Elektronische Signatur HR & DSGVO: Vollständiger Leitfaden 2026

Die Digitalisierung der Personalwirtschaft hat sich seit 2020 erheblich beschleunigt: Arbeitsverträge, Änderungsverträge, Gehaltsabrechnungen, IT-Richtlinien, Telearbeitsvereinbarungen — praktisch alle diese Dokumente werden nun in digitaler Form verarbeitet. Dennoch bedeutet Dematerialisierung nicht, sich der Rechtsanforderungen zu entledigen. Im Gegenteil: Die elektronische Signatur von HR-Dokumenten und DSGVO ist ein Thema mit doppelter regulatorischer Einordnung, da sie den eIDAS-Rahmen zur Beweiskraft der Signatur mit der europäischen Verordnung zum Schutz personenbezogener Daten verbindet. Wenn diese doppelte Anforderung nicht richtig beherrscht wird, setzt das Unternehmen sich Rechtsrisiken und CNIL-Sanktionen aus. Dieser Leitfaden stellt Ihnen die wesentlichen Regeln, Best Practices und kritische Punkte vor, die Sie 2026 unbedingt kennen müssen.

Warum gilt die DSGVO für die elektronische Signatur im HR-Bereich?

Die elektronische Signatur verarbeitet notwendigerweise personenbezogene Daten

Die elektronische Unterzeichnung eines Arbeitsvertrags beinhaltet die Erfassung, Übertragung und Speicherung personenbezogener Daten im Sinne von Artikel 4 der DSGVO Nr. 2016/679: Name, Vorname, berufliche E-Mail-Adresse, manchmal Mobiltelefonnummer, Signaturzeitstempel und IP-Adresse der Signatur. Im HR-Kontext sind diese Daten besonders sensibel, da sie den Mitarbeiter direkt identifizieren und mit seiner vertraglichen Beziehung zum Arbeitgeber verbunden sind.

Der Vertrauensdienstanbieter (VDA), der die Signatuurlösung bereitstellt, gilt als Auftragsverarbeiter im Sinne von Artikel 28 der DSGVO. Der Arbeitgeber bleibt der Verantwortliche. Diese Unterscheidung ist grundlegend: Das Unternehmen antwortet vor der CNIL im Falle einer Verletzung, nicht der Softwareanbieter.

Anwendbare Rechtsgrundlagen im HR-Kontext

Für jede Kategorie dematerialisierter HR-Dokumente muss der Arbeitgeber die geeignetste Rechtsgrundlage für die Verarbeitung identifizieren:

• Erfüllung des Vertrags (Art. 6 Abs. 1 Buchst. b DSGVO): Unterzeichnung des Arbeitsvertrags, Gehältsänderungsvertrag, Vereinbarung über pauschale Tätigkeit. Dies ist die robusteste Rechtsgrundlage für vertragliche Dokumente.

• Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO): Dematerialisierte Aushändigung der Gehaltsabrechnung (seit dem Macron-Gesetz von 2015 unter Bedingungen zulässig), Personalregister.

• Berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f DSGVO): IT-Richtlinien, Betriebsordnungen, interne Richtliniendokumente — unter Vorbehalt der Interessenabwägung.

Die Rechtsgrundlage Einwilligung (Art. 6 Abs. 1 Buchst. a) sollte im HR-Kontext vermieden werden: Die CNIL und das Europäische Datenschutzkomitee (EDPB) sehen, dass das Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer die Einwilligung selten frei macht. Ein Mitarbeiter, der sich weigert, elektronisch zu unterzeichnen, könnte berufliche Konsequenzen befürchten.

Konkrete Verpflichtungen des Verantwortlichen im HR-Bereich

Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VVT)

Artikel 30 der DSGVO schreibt vor, dass jede Organisation mit mehr als 250 Mitarbeitern (und KMU, die Daten in großem Umfang verarbeiten) ein Verzeichnis der Verarbeitungstätigkeiten führen muss. Die Einführung eines Tools für elektronische Signaturen für HR-Dokumente muss darin mit folgenden Angaben aufgeführt werden:

• Der Zweck der Verarbeitung (z. B. Dematerialisierung und Archivierung von vertraglichen HR-Dokumenten)

• Die Kategorien verarbeiteter Daten (Identität, Kontaktdaten, Authentifizierungsdaten)

• Die Aufbewahrungsdauer (gesetzliche Aufbewahrungsdauer des Arbeitsvertrags: 5 Jahre nach Ende des Vertrags gemäß Code du Travail, Art. L. 1234-20)

