csv-json.de
Standards & Recht 10 Min. Lesezeit

RFC 4180, UTF-8 und Datenschutz: CSV-Daten rechtssicher zu JSON konvertieren

Eine saubere Umwandlung von CSV zu JSON ist nicht nur eine Frage der Technik, sondern auch der Standards und des Datenschutzes. Dieser Ratgeber erklärt RFC 4180, die richtige Kodierung mit UTF-8 und warum lokale Verarbeitung im Browser der DSGVO-konformste Weg ist.

Eike-Christian Ramcke
Eike-Christian Ramcke

Fachredaktion Datenformate & Recht · Aktualisiert: Juni 2026

CSV-Dateien enthalten oft genau die Daten, die besonders schützenswert sind: Kundenlisten, Mitarbeiterdaten, Bestellungen mit Namen und Adressen. Wer solche Daten zu JSON konvertiert, sollte zwei Dinge sicherstellen. Erstens, dass das Ergebnis technisch korrekt ist, also dem CSV-Standard RFC 4180 folgt und sauber in UTF-8 kodiert bleibt. Zweitens, dass dabei kein Datenschutzverstoß passiert, weil sensible Daten unbedacht auf einen fremden Server hochgeladen werden. Dieser Ratgeber bringt beide Ebenen zusammen.

RFC 4180: der Standard hinter dem CSV-Format

CSV wirkt simpel: Werte, getrennt durch Kommas, eine Zeile pro Datensatz. Doch genau diese scheinbare Einfachheit erzeugt in der Praxis Probleme, sobald ein Wert selbst ein Komma, ein Anführungszeichen oder einen Zeilenumbruch enthält. Damit Programme CSV trotzdem einheitlich lesen können, hat die IETF im Jahr 2005 das Dokument RFC 4180 veröffentlicht. Es ist keine bindende Norm, gilt aber als faktische Referenz für das Format und den MIME-Typ text/csv.

Die wichtigsten Regeln aus RFC 4180 in Kurzform:

  • Jeder Datensatz steht in einer eigenen Zeile, getrennt durch CRLF (Wagenrücklauf und Zeilenvorschub).
  • Eine optionale Kopfzeile mit den Spaltennamen darf am Anfang stehen.
  • Felder werden durch Kommas getrennt, die letzte Spalte ohne nachfolgendes Komma.
  • Felder dürfen in doppelte Anführungszeichen gesetzt werden, müssen es aber, wenn sie ein Komma, ein Anführungszeichen oder einen Zeilenumbruch enthalten.
  • Ein Anführungszeichen innerhalb eines umschlossenen Feldes wird durch Verdoppelung maskiert.

Das sogenannte Quoting ist der Punkt, an dem laienhafte Konverter scheitern. Betrachten Sie diesen Datensatz, bei dem ein Name selbst ein Komma enthält und eine Notiz Anführungszeichen: 

id,name,notiz
1,"Müller, Anna","Sie sagte ""ja"""
2,"Bjørn Maaß","Zeile mit
Umbruch"

Ein RFC-4180-konformer Parser erkennt hier korrekt drei Spalten und liest den Zeilenumbruch innerhalb des Feldes als Teil des Wertes, nicht als neuen Datensatz. Das Ergebnis als JSON: 

[
  { "id": 1, "name": "Müller, Anna", "notiz": "Sie sagte \"ja\"" },
  { "id": 2, "name": "Bjørn Maaß", "notiz": "Zeile mit\nUmbruch" }
]

Ein simpler Konverter, der nur stur an jedem Komma trennt, würde aus "Müller, Anna" zwei Felder machen und die ganze Zeile verschieben. Genau deshalb lohnt sich ein Werkzeug, das das Quoting nach RFC 4180 beherrscht.

Tipp: Semikolon im deutschen Raum

RFC 4180 nennt das Komma als Trennzeichen. Deutsches Excel exportiert jedoch standardmäßig mit Semikolon, weil das Komma hier als Dezimaltrennzeichen belegt ist. Das ist kein Fehler, sondern eine regionale Eigenheit. Wählen Sie beim Konvertieren das passende Trennzeichen oder nutzen Sie eine automatische Erkennung, damit aus einer Spalte nicht versehentlich eine wird.

UTF-8 und das Problem mit dem BOM

CSV und JSON sind beide reiner Text, und Text braucht eine Zeichenkodierung. Die JSON-Spezifikation (RFC 8259) schreibt UTF-8 für den Datenaustausch zwingend vor. UTF-8 kann alle Zeichen darstellen, von deutschen Umlauten über das ß bis zu Emojis oder kyrillischer Schrift, und ist heute der De-facto-Standard im Web.

Probleme entstehen, wenn eine CSV in einer anderen Kodierung gespeichert wurde. Speichert ein älteres Programm oder Excel die Datei als Windows-1252, werden Umlaute bei der späteren Interpretation als UTF-8 falsch dekodiert. Aus Köhler wird dann Kö�hler oder ein Fragezeichen. Die einzige zuverlässige Abhilfe ist, die Datei von Anfang an als UTF-8 zu speichern.

