörden in die Irre zu führen, obwohl er dennoch festgenommen und anschließend abgeschoben wurde.)

Forscher von Consumer Reports haben dasselbe Risiko in einem alltäglicheren Kontext dokumentiert: Verkäufer auf Wiederverkaufsplattformen, die Artikel zu Hause fotografieren, betten routinemäßig ihre Heimadresse in die Angebotsfotos ein, die für jeden Käufer sichtbar sind, der die EXIF-Daten extrahiert.

Wie man überprüft: Auf Windows, Rechtsklick auf ein Bild → Eigenschaften → Details-Registerkarte. Auf Mac, in Vorschau öffnen → Werkzeuge → Inspektor anzeigen → GPS-Registerkarte. Viele Smartphones entfernen auch GPS-Daten, wenn Fotos über bestimmte Apps geteilt werden – aber nicht alle und nicht konsistent.

Wie man entfernt: Auf Windows, Rechtsklick → Eigenschaften → Details → “Eigenschaften und persönliche Informationen entfernen.” Auf Mac, verwenden Sie die Exportfunktion von Vorschau mit aktivierter Metadatenentfernung. Für die Massenverarbeitung können Tools wie ExifTool (Befehlszeile) oder ein browserbasiertes Tool auf Client-Seite EXIF-Daten aus mehreren Dateien gleichzeitig entfernen.

PowerPoint-Präsentationen (.pptx)

PowerPoint-Präsentationen enthalten ähnliche Metadaten wie Word und Excel, mit einigen formatspezifischen Ergänzungen:

• Autoren- und Firmenname
• Versionsgeschichte und Bearbeitungszeit
• Kommentare – einschließlich derer, die während der Überprüfung hinzugefügt und als gelöst markiert wurden
• Versteckte Folien – Folien, die auf verborgen gesetzt sind, sind immer noch in der Datei vorhanden und können eingeblendet werden
• Sprechernotizen – Notizen, die zu Folien für den Präsentator hinzugefügt wurden und interne Gesprächspunkte, erwartete Einwände oder Preisrichtlinien enthalten können, die nicht für das Publikum bestimmt sind
• Eingebettete Dateien und Objekte – PowerPoint-Dateien können eingebettete Excel-Tabellen, Word-Dokumente oder andere Dateien enthalten, die ihre eigenen Metadaten tragen

Sprechernotizen sind das am häufigsten übersehene Offenlegungsrisiko in Präsentationen. Ein Verkaufsdeck, das als PDF an einen Interessenten gesendet wird, entfernt die meisten Metadaten – aber eine direkt gesendete .pptx-Datei behält jede Notiz, die von jedem Präsentator hinzugefügt wurde, einschließlich strategischer Gesprächspunkte und Informationen über den Interessenten, die während der Verkaufsrecherche gesammelt wurden.

Wie man überprüft: In PowerPoint, gehen Sie zu Datei → Informationen → Auf Probleme überprüfen → Präsentation prüfen.

Wie man Metadaten vor dem Teilen überprüft und entfernt

Die schnellste Methode für Office-Dokumente (Word, Excel, PowerPoint)

Der integrierte Dokumentinspektor von Microsoft deckt alle wichtigen Metadatenkategorien ab:

1. Öffnen Sie die Datei
2. Gehen Sie zu Datei → Informationen → Auf Probleme überprüfen → Dokument prüfen (oder Arbeitsmappe prüfen / Präsentation prüfen)
3. Wählen Sie die Kategorien aus, die Sie scannen möchten
4. Klicken Sie auf Prüfen, dann Alle entfernen für alle Kategorien, die Sie löschen möchten

Führen Sie den Inspektor an einer Kopie Ihrer Datei aus – einige Entfernungen können nicht rückgängig gemacht werden, und Sie möchten das Original mit seiner vollständigen Geschichte für interne Aufzeichnungen behalten.

Für PDFs

• Adobe Acrobat Pro: Werkzeuge → Schwärzen → Dokument bereinigen – dies entfernt dauerhaft alle Metadaten und versteckten Inhalte
• Kostenlose Alternative: Drucken als PDF (Datei → Drucken → Microsoft Print to PDF oder macOS PDF) entfernt die meisten Metadaten, aber überprüfen Sie mit einem Viewer, bevor Sie es teilen

Für Bilder

• Windows: Rechtsklick → Eigenschaften → Details → “Eigenschaften und persönliche Informationen entfernen”
• Mac: Fotos-App → Bild → Exportieren → Standortdaten deaktivieren
• Jede Plattform: Ein browserbasiertes Tool auf Client-Seite, das EXIF-Daten lokal entfernt – kein Upload erforderlich

Verwendung eines Metadaten-Viewers zur Überprüfung

Bevor Sie ein sensibles Dokument senden, lohnt es sich zu überprüfen, welche Metadaten nach der Bereinigung verbleiben. Mehrere Tools auf Client-Seite können Metadaten direkt in Ihrem Browser lesen, ohne Ihre Datei hochzuladen:

