PDF-Metadaten und Datenschutz: Was Ihre Dokumente über Sie verraten

Datenschutzrisiken durch Metadaten reichen von geringfügiger Peinlichkeit bis hin zu schwerwiegenden Sicherheitslücken. Im rechtlichen und geschäftlichen Kontext haben Metadaten erhebliche Probleme verursacht. Durchgesickerte Dokumentmetadaten haben Ghostwriter entlarvt, wenn das Autorenfeld einen unerwarteten Namen zeigte. Änderungszeitstempel haben Behauptungen widersprochen, wann Dokumente erstellt wurden. Informationen zur Erstellersoftware haben offenbart, dass angeblich originale Dokumente tatsächlich modifizierte Kopien waren.

Die versteckten Daten in PDFs gehen über Standard-Metadaten hinaus. Dokumente können eingebettete Miniaturbilder enthalten, die eine frühere Version des Inhalts zeigen. PDF-Dokumente mit inkrementellen Speicherungen können gelöschte oder geänderte Inhalte aus früheren Versionen enthalten, die nicht mehr sichtbar, aber weiterhin in der Datei vorhanden sind. Kommentare und Anmerkungen können Prüfernamen und Zeitstempel enthalten. Formularfelddaten können Werte aus früheren Einreichungen enthalten. Angehängte Dateien können eigene Metadaten enthalten.

Für sensible Dokumente sind die Risiken konkret. Die Identität eines Whistleblowers könnte durch die Autoren-Metadaten offengelegt werden. Die interne Software-Infrastruktur eines Unternehmens wird durch Ersteller- und Erzeugerfelder verraten. Der Revisionsverlauf eines Dokuments könnte rechtliche Argumente darüber untergraben, wann Entscheidungen getroffen wurden. Geografische Metadaten könnten den Ort offenbaren, an dem ein Dokument erstellt wurde. Bevor Sie ein Dokument extern teilen, insbesondere in rechtlichen, journalistischen oder geschäftskritischen Kontexten, sollte die Überprüfung und Entfernung von Metadaten eine Standardpraxis sein.

Es gibt verschiedene Methoden, um zu untersuchen, welche Metadaten eine PDF enthält. Adobe Acrobats Dialog "Dokumenteigenschaften" (Datei > Eigenschaften) zeigt das grundlegende Dokumentinformationswörterbuch an. Die Registerkarte "Beschreibung" zeigt Titel, Autor, Betreff und Schlüsselwörter. Die Registerkarte "Benutzerdefiniert" zeigt alle benutzerdefinierten Metadaten-Eigenschaften. Diese Ansicht zeigt jedoch nicht alle Metadaten.

Für eine umfassende Metadaten-Inspektion ist ExifTool ein unschätzbares Kommandozeilen-Dienstprogramm. Ursprünglich für Bild-Metadaten entwickelt, liest und schreibt ExifTool Metadaten in Hunderten von Dateiformaten einschließlich PDF. Das Ausführen von ExifTool auf einer PDF offenbart jedes Metadatenfeld, einschließlich XMP-Daten, Dokumentinformationswörterbuch und eingebetteter Metadaten aus anderen Objekten. Die Ausgabe kann bei Dokumenten, die mit metadatenreichen Anwendungen erstellt wurden, umfangreich sein.

Die programmatische Inspektion mit Python ist für die stapelweise Metadaten-Prüfung nützlich. Die PyPDF-Bibliothek kann sowohl auf das Dokumentinformationswörterbuch als auch auf XMP-Metadaten zugreifen. Ein einfaches Skript kann durch ein Verzeichnis von PDFs iterieren und einen Bericht aller Metadatenfelder erstellen, wobei potenzielle Datenschutzbedenken wie persönliche Namen in Autorenfeldern, interne Dateipfade oder unerwartete Software-Kennungen hervorgehoben werden. Für Organisationen, die mit sensiblen Dokumenten umgehen, hilft eine regelmäßige Metadaten-Prüfung dabei, Dokumente zu identifizieren, die ohne ordnungsgemäße Metadatenbereinigung geteilt wurden.

Die Metadatenentfernung reicht von grundlegender Bereinigung bis hin zu gründlicher Sanitisierung. Die grundlegende Bereinigung entfernt die offensichtlichen Felder: Autor, Titel, Betreff, Schlüsselwörter und benutzerdefinierte Eigenschaften. Dies kann in Adobe Acrobat über den Dialog "Dokumenteigenschaften" oder mit der Funktion "Dokument untersuchen" (Datei > Speichern unter Andere > Optimierte PDF > Benutzerdaten verwerfen) erfolgen. Das Tool "Versteckte Informationen entfernen" in Acrobat sucht und entfernt Metadaten, Kommentare, versteckten Text, Lesezeichen und eingebettete Suchindizes.

Für eine gründliche Sanitisierung kann ExifTool alle Metadaten aus einer PDF mit einem einzigen Befehl entfernen. QPDF kann eine saubere Kopie einer PDF erstellen, die nicht referenzierte Objekte ausschließt (die möglicherweise Restdaten früherer Bearbeitungen enthalten). Ghostscript kann eine PDF erneut verarbeiten und so eine neue Datei erstellen, die nur den sichtbaren Inhalt enthält, wobei Metadaten, inkrementeller Speicherverlauf und eingebettete Objekte entfernt werden.

