SVG-Sicherheit und Urheberrecht: Skripte, Logos, Datenschutz

Ein SVG sieht aus wie ein harmloses Bild, ist technisch aber ein Textdokument, das Programmcode tragen kann. Wer fremde SVGs verarbeitet, sollte dieses Risiko kennen. Gleichzeitig wirft jede Grafik die Frage auf, wem sie eigentlich gehört. Dieser Ratgeber ordnet beide Themen ein: die technische Sicherheit von SVG-Dateien und die rechtliche Lage bei Grafiken und Logos. Es handelt sich um eine allgemeine Einordnung, die keine Rechtsberatung ersetzt.

Warum SVG mehr ist als ein Bild

SVG steht für Scalable Vector Graphics und ist im Kern XML, also strukturierter Text. Diese Offenheit ist eine Stärke, weil sich Grafiken bearbeiten, durchsuchen und animieren lassen. Sie ist aber auch ein Einfallstor, denn das Format erlaubt mehr als reine Geometrie. Ein SVG kann script-Elemente, Event-Handler wie onload und Verweise auf externe Ressourcen enthalten.

<svg xmlns="http://www.w3.org/2000/svg" onload="alert('Code laeuft')">
  <script>/* hier koennte beliebiger Code stehen */</script>
  <rect width="100" height="100" fill="green" />
</svg>

Solange eine solche Datei nur als statisches Bild über ein img-Tag geladen wird, führen moderne Browser das Skript in der Regel nicht aus. Kritisch wird es, wenn ein fremdes SVG inline ins HTML eingefügt oder direkt als Dokument im Browser geöffnet wird. Dann kann der eingebettete Code im Kontext der Seite laufen, Cookies auslesen oder Aktionen im Namen des Nutzers auslösen. Das ist ein klassischer Cross-Site-Scripting-Fall, kurz XSS.

Warum PNG sicherer zum Teilen ist

PNG ist ein reines Rasterformat. Es speichert ausschließlich Pixeldaten und einige Metadaten, aber keinen ausführbaren Code, keine Event-Handler und kein JavaScript. Damit gibt es schlicht keine Stelle, an der ein Skript ansetzen könnte.

Das macht die Umwandlung von SVG zu PNG zu einem wirksamen Sicherheitsschritt. Sobald du ein potenziell mit Code versehenes SVG rasterst, bleibt nur das sichtbare Bild übrig, jeglicher aktiver Inhalt geht verloren. Möchtest du eine Grafik aus unsicherer Quelle weitergeben, in eine Präsentation einbauen oder in einem Forum teilen, ist das gerasterte PNG die unkompliziertere und sicherere Variante.

Aspekt	SVG	PNG
Datentyp	XML-Text	Rasterdaten
Kann Skripte enthalten	ja	nein
XSS-Risiko bei Inline-Einbettung	vorhanden	keines
Skalierbarkeit	verlustfrei	auflösungsgebunden
Empfehlung bei fremder Quelle	nur sanitisiert oder gerastert	direkt nutzbar

Sanitizing: SVG sicher machen, ohne es zu rastern

Manchmal willst du die Vorteile von SVG behalten, etwa die Skalierbarkeit, und kannst nicht einfach alles rastern. Dann ist Sanitizing der richtige Weg. Sanitizing bedeutet, eine SVG-Datei automatisiert von allen potenziell gefährlichen Bestandteilen zu befreien und nur die reine Grafik zu behalten.

Entfernt werden dabei typischerweise script-Elemente, alle Event-Handler-Attribute, externe Verweise und eingebettete Stylesheets mit aktiven Anteilen. Übrig bleibt die saubere Darstellung. In der Praxis übernehmen das spezialisierte Bibliotheken. DOMPurify mit aktivierter SVG-Unterstützung ist ein verbreitetes Werkzeug, das fremde SVGs vor dem Einbinden filtert.

Die Grafik macht das Prinzip greifbar: Je weiter rechts, desto weniger aktiver Inhalt bleibt übrig. Die Rasterung zu PNG ist die radikalste und zugleich einfachste Form der Entschärfung.

Urheberrecht an Grafiken: wem gehört das Bild

Sicherheit ist die eine Seite, das Recht die andere. Grafiken sind grundsätzlich geschützt. Nach UrhG § 2 zählen unter anderem Werke der bildenden Kunst und Darstellungen wissenschaftlich-technischer Art zu den geschützten Werken, sofern sie eine persönliche geistige Schöpfung darstellen. Auch das SVG-Quelldokument selbst kann je nach Gestaltung schutzfähig sein. Programmcode wiederum fällt unter UrhG § 69a, was bei stark skriptgesteuerten SVGs eine Rolle spielen kann.

Entscheidend ist: Die technische Umwandlung von SVG zu PNG erzeugt kein neues Recht. Wer eine geschützte Grafik rastert, ändert das Format, nicht die Rechtelage. Die Rechte am Bild bleiben beim ursprünglichen Urheber.

Ein Format zu wechseln ist keine Schöpfung. Wer ein fremdes Logo in ein PNG umwandelt, erwirbt damit keinerlei Rechte an der Grafik.

Für die eigene Arbeit folgt daraus eine klare Linie. Eigene Grafiken, die du selbst gestaltet hast, darfst du frei umwandeln und nutzen. Fremde Grafiken brauchen eine Erlaubnis, etwa eine Lizenz oder eine Freigabe des Rechteinhabers. Bei Material aus Bilddatenbanken bestimmen die jeweiligen Lizenzbedingungen, was zulässig ist.

Logos: zusätzlich oft markenrechtlich geschützt

Bei Logos kommt zur urheberrechtlichen Frage häufig das Markenrecht hinzu. Ein eingetragenes Logo ist als Marke geschützt, und dieser Schutz ist unabhängig vom Dateiformat. Ob das Logo als SVG, PNG oder gedruckt vorliegt, spielt für den Markenschutz keine Rolle.

Praktisch heißt das: Das Umwandeln eines fremden Firmenlogos in ein PNG, um es etwa auf der eigenen Seite einzusetzen, kann sowohl urheberrechtlich als auch markenrechtlich problematisch sein. Zulässige Nutzungen, etwa redaktionelle oder vergleichende Kontexte, hängen vom Einzelfall ab und sollten im Zweifel rechtlich geprüft werden.

Datenschutz: warum lokale Verarbeitung ein Vorteil ist

Viele Online-Konverter laden deine Datei auf einen Server, verarbeiten sie dort und schicken das Ergebnis zurück. Sobald eine Datei das eigene Gerät verlässt und auf einem fremden Server landet, findet eine Verarbeitung im Sinne der DSGVO statt, wenn die Datei personenbezogene Inhalte enthält. Das wirft Fragen nach Speicherort, Aufbewahrungsdauer und Zugriff auf.

Die Konvertierung auf svg-png.de funktioniert anders. Sie läuft vollständig clientseitig im Browser. Deine SVG-Datei wird nicht hochgeladen, sondern lokal auf deinem Gerät zu PNG gerendert. Damit verlassen die Bildinhalte dein Gerät nicht. Für sensible Grafiken, interne Entwürfe oder vertrauliche Logos ist das ein deutlicher Vorteil, weil schlicht keine Übertragung an einen Dritten stattfindet.

Ein konkretes Beispiel: fremdes SVG aus einer E-Mail

Du erhältst per E-Mail ein SVG mit einem angeblichen Diagramm und sollst es in eine interne Präsentation übernehmen. Der sichere Ablauf sieht so aus: Öffne die Datei nicht direkt im Browser, sondern lade sie in das Tool auf svg-png.de. Die Umwandlung läuft lokal, die Datei wird nirgendwohin gesendet. Das Ergebnis ist ein PNG, das garantiert keinen ausführbaren Code mehr enthält. Dieses PNG bettest du in die Präsentation ein.

Du hast damit zwei Probleme gleichzeitig gelöst: Das mögliche XSS-Risiko aus einem fremden SVG ist durch die Rasterung beseitigt, und die Datei hat dein Gerät nie verlassen. Bliebe nur die rechtliche Seite: Stammt das Diagramm aus fremder Quelle, kläre vor der Weiterverwendung, ob du es überhaupt nutzen darfst.

So gehst du mit SVG sicher und rechtssicher um

Behandle fremde SVGs nie wie neutrale Bilder, weil das Format Code tragen kann. Wer nur die Grafik braucht, rastert sie zu PNG und entfernt damit jeden aktiven Inhalt. Wer den Vektor behalten muss, sanitisiert die Datei vor dem Einbinden. Achte zugleich auf die Rechte: Eigene Grafiken darfst du frei umwandeln, fremde Grafiken und vor allem Logos sind meist urheber- und markenrechtlich geschützt, und ein Formatwechsel ändert daran nichts. Nutze für sensible Dateien eine clientseitige Lösung wie svg-png.de, damit deine Inhalte das Gerät gar nicht erst verlassen. Diese Hinweise sind eine allgemeine Orientierung und ersetzen im Einzelfall keine fachkundige Rechtsberatung.