IBAN schwärzen in PDFs — automatisch und DSGVO-konform
Die IBAN (International Bank Account Number) gehört zu den sensibelsten personenbezogenen Daten in Geschäftsdocumenten. Zusammen mit dem Namen des Kontoinhabers ermöglicht sie die eindeutige Identifikation einer Person und ihrer Bankverbindung. Wer PDFs mit IBANs weitergibt, ohne diese zu schwärzen, verstößt gegen die DSGVO. Dieser Beitrag zeigt, warum IBAN-Schwärzung Pflicht ist, wie sie automatisch funktioniert und wie Sie sie in der Praxis umsetzen.
Was ist eine IBAN?
Die IBAN (International Bank Account Number) ist eine international standardisierte Kontonummer, die seit 2014 in Deutschland für Überweisungen verpflichtend ist. Eine deutsche IBAN besteht aus 22 Zeichen:
- Ländercode: DE (für Deutschland)
- Prüfziffer: 2-stellig (z. B. 89)
- Bankleitzahl: 8-stellig
- Kontonummer: 10-stellig (mit führenden Nullen aufgefüllt)
Beispiel: DE89 3704 0044 0532 0130 00
Warum ist die IBAN personenbezogene Daten?
Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die IBAN gehört eindeutig in diese Kategorie, denn:
- Sie ist einer bestimmten Person zugeordnet (Kontoinhaber)
- In Kombination mit dem Namen ermöglicht sie die Identifikation
- Auch allein kann sie zur Identifikation beitragen (z. B. über die Bankleitzahl und Kontonummer)
Die Aufsichtsbehörden stufen die IBAN als personenbezogenes Datum ein. Sie fällt damit unter alle DSGVO-Schutzvorschriften — einschließlich der Pflicht zur Schwärzung bei Dokumentweitergabe.
Wann müssen Sie IBANs schwärzen?
IBANs müssen geschwärzt werden, wenn Dokumente weitergegeben werden und die IBAN für den jeweiligen Zweck nicht erforderlich ist. Typische Szenarien:
Kontoauszüge: Wenn Sie einen Kontoauszug als Einkommensnachweis einreichen, müssen Ihre eigene IBAN und die IBANs von Überweisungspartnern nicht zwingend sichtbar sein — sofern die Kontoidentifikation anderweitig möglich ist.
Rechnungen: Rechnungen enthalten oft die IBAN des Rechnungsstellers und des Empfängers. Bei Archivierung oder Weitergabe an Dritte sollten IBANs geschwärzt werden, wenn sie für den Empfänger nicht relevant sind.
Verträge: Mietverträge, Arbeitsverträge, Dienstleistungsverträge — überall finden sich IBANs für die Zahlungsabwicklung. Bei Weitergabe an unbeteiligte Dritte müssen diese geschwärzt werden.
Personalakten: IBANs von Mitarbeitern für die Gehaltsüberweisung haben in Personalakten nichts zu suchen, die an unbefugte Personen weitergegeben werden.
Wie funktioniert die automatische IBAN-Erkennung?
Die automatische Erkennung von IBANs in PDFs basiert auf regelbasierten Mustern (Regex). Für deutsche IBANs lautet das Erkennungsmuster:
- Beginnt mit „DE" gefolgt von 20 Ziffern
- Gesamtlänge: 22 Zeichen
- Prüfziffernvalidierung nach ISO 13616 (Modulo-97-Verfahren)
Datenmaske nutzt dieses Muster, um IBANs in PDFs automatisch zu identifizieren — unabhängig von der Formatierung (mit oder ohne Leerzeichen, in Tabellen, im Fließtext oder in Formularfeldern). Unterstützt werden neben deutschen IBANs auch alle anderen europäischen Formate (AT, CH, FR, NL, etc.).
Ablauf der automatischen Erkennung:
- PDF wird analysiert und Text mit Positionsinformationen extrahiert
- Regex-Muster suchen nach IBAN-Formaten im gesamten Text
- Gefundene IBANs werden durch Prüfziffernvalidierung bestätigt
- Position der IBAN im Dokument wird als Schwärzungsbereich markiert
- Der Nutzer prüft die Vorschläge und bestätigt die Schwärzung
Schritt-für-Schritt: IBANs mit Datenmaske schwärzen
Schritt 1 — Dokument hochladen: Laden Sie das PDF-Dokument in Datenmaske. Unterstützt werden alle gängigen PDF-Formate, einschließlich gescannter Dokumente (via OCR).
Schritt 2 — Automatische Erkennung: Datenmaske analysiert das Dokument und markiert automatisch alle erkannten IBANs. Zusätzlich werden weitere personenbezogene Daten wie Namen, E-Mail-Adressen und Telefonnummern erkannt.