Ein zweiter, tückischer Stolperstein ist das Byte Order Mark (BOM). Speichert deutsches Excel eine Datei als CSV UTF-8, stellt es drei unsichtbare Bytes (EF BB BF) an den Anfang. Diese Markierung ist im Editor nicht sichtbar, klebt beim Einlesen aber am ersten Spaltennamen. So entsteht aus dem sauberen Schlüssel id der unbrauchbare Schlüssel id, den Sie im Code nicht zuverlässig ansprechen können.

Lokale Verarbeitung gegenüber Upload: der entscheidende Unterschied

Der wichtigste Unterschied zwischen einem datenschutzkonformen und einem riskanten Konverter ist nicht das Aussehen, sondern der Weg, den die Daten nehmen. Entweder bleiben sie im Browser, oder sie werden zu einem Server hochgeladen.

A: Verarbeitung im Browser Ihr Gerät CSV Eingabe JSON Ausgabe Keine Übermittlung, keine Empfänger B: Upload zum Server Ihr Gerät CSV Upload Fremder Server Übermittlung an Dritten AVV und Rechtsgrundlage nötig
Bei Variante A verlassen die Daten das Gerät nie. Bei Variante B verlassen sie es und unterliegen damit den Pflichten der DSGVO.

Warum lokale Verarbeitung DSGVO-konform ist

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Sobald eine CSV mit Namen, Adressen oder anderen Personenbezügen zu einem Online-Tool hochgeladen wird, geschieht zweierlei: Die Daten werden an einen Empfänger übermittelt, und dieser verarbeitet sie auf seinem Server. Damit greifen die zentralen Pflichten der Verordnung.

Verarbeitet ein Dienstleister diese Daten in Ihrem Auftrag, brauchen Sie nach Artikel 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Sie müssen außerdem eine Rechtsgrundlage nach Artikel 6 nachweisen und die Betroffenen über den Empfänger informieren. Liegt der Server außerhalb der EU, kommt die Frage des Drittlandtransfers hinzu. Für eine schnelle Konvertierung ist das ein erheblicher Aufwand, und bei sensiblen Daten ein echtes Risiko.

Findet die Umwandlung dagegen vollständig im Browser statt, sieht die Lage grundlegend anders aus. Die CSV wird lokal von JavaScript auf Ihrem eigenen Gerät verarbeitet. Es gibt keinen Upload, keinen Empfänger und keine Übermittlung an einen Dritten. Das deutsche BSI empfiehlt nach dem Prinzip der Datensparsamkeit, personenbezogene Daten gar nicht erst preiszugeben, wo es vermeidbar ist. Eine reine Client-seitige Verarbeitung erfüllt dieses Prinzip im Idealfall, weil schlicht nichts das Gerät verlässt.

Genau diesen Weg geht unser CSV zu JSON Converter: Die gesamte Logik läuft im Browser, Ihre Daten werden zu keinem Zeitpunkt an einen Server gesendet. Für sensible Personen- oder Geschäftsdaten ist das der sauberste und einfachste Weg, weil weder AVV noch Drittlandprüfung anfallen.

Online-Upload gegenüber lokaler Verarbeitung im Überblick

Aspekt Upload zu Online-Server Lokal im Browser
Datenübermittlung Ja, Daten verlassen das Gerät Nein, Daten bleiben lokal
AVV nach Art. 28 DSGVO In der Regel erforderlich Nicht erforderlich
Drittlandtransfer Möglich (Serverstandort prüfen) Entfällt
Eignung für sensible Daten Heikel, sorgfältige Prüfung nötig Gut geeignet
Funktion ohne Internet Nein Ja, nach dem Laden der Seite
Verarbeitungstempo Abhängig von Upload und Server Sofort, lokal gerechnet

Achtung: kostenlos ist nicht gleich risikolos

Viele kostenlose Online-Konverter laden die CSV auf einen Server hoch, oft im außereuropäischen Ausland. Bei Personen- oder Geschäftsdaten kann das eine meldepflichtige Datenpanne nach sich ziehen, wenn dort etwas schiefgeht. Prüfen Sie im Zweifel mit den Entwicklertools des Browsers, ob beim Konvertieren tatsächlich Daten nach außen gesendet werden, oder wählen Sie von vornherein ein Werkzeug mit ausdrücklich lokaler Verarbeitung.

