Was sind Metadaten und was gehen sie den Datenschutz an?

Team Datenschutz • 11. Mai 2021

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Aufgeklappter Laptop

Metadaten in E-Mails und Dateien


Sie suchen eine bestimmte E-Mail in Outlook oder eine bestimmte Datei im Explorer. Sie wissen noch ungefähr, um was es dabei ging. Je mehr Daten Sie auf ihrem Rechner gespeichert haben, desto länger kann es dauern, bis Sie die Mail oder Datei finden. Wenn Sie mittels Informationen suchen, die Sie oder die Software zu den Dateien oder Mails in Kurzform eingegeben haben, nutzen Sie Metadaten.




Was sind Metadaten?


Metadaten sind Informationen über Daten. Alle Datensammlungen benötigen Metadaten zur Strukturierung. Eigentlich praktisch, denn so kann eine lange Datei mit wenigen Worten beschrieben und rasch wiedergefunden werden. Stellen Sie sich vor, Sie suchen eine Mail, in der Ihnen die Kollegin die Projektpartner für ein bestimmtes Projekt geschickt hat. Aus der Erfahrung heraus nutzt man die Betreff-Zeile oder den Dokumententitel für wichtige Informationen zum Inhalt, die die Zuordnung und das Wiederfinden erleichtern. Ein Dateititel lautet beispielsweise: „Projektbeteiligte im Projekt Werner Schulze für Kunden Müllerschön“.


Wenn es sich bei Werner Schulze und Kunde Müllerschön um Personen handelt, dann sind das personenbezogene Daten. Das kommt häufiger vor, als man vermutet. Und wir alle haben gelernt: Je genauer wir es schaffen, den wesentlichen Inhalt des Dokuments in den Metadaten, also in die Betreffzeile, den Dokumententitel usw. in aller Kürze einzutragen, desto rascher sind diese Dokumente später auffindbar.




Vorteile von Metadaten


Metadaten zeichnet aus, dass sie nicht Bestandteil der verarbeiteten Datei sind und daher getrennt von den eigentlichen Daten aufbewahrt werden können. So ist es beispielsweise beim Stichwortkatalog einer Bibliothek. Dort kann man suchen, erfährt Titel und Verfasser eines Buches und kann es sich aus dem Regal holen. Ähnlich klappt das bei elektronischen Daten. Die meisten Dateisysteme arbeiten mit festgelegten Metadaten, wie etwa die Meta-Information des Dateityps, der Teil des Dateinamens ist, beispielsweise bei Word-Dokumenten die Erweiterung .docx oder bei Word-Vorlagen .dotx. Man sieht: Viele Metadaten sind hinsichtlich Datenschutz und Informationssicherheit unkritisch. Aber: Manche können auch kritisch sein.




Nachteile von Metadaten


So praktisch sie sind, Metadaten haben nicht nur Vorteile. Sie sind einer der wesentlichen Kritikpunkte von Aufsichtsbehörden beispielsweise an Videokonferenzsystemen. Wenn diese in US-amerikanischen Rechenzentren verarbeitet werden, haben darauf US-amerikanische Behörden Zugriff, und das ist spätestens seit dem EuGH-Urteil zu Schrems II kritisch. Im Umkehrschluss gilt: Je allgemeiner man Metadaten formuliert, desto geringer sind die Gefahren für den Datenschutz.
Allerdings gehören zu den Metadaten auch die an der Kommunikation beteiligten Personen, das lässt sich nicht vermeiden. Aber diese Informationen lassen sich pseudonymisieren. So kann beispielsweise eine Mail-Adresse statt mit vollem Vornamen und Nachnamen so angelegt werden, dass nur befugte Personen den Namen zuordnen können.
Das Gemeine an Metadaten ist: Selbst wenn das Dokument vorbildlich verschlüsselt ist, seine Metadaten bleiben für gewöhnlich unverschlüsselt. So wird etwa die Betreff-Zeile einer E-Mail im Regelfall nicht chiffriert. Und selbst wenn sie, beispielsweise bei TLS-Verschlüsselung, auf dem Weg zwischen zwei Servern unkenntlich gemacht wird, so wird sie „nur“ auf dem Weg verschlüsselt und liegt auf den Servern jeweils offen. Metadaten werden also nicht konsequent geschützt, bleiben grundsätzlich einsehbar und können von Unbefugten genutzt werden.




Metadaten als kaum bekanntes Risiko


Metadaten sind unverzichtbar und fallen bei allen elektronischen Dokumenten an. Neben Mails und Dokumenten auch bei Fotos, Tondateien, Videos, Webseiten usw. Sie unterstützen die Verwaltung, Archivierung und insgesamt das Management der verarbeiteten Daten und informieren unter anderem über die Datenstruktur, die Dateigröße, das Dateiformat oder den Speicherort. Wenn die beteiligten beschäftigten Personen nicht vorsichtig damit umgehen, werden diese Informationen unkontrolliert weiterverbreitet.
Wissen das die beschäftigten Personen, die mit den Daten arbeiten? Angenommen, sie wissen es nicht, und davon kann man in der Regel ausgehen – wird das Thema in Schulungen angesprochen, reagieren jedenfalls die allermeisten überrascht, auch jene, die in Sachen Datenschutz alles richtig machen möchten. Für die Informationssicherheit bedeutet das, dass in vielen Fällen niemand genau weiß, welche Informationen da eigentlich an wen weitergegeben werden. Damit handelt es sich um ein zwar spezifizierbares, aber nicht spezifiziertes Risiko – also ein mutmaßlich unbestimmtes Risiko.