• Die Kontaktdaten des Auftragsverarbeiters (die Signaturplattform)

• Die umgesetzten Sicherheitsmaßnahmen

Unterzeichnen Sie einen AVV (Auftragsverarbeitungsvertrag) mit dem Anbieter

Gemäß Artikel 28 der DSGVO muss jede Inanspruchnahme eines Auftragsverarbeiters zur Verarbeitung personenbezogener Daten durch einen Auftragsverarbeitungsvertrag (AVV) formalisiert werden. Dieser Vertrag muss folgende Punkte festlegen:

• Den Gegenstand und die Dauer der Verarbeitung

• Die Art und den Zweck der Verarbeitung

• Die Art der personenbezogenen Daten und die Kategorien betroffener Personen

• Die Verpflichtungen und Rechte des Verantwortlichen

• Den Standort der Daten (Speicherung in der EU empfohlen, um Übermittlungen außerhalb des EWR zu vermeiden)

• Die technischen und organisatorischen Sicherheitsmaßnahmen

Ein seriöser Signattur-Anbieter stellt routinemäßig einen konformen AVV zur Verfügung. Sein Fehlen stellt eine sofort sanktionierbare Nichtkonformität dar.

Informieren Sie die Mitarbeiter vor der ersten Signatur

Artikel 13 der DSGVO schreibt eine vorherige Information der Personen vor, deren Daten erfasst werden. Bevor Sie die elektronische Signatur für HR-Dokumente einführen, müssen Sie die Mitarbeiter informieren über:

• Die Identität des Verantwortlichen

• Den Zweck und die Rechtsgrundlage

• Die Dauer der Datenspeicherung

• Ihre Rechte (Zugang, Berichtigung, Löschung innerhalb der Grenzen der gesetzlichen Aufbewahrungsverpflichtungen, Datenübertragbarkeit)

• Die Kontaktdaten des Datenschutzbeauftragten, falls ernannt

Diese Information kann in den Signaturprozess selbst integriert werden (Informationsbanner vor der Signatur), in die aktualisierte Betriebsordnung oder über eine Mitteilung beim Rollout der Lösung erfolgen.

Erforderliche Signierungsstufe für HR-Dokumente: SES, AES oder QES?

Die eIDAS-Hierarchie der Signierungsstufen

Die eIDAS-Verordnung Nr. 910/2014 definiert drei Stufen der elektronischen Signatur, jede mit zunehmender Beweiskraft:

• SES (Simple Electronic Signature / Einfache elektronische Signatur): Geringe Beweiskraft, geeignet für Dokumente mit geringem Risiko (Empfangsbestätigungen, interne Formulare)

• AES (Advanced Electronic Signature / Fortgeschrittene elektronische Signatur): Eindeutig mit dem Unterzeichner verknüpft, aus Daten erstellt, die sich unter seiner alleinigen Kontrolle befinden. Geeignet für die meisten gängigen HR-Dokumente.

• QES (Qualified Electronic Signature / Qualifizierte elektronische Signatur): Höchste Stufe, der handschriftlichen Signatur nach Art. 25 Abs. 2 eIDAS gleichwertig. Erfordert verstärkte Identitätsüberprüfung (persönlich oder Videoidentifizierung).

Welche Stufe für welche HR-Dokumente?

Die empfohlene Kartierung 2026, unter Berücksichtigung der französischen Rechtsprechung und sektoralen Empfehlungen:

| HR-Dokument | Empfohlene Stufe | Begründung | |---|---|---| | Arbeitsvertrag unbefristet/befristet | AES mindestens, QES empfohlen | Starke vertragliche Wertigkeit, Arbeitsprozessrisiko | | Änderungsvertrag | AES mindestens, QES empfohlen | Gleiche Logik wie Hauptvertrag | | Probezeit (Erneuerung) | AES | Kurze Frist, begrenzte Formalitäten | | Telearbeits-/BYOD-Richtlinie | SES oder AES | Tarifvertrag oder Betriebsordnung | | Pauschalvereinbarung | QES dringend empfohlen | Anspruchsvolle Arbeitsgerichtsbarkeit | | Beendigung einvernehmlich | QES erforderlich | Genehmigtes Cerfa-Formular, hohes Risiko | | Bescheinigung Arbeitsverhältnis | AES oder QES | Freisetzungswirkung, Art. L. 1234-20 CT |

Für Dokumente mit hohem Streitrisiko (Pauschalvertrag, einvernehmliche Beendigung) ist QES de facto erforderlich, um die Anfechtbarkeit vor Arbeitsgerichtsbarkeit zu gewährleisten. Der Cour de Cassation hat seine Anforderungen an den Nachweis der Zustimmung des Arbeitnehmers schrittweise verschärft.