Checkliste: CSV rechtssicher und korrekt zu JSON

Wer die folgenden Punkte beachtet, vermeidet die häufigsten technischen Fehler und bleibt auf der datenschutzrechtlich sicheren Seite:

  • Lokale Verarbeitung wählen: Bei personenbezogenen Daten ein Werkzeug nutzen, das im Browser rechnet und nichts hochlädt.
  • Kodierung auf UTF-8 setzen: Die CSV als UTF-8 speichern, damit Umlaute und das ß erhalten bleiben.
  • BOM entfernen lassen: Sicherstellen, dass ein eventuelles UTF-8-BOM am Dateianfang automatisch entfernt wird.
  • Richtiges Trennzeichen: Komma oder Semikolon bewusst wählen, besonders bei deutschen Excel-Exporten.
  • Quoting prüfen: Ein Werkzeug verwenden, das umschlossene Felder nach RFC 4180 korrekt verarbeitet.
  • Ergebnis validieren: Stichprobenartig kontrollieren, ob Spaltenzahl, Typen und Sonderzeichen stimmen.

Häufig gestellte Fragen

Ist es DSGVO-konform, CSV mit personenbezogenen Daten in JSON zu konvertieren?

Das hängt davon ab, wohin die Daten gehen. Wird die CSV-Datei zu einem Online-Konverter hochgeladen, verlässt sie Ihren Rechner und wird auf einem fremden Server verarbeitet. Damit liegt eine Übermittlung an einen Dritten vor, die nach der DSGVO eine Rechtsgrundlage und in der Regel einen Auftragsverarbeitungsvertrag erfordert. Findet die Konvertierung dagegen vollständig lokal im Browser statt, verlassen die Daten Ihren Rechner nie. Es gibt keinen Empfänger und keine Übermittlung, was den datenschutzrechtlich saubersten Weg darstellt.

Was ist RFC 4180 und warum ist es für die Umwandlung wichtig?

RFC 4180 ist die 2005 von der IETF veröffentlichte Referenzbeschreibung für das CSV-Format. Sie legt fest, wie Felder mit doppelten Anführungszeichen umschlossen werden, wenn sie selbst ein Komma, ein Anführungszeichen oder einen Zeilenumbruch enthalten, und dass ein Anführungszeichen im Feld durch Verdoppelung maskiert wird. Wer diese Regeln einhält, stellt sicher, dass ein Wert wie "Müller, Anna" beim Konvertieren als ein einziges Feld erkannt wird und nicht fälschlich in zwei Spalten zerfällt.

Warum erscheinen Umlaute nach der Umwandlung als kryptische Zeichen?

Das ist fast immer ein Encoding-Problem. JSON schreibt UTF-8 als Standard vor. Wird eine CSV-Datei dagegen in der älteren Windows-Kodierung Windows-1252 gespeichert, werden ä, ö, ü und ß bei der Interpretation als UTF-8 falsch dekodiert und erscheinen als Fragezeichen oder als Zeichenfolgen wie ü. Die Lösung besteht darin, die CSV von vornherein als UTF-8 zu speichern oder ein Werkzeug zu nutzen, das die Kodierung korrekt behandelt.

Was ist ein UTF-8-BOM und warum verfälscht es den ersten Spaltennamen?

Das Byte Order Mark (BOM) ist eine unsichtbare Bytefolge (EF BB BF) am Dateianfang, die manche Programme wie deutsches Excel beim Speichern als UTF-8 voranstellen. Beim Einlesen klebt dieses BOM unbemerkt am ersten Spaltennamen, sodass aus dem Schlüssel id plötzlich id wird. Ein Schlüssel mit unsichtbarem Vorzeichen lässt sich später im Code nicht zuverlässig ansprechen. Ein guter Konverter erkennt und entfernt das BOM automatisch.

Brauche ich für lokale Browser-Konverter einen Auftragsverarbeitungsvertrag (AVV)?

Nein. Ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist nur dann erforderlich, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, also die Daten an ihn übermittelt werden. Bei einer reinen Client-seitigen Verarbeitung im Browser werden keine Daten an den Anbieter übertragen, es findet keine Auftragsverarbeitung statt und somit ist auch kein AVV nötig.

Wie erkenne ich, ob ein Online-Tool meine CSV wirklich nur lokal verarbeitet?

Ein verlässliches Indiz liefert das Netzwerk-Werkzeug im Browser (Entwicklertools, Reiter Netzwerk). Findet beim Konvertieren keine ausgehende Anfrage mit Ihren Daten statt, bleibt die Verarbeitung lokal. Zusätzlich können Sie die Datenschutzerklärung prüfen und testweise die Internetverbindung trennen: Funktioniert das Tool weiterhin, läuft die Logik im Browser und nicht auf einem Server.

CSV sicher in JSON umwandeln

RFC-4180-konformes Quoting, UTF-8 inklusive Umlauten und BOM-Entfernung. Komplett im Browser, ohne Upload und ohne Anmeldung.

Zum CSV zu JSON Converter

Quellen und Standards

Verwandte Artikel

Excel Excel-CSV mit Semikolon in JSON konvertieren: Lösung für deutsche Exporte Formate JSON-Ausgabeformate verstehen: Array, Keyed, Nested und JSON Lines Vergleich CSV zu JSON Converter im Vergleich: Online, Excel, Python und Node.js
← Alle Ratgeber
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige