Wer XML in JSON umwandelt, denkt zuerst an Technik, nicht an Recht. Doch sobald die XML-Daten Personen betreffen, etwa Patientendaten in HL7-Nachrichten, Kundendaten in SOAP-Antworten oder Adressen in einem Datenexport, wird die Konvertierung zu einer datenschutzrelevanten Verarbeitung. Die entscheidende Frage lautet dann nicht, ob das Tool gut konvertiert, sondern wo es die Daten verarbeitet. Dieser Ratgeber erklärt, warum eine reine Browser-Verarbeitung unter der DSGVO klar im Vorteil ist, welche konkreten Risiken Upload-Dienste bergen und wie Sie die wichtigsten XML-Standards (SOAP, HL7, RSS) sauber und rechtssicher nach JSON überführen.
Lokal oder Server: Der entscheidende Unterschied für die DSGVO
Bei der XML-zu-JSON-Konvertierung gibt es zwei grundverschiedene Architekturen, und genau dieser Unterschied entscheidet über die datenschutzrechtliche Bewertung. Bei einem clientseitigen Tool läuft die gesamte Umwandlung als JavaScript im Browser des Nutzers. Die XML-Daten werden eingefügt, lokal geparst und in JSON umgewandelt, ohne dass auch nur ein Byte an einen Server gesendet wird. Bei einem serverbasierten Dienst dagegen wird die Datei hochgeladen, auf einem fremden Server verarbeitet und das Ergebnis zurückgeschickt.
Aus Sicht der Datenschutz-Grundverordnung ist das ein fundamentaler Unterschied. Verlassen personenbezogene Daten das Gerät nicht, findet keine Übermittlung an einen Dritten statt. Es gibt dann keinen externen Verantwortlichen und keinen Auftragsverarbeiter, dessen Tätigkeit abgesichert werden müsste. Wandern die Daten dagegen auf einen fremden Server, liegt eine Verarbeitung durch einen Dritten vor, die eine Rechtsgrundlage nach Artikel 6 DSGVO und in aller Regel einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO voraussetzt.
Tipp: Verarbeitung im Netzwerk-Tab prüfen
Sie können selbst verifizieren, ob ein Tool lokal arbeitet. Öffnen Sie mit F12 die Entwicklerwerkzeuge, wechseln Sie in den Tab Netzwerk und führen Sie eine Konvertierung durch. Wird dabei keine POST-Anfrage mit Ihren XML-Inhalten im Anfragetext gesendet, bleibt die Verarbeitung clientseitig. Genau das ist bei unserem Konverter der Fall.
Was die DSGVO konkret verlangt
Sobald XML-Daten einen Personenbezug haben, greifen die Grundsätze aus Artikel 5 DSGVO. Besonders relevant sind hier zwei Prinzipien. Die Datenminimierung verlangt, dass nicht mehr Daten verarbeitet werden als nötig, und dass Daten nicht unnötig an Dritte gelangen. Genau dem läuft ein Upload entgegen, der die kompletten Inhalte an einen externen Dienst überträgt, obwohl die Aufgabe vollständig lokal lösbar wäre.
Der zweite Grundsatz ist die Integrität und Vertraulichkeit nach Artikel 5 Absatz 1 Buchstabe f DSGVO, oft als Prinzip von Privacy by Design (Artikel 25 DSGVO) zusammengefasst. Datenschutz soll bereits durch die Technikgestaltung erreicht werden. Ein Werkzeug, das gar keine Daten erst überträgt, erfüllt diesen Grundsatz am wirksamsten: Was technisch nie das Gerät verlässt, kann unterwegs weder abgefangen noch beim Anbieter gespeichert oder kompromittiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinem IT-Grundschutz konsistent, die Übertragung schützenswerter Daten auf das notwendige Minimum zu beschränken.
Die Risiken von Upload-basierten Online-Convertern
Viele bekannte Online-Converter, darunter auch der im deutschsprachigen Raum verbreitete CoolUtils-Dienst, arbeiten serverbasiert: Die Datei wird hochgeladen, dort umgewandelt und mit einem Größenlimit (häufig 50 MB) zurückgegeben. Für unkritische, anonyme Daten ist das unproblematisch. Bei personenbezogenen oder sensiblen Inhalten entstehen jedoch konkrete Risiken, die in der Praxis oft unterschätzt werden.
| Aspekt | Upload-Converter (Server) | Browser-Converter (lokal) |
|---|---|---|
| Datenübertragung an Dritte | Ja, vollständige Datei wird hochgeladen | Nein, Daten bleiben im Browser |
| Auftragsverarbeitung (Art. 28 DSGVO) | Vertrag erforderlich | Nicht erforderlich |
| Risiko Drittlandtransfer (z. B. USA) | Möglich, je nach Serverstandort | Ausgeschlossen |
| Server-Logging / Zwischenspeicher | Intransparent, oft nicht prüfbar | Findet nicht statt |
| Eignung für Gesundheitsdaten (Art. 9) | Nur mit AV-Vertrag und Garantien | Direkt geeignet |
| Dateigröße | Serverlimit (häufig 50 MB) | Nur durch Arbeitsspeicher begrenzt |
Das gravierendste Problem ist der Kontrollverlust. Nach dem Upload wissen Sie nicht, ob die Datei geloggt, in einem Cache abgelegt, an Subdienstleister weitergereicht oder in ein Drittland übertragen wird. Liegt der Server in den USA, kommt die gesamte Komplexität des Drittlandtransfers nach Kapitel V DSGVO hinzu. Bei sensiblen Daten kann bereits der ungesicherte Upload eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO darstellen.
Warnung: Gesundheits- und Bankdaten niemals blind hochladen
HL7-Nachrichten aus Kliniken und SOAP-Antworten aus Bank- oder Versicherungsschnittstellen enthalten regelmäßig besonders geschützte Daten nach Artikel 9 DSGVO oder dem Bankgeheimnis unterliegende Informationen. Solche Dateien gehören niemals in einen beliebigen Upload-Converter ohne Auftragsverarbeitungsvertrag. Nutzen Sie hier ausschließlich ein Werkzeug, das die Umwandlung lokal im Browser durchführt, oder eine eigene, kontrollierte Verarbeitung.
SOAP zu REST: Warum die Migration nach JSON heute Standard ist
Ein klassischer Anwendungsfall der XML-zu-JSON-Umwandlung ist die Modernisierung alter Schnittstellen. SOAP (Simple Object Access Protocol) war über Jahre der Standard für Webservices und ist bis heute in Behörden, Banken und Versicherungen weit verbreitet. SOAP-Nachrichten sind reines XML: Sie bestehen aus einem Envelope mit Header und Body und nutzen Namespaces wie soap: oder xsi:. Moderne Schnittstellen setzen dagegen fast durchgehend auf REST mit JSON, weil JSON kompakter, in JavaScript nativ verarbeitbar und für mobile Clients sparsamer ist.
Bei der Migration von SOAP zu REST entsteht regelmäßig die Aufgabe, bestehende SOAP-Antworten in JSON zu überführen, etwa um sie in einem neuen Frontend zu nutzen oder in Tests zu vergleichen. Ein einfaches Beispiel zeigt, wie aus einer SOAP-Antwort gültiges JSON wird:
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<getKundeResponse>
<kunde id="4711">
<name>Erika Mustermann</name>
<plz>25421</plz>
</kunde>
</getKundeResponse>
</soap:Body>
</soap:Envelope>wird nach den üblichen Mapping-Regeln zu:
{
"soap:Envelope": {
"soap:Body": {
"getKundeResponse": {
"kunde": {
"@id": "4711",
"name": "Erika Mustermann",
"plz": "25421"
}
}
}
}
}Beachten Sie zwei Details, die bei der Migration immer wieder Probleme machen: Das Namespace-Präfix soap: bleibt als reiner Bestandteil des Schlüsselnamens erhalten, weil JSON kein Namespace-Konzept kennt. Und das Attribut id wird mit einem Präfix abgebildet, hier dem verbreiteten @-Zeichen. Wer in der neuen REST-Schnittstelle saubere Schlüssel ohne Präfix möchte, entfernt diese in einem Nachbearbeitungsschritt. Die technischen Mapping-Details vertiefen wir im verwandten Ratgeber zu Attributen und Namespaces.
HL7, RSS und SVG: Sensible Standards richtig einordnen
XML ist die Grundlage zahlreicher Fachstandards, die sich datenschutzrechtlich stark unterscheiden. Die folgende Übersicht ordnet die wichtigsten ein und zeigt, worauf bei der Umwandlung zu achten ist.
| Standard | Typischer Inhalt | Datenschutz-Einordnung |
|---|---|---|
| SOAP | Webservice-Nachrichten, Bank- und Behördenschnittstellen | Oft personenbezogen, lokal verarbeiten |
| HL7 / CDA | Klinische Dokumente, Befunde, Patientendaten | Gesundheitsdaten (Art. 9), höchste Schutzstufe |
| RSS / Atom | Nachrichten-Feeds, Blog-Artikel | In der Regel öffentlich, unkritisch |
| SVG | Vektorgrafiken | Meist unkritisch, ggf. eingebettete Metadaten |
| XBRL | Finanzberichte, Jahresabschlüsse | Vertraulich, teils personenbezogen |
Den höchsten Schutzbedarf hat HL7, der internationale Standard für den Austausch medizinischer Daten. HL7-Nachrichten und CDA-Dokumente enthalten Diagnosen, Medikationen und Patientennamen, also Gesundheitsdaten nach Artikel 9 DSGVO, deren Verarbeitung grundsätzlich verboten ist und nur unter engen Ausnahmen erlaubt wird. Für die Umwandlung solcher Daten verbietet sich jeder Upload an einen unkontrollierten Dienst. RSS- und Atom-Feeds dagegen sind per Definition zur Veröffentlichung bestimmt und damit datenschutzrechtlich meist unkritisch.
Praxis-Empfehlung: Eine einfache Entscheidungsregel
Sie müssen für jede Konvertierung keine Datenschutzfolgenabschätzung durchführen. In der Praxis genügt eine klare Faustregel: Enthält das XML keinerlei Personenbezug und ist ohnehin öffentlich, etwa ein RSS-Feed oder eine Beispiel-Konfiguration, ist die Wahl des Tools datenschutzrechtlich zweitrangig. Sobald aber auch nur die Möglichkeit besteht, dass Namen, Kennnummern, Adressen, Vertrags- oder Gesundheitsdaten enthalten sind, gilt: nur lokal verarbeiten.
Ein clientseitiges Tool ist hier nicht nur die rechtssichere, sondern auch die einfachere Wahl. Sie sparen sich die Prüfung von Serverstandort, Auftragsverarbeitungsvertrag und Drittlandtransfer komplett, weil keiner dieser Punkte überhaupt entsteht. Genau diesen Ansatz verfolgt unser Konverter: Die gesamte Umwandlung läuft als JavaScript in Ihrem Browser, ohne Upload, ohne Anmeldung und ohne Speicherung.
XML jetzt sicher und lokal umwandeln:
Zum Konverter →Häufige Fragen zu XML, JSON und Datenschutz
Ist es DSGVO-konform, XML mit personenbezogenen Daten in JSON umzuwandeln?+
Das hängt vollständig davon ab, wo die Verarbeitung stattfindet. Bei einem clientseitigen Tool, das die Konvertierung im Browser ausführt, verlassen die Daten Ihr Gerät nicht. Es findet keine Übermittlung an einen Server statt, also auch keine Verarbeitung durch einen Dritten im Sinne der DSGVO. Bei Upload-basierten Online-Diensten dagegen werden die Daten an einen fremden Server übertragen, was eine Auftragsverarbeitung nach Artikel 28 DSGVO und einen entsprechenden Vertrag erfordert.
Worin liegt das konkrete Datenschutzrisiko bei Upload-Convertern?+
Sobald eine Datei hochgeladen wird, geht die Kontrolle über sie verloren. Sie wissen nicht, wo der Server steht, ob die Daten geloggt, zwischengespeichert, an Subdienstleister weitergereicht oder in ein Drittland wie die USA übertragen werden. Bei personenbezogenen oder besonders geschützten Daten (etwa Gesundheitsdaten in HL7-Nachrichten) kann schon der reine Upload eine meldepflichtige Datenpanne nach Artikel 33 DSGVO auslösen, wenn keine Rechtsgrundlage und kein Auftragsverarbeitungsvertrag vorliegen.
Brauche ich einen Auftragsverarbeitungsvertrag für ein Browser-Tool?+
Nein. Ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist nur nötig, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Läuft die Umwandlung ausschließlich lokal im Browser und werden keine Daten an den Anbieter übertragen, verarbeitet dieser Anbieter Ihre Daten nicht. Es gibt damit keine Auftragsverarbeitung, für die ein Vertrag geschlossen werden müsste.
Kann ich SOAP-, HL7- oder RSS-Daten ohne Bedenken konvertieren?+
Technisch ja, solange es sich um gültiges XML handelt. Datenschutzrechtlich kommt es auf den Inhalt an. SOAP-Nachrichten aus Behörden- oder Bankschnittstellen und HL7-Nachrichten aus dem Gesundheitswesen enthalten häufig personenbezogene oder besonders sensible Daten nach Artikel 9 DSGVO. Genau für solche Daten ist ein Tool, das rein im Browser arbeitet, die sichere Wahl, weil die Inhalte das Gerät nicht verlassen.
Wie erkenne ich, ob ein Online-Tool wirklich lokal arbeitet?+
Ein verlässliches Indiz liefert die Netzwerkanalyse im Browser. Öffnen Sie die Entwicklerwerkzeuge (F12), wechseln Sie in den Tab Netzwerk und führen Sie eine Konvertierung durch. Erscheint dabei keine ausgehende Anfrage mit Ihren Daten im Anfragetext, arbeitet das Tool clientseitig. Zusätzlich sollten die Datenschutzerklärung und eine klare Aussage des Anbieters die rein lokale Verarbeitung bestätigen.
Ist JSON datenschutzrechtlich sicherer als XML?+
Nein, das Format selbst ist datenschutzneutral. Weder XML noch JSON verschlüsseln oder schützen Daten von sich aus. Entscheidend für den Datenschutz ist nicht das Format, sondern der Verarbeitungsweg: ob Daten übertragen, gespeichert und durch Dritte verarbeitet werden. Ein lokal erzeugtes JSON ist genauso vertraulich wie das XML, aus dem es entstanden ist.