Aufbewahrung, Archivierung und Rechte von Personen: Fallstricke zum Vermeiden

Gesetzliche Aufbewahrungsfristen für elektronisch signierte HR-Dokumente

Die Aufbewahrung elektronisch signierter HR-Dokumente folgt zwingende gesetzliche Fristen. Diese Fristen gehen vor dem Löschrecht der DSGVO vor (Art. 17 Abs. 3 Buchst. b):

• Arbeitsvertrag: 5 Jahre nach Ende des Vertrags (Arbeitsgerichtsbarkeitsfrist, Art. L. 1471-1 Code du Travail)

• Gehaltsabrechnungen: 5 Jahre (Verjährung von Forderungen), empfohlene Aufbewahrung bis zur Rentenliquidation

• Arbeitsunfall-Unterlagen: 30 Jahre (langes Streitrisiko)

• Berufsausbildung (Pläne, Bescheinigungen): 3 Jahre

• Personalregister: 5 Jahre nach dem Datum, an dem der Mitarbeiter die Einrichtung verlassen hat

Die elektronische Archivierung mit Beweiskraft muss den Anforderungen der Norm NF Z 42-013 und idealer Weise dem Standard ETSI EN 319 162 (Langzeitarchivierung elektronischer Signaturen) entsprechen. Einfache Serverspeicherung reicht nicht aus: Sie müssen Integrität, Lesbarkeit und qualifizierte Zeitstempel der Dokumente über die gesamte Aufbewahrungsdauer gewährleisten.

Verwaltung der Rechte von Mitarbeitern ohne Beeinträchtigung der Beweiskraft

Ein Mitarbeiter kann sein Zugangsrecht (Art. 15 DSGVO) legitimerweise nutzen, um eine Kopie seiner Signaturdaten zu erhalten. Er kann auch die Berichtigung ungünstiger Daten verlangen.

Das Recht auf Löschung (Art. 17 DSGVO) kann dagegen nicht für HR-Dokumente mit gesetzlichen Aufbewahrungsverpflichtungen geltend gemacht werden. Der Arbeitgeber muss in der Lage sein, diese Ablehnung klar zu erklären und die geltende Rechtsgrundlage zu nennen. Die Dokumentation dieser Austausche im Register der Datenanfragen ist eine von der CNIL empfohlene Best Practice.

Die Datenübertragbarkeit (Art. 20 DSGVO) gilt für Daten, die vom Mitarbeiter auf Grundlage von Einwilligung oder Vertragserfüllung bereitgestellt wurden. Konkret kann ein Mitarbeiter seine Signaturdaten in strukturiertem Format verlangen — eine Verpflichtung, die bei der Wahl der Signatuurlösung zu antizipieren ist.

Technische und organisatorische Sicherheit: Erforderliche Maßnahmen

Technische Anforderungen der Signaturplattform

Gemäß Artikel 32 der DSGVO müssen die Sicherheitsmaßnahmen dem Risiko angemessen sein. Für eine fortgeschrittene elektronische Signatuurlösung im HR-Bereich bedeutet dies insbesondere:

• Verschlüsselung von Daten in Übertragung (TLS 1.3 mindestens) und im ruhenden Zustand (AES-256)

• Mehrfaktor-Authentifizierung (MFA) für den Zugriff auf die Plattform

• Audit-Protokolle (Logs) mit Zeitstempel und Fälschungssicherheit, die jede Aktion beim Dokument verfolgen

• Speicherung in der EU (oder EWR), um Übermittlungen außerhalb des EWR ohne angemessene Garantien zu vermeiden (Angemessenheitsbeschluss oder Standardvertragsklauseln)

• Jährliche Penetrationstests und ISO 27001-Zertifizierung des Anbieters

• Notfallplan, der die Verfügbarkeit des Dienstes und die Archivwiederherstellung im Falle eines Incidents garantiert

Datenschutz-Folgenabschätzung (DSFA): Wann ist sie erforderlich?

Artikel 35 der DSGVO schreibt eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn die Verarbeitung ein hohes Risiko darstellt. Die CNIL hat eine Liste von Verarbeitungstypen veröffentlicht, die eine DSFA erfordern: Die großflächige Verarbeitung von Daten zum beruflichen Leben ist dort aufgeführt.