Browserbasierte Tools können Metadaten clientseitig entfernen, ohne das Dokument hochzuladen. Mit pdf-lib in JavaScript kann ein Tool eine PDF öffnen, das Dokumentinformationswörterbuch löschen, XMP-Metadaten entfernen und eine saubere Kopie speichern. Dieser Ansatz ist besonders wertvoll für sensible Dokumente, da die Datei das Gerät des Benutzers nie verlässt. Die Einschränkung ist, dass browserbasierte Tools möglicherweise nicht alle Formen versteckter Daten erfassen (wie den inkrementellen Speicherverlauf in der rohen PDF-Struktur), sodass für höchste Sicherheitsanforderungen Desktop-Tools empfohlen werden, die die PDF von Grund auf neu linearisieren können.

Organisationen, die regelmäßig Dokumente extern teilen, sollten Metadaten-Richtlinien etablieren. Eine Metadaten-Richtlinie definiert, welche Metadaten vorhanden sein sollten (erforderliche Felder für die Dokumentenverwaltung), welche Metadaten vor dem externen Teilen entfernt werden müssen und den Prozess für die Metadaten-Überprüfung. Die Richtlinie sollte dokumentiert, allen Dokumenterstellern mitgeteilt und wenn möglich durch automatisierte Tools durchgesetzt werden.

Für erforderliche Metadaten überlegen Sie, welche Informationen Empfängern und Ihrer Organisation helfen. Ein aussagekräftiger Titel und Betreff helfen bei der Dokumentenverwaltung. Ein generischer Autor wie der Firmenname (anstelle des Namens einer Einzelperson) kann für extern geteilte Dokumente angemessen sein. Erstellungs- und Änderungsdaten sind in der Regel unproblematisch und können rechtlich relevant sein.

Für die Metadatenentfernung sollte die Richtlinie festlegen, welche Felder vor dem externen Teilen entfernt werden (typischerweise Autor, Ersteller, Erzeuger, Dateipfade und benutzerdefinierte Eigenschaften), wer für die Entfernung verantwortlich ist (der Dokumentersteller, ein Prüfer oder ein automatisiertes System) und wie die Entfernung verifiziert wird. Kontrollen auf Vorlagenebene können helfen: Konfigurieren Sie Dokumentvorlagen in Microsoft Office und anderen Anwendungen so, dass generische Autoreninformationen verwendet werden, um zu verhindern, dass persönliche Daten von vornherein in die Datei eingebettet werden. Für das Teilen per E-Mail sollten Sie ein E-Mail-Gateway in Betracht ziehen, das automatisch PDF-Metadaten aus ausgehenden Anhängen entfernt.

Obwohl Metadaten ein Datenschutzrisiko darstellen können, sind sie auch für eine effektive Dokumentenverwaltung unerlässlich. Der Schlüssel liegt in absichtlichen Metadaten: die gewünschten Informationen einbeziehen und gleichzeitig unerwünschte ausschließen. Gut verwaltete Metadaten machen Dokumente auffindbar, klassifizierbar und nachverfolgbar.

Für interne Dokumentenverwaltungssysteme sind benutzerdefinierte Metadaten-Eigenschaften wertvoll. Sie können Felder für Dokumenttyp, Abteilung, Projektcode, Vertraulichkeitsstufe, Aufbewahrungsfrist und Genehmigungsstatus hinzufügen. Diese Eigenschaften können beim Erstellen des Dokuments gesetzt und aktualisiert werden, wenn es den Überprüfungs- und Genehmigungsworkflow durchläuft. Dokumentenverwaltungssysteme wie SharePoint, M-Files und OpenText verwenden PDF-Metadaten zum Indexieren, Kategorisieren und Verwalten von Dokumenten.

XMP-Metadaten unterstützen strukturierte, erweiterbare Eigenschaften unter Verwendung von XML-Schemata. Organisationen können benutzerdefinierte XMP-Schemata für ihre spezifischen Metadaten-Anforderungen definieren. Dies ist besonders nützlich für regulierte Branchen, in denen bestimmte Metadaten Dokumente begleiten müssen (Dokumentkontrollnummern, Revisionsstufen, Genehmigungssignaturen). Der PDF/A-Standard verlangt XMP-Metadaten für bestimmte Eigenschaften, einschließlich der Konformitätsstufen-Kennung, was XMP-Expertise für Archivierungs-Workflows wichtig macht.

Trennen Sie bei der Verwendung von Metadaten für die Dokumentenverwaltung interne Metadaten von externen Metadaten. Interne Metadaten (Projektcodes, Prüfernamen, Genehmigungsverlauf) sollten vor dem externen Teilen entfernt werden. Externe Metadaten (Titel, Betreff, Erstellungsdatum) können verbleiben. Automatisieren Sie diese Trennung, damit die Metadatenentfernung für das externe Teilen keinen manuellen Aufwand pro Dokument erfordert.