Metadaten und Datenschutz


In der Datenschutz-Grundverordnung verlangt der europäische Gesetzgeber angemessene technische und organisatorische Maßnahmen, um Schutzverletzungen personenbezogener Daten zu vermeiden.


„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Art. 32 Abs. 2 DSGVO



Wenn Metadaten in unbefugte Hände gelangen, sind mindestens die Schutzverletzungen Verlust, unbefugte Offenlegung und unbefugter Zugang zu personenbezogenen Daten betroffen. Außer wenn kein Risiko für Rechte und Freiheiten betroffener Personen zu erwarten ist, wird bei Schutzverletzungen eine Meldung der Datenpanne an die Aufsichtsbehörde fällig.

Zur Beruhigung: Ganz so schnell schießen die Preußen nicht. Es käme auf einen Versuch an, einmal bei der Aufsichtsbehörde eine Meldepflicht wegen einer versendeten Schutzstufe-D-Information in einer Betreffzeile abzugeben. Und das möglicherweise am 1. April. Wer traut sich?
Aber Aprilscherze beiseite. Bei Metadaten heißt es aufpassen. Kompromittierende Angaben in offenen Metadaten wie der Betreffzeile oder dem Titel einer Videokonferenz sind ratsamerweise zu vermeiden.





Tipps und Maßnahmen für sicheren Umgang mit Metadaten im Unternehmen


  • eine Zusammenstellung der wichtigsten Metadaten aus Programmen und elektronischen Dateien vornehmen
  • vermerken, welche Metadaten in den wichtigsten Anwendungen Nutzer beeinflussen können und wo Verletzungen von Datenschutz und Informationssicherheit drohen
  • sicherstellen, dass Nutzer erstens wissen, was Metadaten sind, und zweitens deren Risiken für Datenschutz und Informationssicherheit kennen
  • sicherstellen, dass Nutzer wissen, auf welche Metadaten von Dateien sie Einfluss haben
  • sicherstellen, dass Nutzer mit beeinflussbaren Metadaten verantwortungsvoll umgehen


Und die Kernfrage: Kennen beschäftigte Personen die Risiken von Metadaten und verwenden sie in angemessener Weise?

Wir wünschen sichere Metadaten!

Bei Datenschutz-Fragen Team Datenschutz fragen.



Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Mehr zum Thema

Daten­schutz-Beratung


Top beraten in Sachen Datenschutz


zum Seminar

Technische und organisatorische Maßnahmen


Unsere Lösung für gelebten Datenschutz.

weiterlesen
Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

Transkription in Videokonferenzen: Datenschutz richtig umsetzen

von Eberhard Häcker 9. April 2025
Transkription im Online-Meeting? Warum das ohne Einwilligung zum Datenschutzproblem wird – und welche Regeln Unternehmen jetzt brauchen.

10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

von Eberhard Häcker 28. März 2025
Microsoft Copilot V3.5: 10 wichtige Risiken, die Sie kennen müssen, und 10 Tipps für den sicheren Einsatz! Erfahren Sie, wie Sie Copilot optimal nutzen, Datenschutzrisiken vermeiden und Compliance-Anforderungen erfüllen.
Serverraum

DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

von Eberhard Häcker 7. Juni 2024
Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!

Datenpannen bei Namen von BewerberInnen im Outlook-Kalender

von Eberhard Häcker 27. März 2024
Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.
Hände an der Tastatur eines Laptops

E-Mails und die DSGVO. 5 Tipps gegen Datenpannen

von Eberhard Häcker 30. Januar 2024
Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.
Hand mit Smartphone und Apps

Mobile Apps auf Datenschutz prüfen

von Eberhard Häcker 17. Mai 2023
Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Datenschutz-Experte Eberhard Häcker gibt Tipps.

4 Tipps für mehr Ordnung und Datenschutz im E-Mail-Postfach

von Eberhard Häcker 25. April 2023
Endlich die E-Mail-Flut bewältigen! 4 einfache Tipps schaffen Ordnung im Postfach, sorgen für mehr Datenschutz und sparen CO2. Jetzt im neuen Datentipp.
Laptop mit eingestecktem USB-Stick

Wie Sie Daten auf USB-Sticks datenschutz­gerecht löschen

von Eberhard Häcker 13. April 2023
Daten von USB-Sticks zu löschen, ist leicht. Oder nicht? „Löschen“ klicken oder „Entfernen“ drücken geht natürlich schnell und einfach. Nur gelöscht sind die Daten damit noch lange nicht. Datenschutz-Profi Eberhard Häcker hat Tipps, wie man Daten zuverlässig und DSGVO-gerecht von Speichersticks löscht.

Neues Webinar: Cloud? Aber sicher!

von Team Datenschutz 24. März 2023
Kaum mehr ein Unternehmen arbeitet ohne Cloud-Anwendungen. Microsoft OneDrive, Google Drive, Amazon Web Services sind nur wenige Beispiele. Was sollten Unternehmen im Umgang mit Cloud-Computing wissen? Welche technischen Herausforderungen bringt es mit sich und was ist in Sachen Datenschutz zu beachten?
Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.
Mehr anzeigen