Schritt 3 — Ergebnisse prüfen: Prüfen Sie die vorgeschlagenen Schwärzungen. Sie können jede Erkennung einzeln bestätigen oder ablehnen. Ergänzen Sie manuelle Schwärzungen, falls eine IBAN übersehen wurde.
Schritt 4 — Exportieren: Exportieren Sie das geschwärzte PDF. Die IBANs werden irreversibel aus dem Dokument entfernt — sie sind weder kopierbar noch durch Entfernen von Grafikebenen sichtbar.
Schritt 5 — Protokoll erstellen: Datenmaske erstellt automatisch ein Audit-Log, das dokumentiert, welche Daten wann und von wem geschwärzt wurden.
Manuell vs. Automatisch — der Vergleich
| Kriterium | Manuelle Schwärzung | Automatische Schwärzung (Datenmaske) |
|---|---|---|
| ----------- | --------------------: | :-------------------------------------- |
| Erkennungsrate | 60–75 % | 95–99 % |
| Zeit pro Seite | 3–5 Minuten | < 10 Sekunden |
| Fehlerquote | Hoch (35–40 %) | Niedrig (< 2 %) |
| Prüfziffernvalidierung | Nein | Ja |
| Audit-Log | Manuell erstellen | Automatisch |
| Konsistenz | Variabel | Standardisiert |
| Metadaten-Bereinigung | Oft vergessen | Automatisch |
| DSGVO-Compliance | Unsicher | Nachweisbar |
Fazit
IBANs sind personenbezogene Daten und müssen bei der Dokumentweitergabe geschwärzt werden, wenn sie für den Zweck nicht erforderlich sind. Manuelle Schwärzung ist fehleranfällig und zeitaufwändig. Automatische Werkzeuge wie Datenmaske erkennen IBANs zuverlässig, schwärzen sie irreversibel und dokumentieren den gesamten Vorgang — DSGVO-konform und in Minuten erledigt.
Zuletzt aktualisiert: 15. Mai 2026
Haufige Fragen
Ist die IBAN personenbezogene Daten nach DSGVO?
Ja. Die IBAN ist einer bestimmten natürlichen Person (dem Kontoinhaber) zugeordnet und ermöglicht in Kombination mit dem Namen die eindeutige Identifikation. Die Aufsichtsbehörden stufen die IBAN als personenbezogenes Datum ein. Sie unterliegt damit allen DSGVO-Schutzvorschriften.
Wann muss ich eine IBAN in einem PDF schwärzen?
Immer wenn Sie ein Dokument weitergeben und die IBAN für den Empfänger nicht erforderlich ist. Typische Fälle: Kontoauszüge als Einkommensnachweis, Rechnungen an unbeteiligte Dritte, Verträge bei Akteneinsicht, Personalakten bei interner Weitergabe.
Wie erkennt ein Tool IBANs automatisch in PDFs?
Automatische Erkennung nutzt Regex-Muster, die nach dem IBAN-Format suchen (DE + 20 Ziffern für deutsche IBANs). Zusätzlich wird die Prüfziffer nach ISO 13616 validiert (Modulo-97-Verfahren), um Fehlertreffer auszuschließen. Datenmaske erkennt auch IBANs anderer Länder.
Kann eine geschwärzte IBAN wiederhergestellt werden?
Bei echter Schwärzung — bei der die IBAN physisch aus dem PDF entfernt wird — ist eine Wiederherstellung nicht möglich. Wurde die IBAN nur visuell verdeckt (z. B. durch einen schwarzen Balken), bleibt sie im Text erhalten und kann kopiert oder sichtbar gemacht werden.
Welche Strafen drohen bei fehlender IBAN-Schwärzung?
Die unbefugte Weitergabe von IBANs als personenbezogene Daten kann als DSGVO-Verstoß geahndet werden. Bußgelder reichen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für KMU liegen die verhängten Bußgelder in der Praxis meist im vier- bis fünfstelligen Bereich.
Weitere Artikel
Kontoauszug schwärzen: Was sagt die DSGVO?
Darf ich meinen Kontoauszug beim Jobcenter schwärzen? Welche Daten dürfen geschwärzt werden, welche müssen sichtbar bleiben? DSGVO-Rechtlicher Ratgeber.
Welche Daten müssen geschwärzt werden? DSGVO-Übersicht
Daten, die nach DSGVO geschwärzt werden müssen: personenbezogene Daten, rechtliche Grundlagen und automatische Erkennung.
5 DSGVO-Fehler, die kleine Unternehmen teuer zu stehen kommen
Die 5 häufigsten DSGVO-Fehler kleiner Unternehmen: unsichere Schwärzung, fehlende Datenminimierung, unzureichende Dokumentation. Mit Praxis-Tipps zur Vermeidung.