• Für Office-Dokumente: Öffnen Sie einen Metadaten-Viewer, der die Datei lokal in Ihrem Browser verarbeitet
• Für PDFs: PDF-Metadaten-Viewer, die clientseitig laufen
• Für Bilder: EXIF-Viewer, die offline arbeiten

Das wichtigste Kriterium: Verifizieren Sie, dass das Tool Ihre Datei lokal verarbeitet, nicht auf einem entfernten Server. Wenn Sie ein sensibles Dokument auf Metadaten überprüfen, möchten Sie es nicht an einen unbekannten Dienst hochladen, um dies zu tun – das würde ein neues Risiko einführen, während Sie versuchen, ein bestehendes zu beseitigen.

Das Upload-Problem

Hier ist die Ironie der Metadatenentfernung: Viele Menschen suchen nach “Metadaten aus PDF online entfernen”, laden ihr Dokument in ein kostenloses Web-Tool hoch und erhalten eine bereinigte Datei zurück. Die Metadaten sind verschwunden – aber das Dokument ist gerade zu einem Server gereist, der von einem Unternehmen betrieben wird, das sie noch nie gehört haben.

Für Dokumente, bei denen Metadaten ein echtes Datenschutzproblem darstellen – rechtliche Verträge, Finanzmodelle, medizinische Aufzeichnungen, interne Präsentationen – kann der Akt des Hochladens zu einem nicht geprüften Tool ein größeres Risiko darstellen als die Metadaten selbst.

Die gleiche Logik gilt für jede Dateiverarbeitung: das sicherste Tool ist eines, das Ihre Datei niemals empfängt. Tools auf Client-Seite, die vollständig in Ihrem Browser laufen – Dateien im lokalen Speicher verarbeiten, ohne einen Server-Upload – eliminieren diesen Kompromiss vollständig. Und wenn das Ziel darin besteht, Daten zu sammeln, anstatt ein Dokument zu verarbeiten, Online-Formulare mit Passwortschutz halten Einreichungen in einer kontrollierten Umgebung, ohne dass Dateien den Besitzer wechseln.

Wenn Sie regelmäßig mit sensiblen Dokumenten arbeiten und ein browserbasiertes Tool wünschen, das Dateien lokal verarbeitet, PlatoForms PDF Toolbox bearbeitet Kern-PDF-Operationen – zusammenführen, teilen, komprimieren, neu anordnen, Passwort schützen und entfernen – ohne dass Dateien Ihr Gerät verlassen. Für Organisationen, die auch sensible Daten über Online-Formulare sammeln, deckt unser Trust Center die gesamte Sicherheitsarchitektur ab, einschließlich Verschlüsselungsstandards und Zertifizierungen.

Zusammenfassung: Was sich wo versteckt

Das Muster über alle Formate hinweg ist dasselbe: Metadaten werden automatisch, unsichtbar und kontinuierlich generiert. Die Verantwortung, sie zu entfernen, liegt vollständig bei der Person, die die Datei teilt – und die meisten Tools machen es einfach genug, dass es keinen Grund gibt, nicht zu überprüfen, bevor Sie senden.

Bevor Sie ein Dokument senden: Gehen Sie davon aus, dass es mehr enthält, als Sie sehen können – und verifizieren Sie, bevor Sie es teilen.

Referenzen

• Kaspersky, Wie flüchtige Metadaten reale Probleme verursachen können, kaspersky.com/blog/office-documents-metadata/14215/
• CPO Magazine, Mehr als die Hälfte der Fortune-500-Unternehmen lässt sensible Informationen über Dokumentenmetadaten offen für Erkundung, cpomagazine.com
• Microsoft Support, Versteckte Daten und persönliche Informationen durch Dokumentenprüfung entfernen, support.microsoft.com
• BigHand, Die Bedeutung von Metadaten in der Rechtsbranche, bighand.com
• Columbia Journalism Review, Danke an alle, die Dokumente nicht richtig schwärzen können, cjr.org/analysis/manafort-mueller-redacted-document-ukraine.php
• Wikipedia, Exif, en.wikipedia.org/wiki/Exif
• ISACA, Was man über EXIF-Daten wissen sollte: Ein subtileres Cyber-Sicherheitsrisiko, isaca.org, 2025
• Consumer Reports, Wie die versteckten ‘Exif’-Daten eines Fotos Ihre persönlichen Informationen preisgeben, consumerreports.org

Regelmäßig mit sensiblen Dokumenten umgehen? PlatoForms PDF Toolbox verarbeitet Dateien vollständig in Ihrem Browser – keine Uploads, kein Server, kein Konto erforderlich.

Wenn Sie sensible Daten über Online-Formulare statt über Dokumente sammeln, lesen Sie 5 Arten von Dateien, die Sie niemals online verarbeiten sollten – und sehen Sie, wie unser Trust Center die Sicherheitsarchitektur hinter der Formularplattform von PlatoForms abdeckt.