Konkret ist eine DSFA empfohlen (oder für große Unternehmen erforderlich), wenn eine elektronische Signatuurlösung für HR eingeführt wird, die alle Mitarbeiter betrifft. Sie muss Risiken (Vertraulichkeitsverlust, Identitätsdiebstahl, Dokumentenänderung) identifizieren, ihre Schwere und Wahrscheinlichkeit bewerten und Abschwächungsmaßnahmen vorschlagen. Diese Analyse muss dokumentiert und bei Änderungen der Verarbeitung überprüft werden.

Auf HR und DSGVO anwendbarer Rechtsrahmen

Gründende europäische Texte

eIDAS-Verordnung Nr. 910/2014 (und ihre Überarbeitung eIDAS 2.0 in Rollout-Phase): Dieser Text definiert die drei Stufen elektronischer Signaturen (SES, AES, QES) und ihren Rechtsstatus in allen Mitgliedstaaten. Artikel 25 legt fest, dass QES eine handschriftlicher Signatur gleichwertige Rechtswirkung hat. Artikel 26 listet die technischen Anforderungen der fortgeschrittenen Signatur auf. Anbieter qualifizierter Vertrauensdienste sind in nationalen Vertrauenslisten eingetragen (in Frankreich wird die Liste von der ANSSI verwaltet).

DSGVO Nr. 2016/679: Anwendbar seit 25. Mai 2018, regelt diese Verordnung jede Verarbeitung personenbezogener Daten in der EU. Die Artikel 5 (Grundsätze), 6 (Rechtsgrundlagen), 13-14 (Information), 28 (Auftragsverarbeiter), 30 (Verzeichnis), 32 (Sicherheit), 35 (DSFA) und 37-39 (Datenschutzbeauftragter) sind direkt relevant für elektronische Signaturen im HR-Bereich.

Französisches anwendbares Recht

Code civil, Artikel 1366-1367: Artikel 1366 stellt das Prinzip der funktionalen Äquivalenz zwischen elektronischem Schriftstück und Papierschriftstück auf. Artikel 1367 erkennt die elektronische Signatur als Beweismittel an, sofern sie aus einem zuverlässigen Verfahren zur Identifizierung besteht, das die Verbindung mit dem Dokument garantiert. Die Zuverlässigkeit wird für QES vermutet, kann aber für AES nachgewiesen werden.

Code du Travail: Artikel L. 1221-1 schreibt keine besondere Form für den Arbeitsvertrag vor (mit Ausnahmen: befristeter Vertrag Art. L. 1242-12, Ausbildungsvertrag usw.). Das Macron-Gesetz von 2015 (Gesetz Nr. 2015-990) öffnete die Tür zur elektronischen Gehaltsabrechnung. Artikel L. 3243-2 regelt die Modalitäten.

Informatik- und Freiheitsgesetz geändert (Gesetz vom 6. Januar 1978 Nr. 78-17): Französische Umsetzung der DSGVO, verleiht der CNIL ihre Befugnisse zur Untersuchung und Sanktion. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schwerwiegendsten Verstößen betragen.

Referenztechnische Normen

• ETSI EN 319 132: Format für fortgeschrittene elektronische Signaturen XAdES, anwendbar auf XML-Dokumente

• ETSI EN 319 122: Format CAdES für elektronische Signaturen von CMS-Dokumenten

• ETSI EN 319 162: Langzeitarchivierung elektronischer Signaturen (ASiC)

• NF Z 42-013 (AFNOR): Funktionelle Spezifikationen eines beweiskräftigen elektronischen Archivierungssystems

• ISO/IEC 27001: Informationssicherheitsmanagementsystem, Zertifizierungsreferenz für Anbieter

Rechtsrisiken bei Nichtkonformität

Das Risiko ist kumulativ erheblich: Ein mit unzureichender Signierungsstufe unterzeichneter Arbeitsvertrag kann vor dem Arbeitsgericht angefochten werden, was zu Umqualifizierung oder Nichtigkeit führen kann. Auf der DSGVO-Seite können fehlender AVV mit dem Anbieter, Unterlassungen bei der Information von Mitarbeitern oder Speicherung außerhalb der EU ohne angemessene Garantien zu einer Verwarnung der CNIL oder sogar zu einer öffentlichen administrativen Sanktion führen.

Nutzungsszenarien: Elektronische HR-Signatur konform mit DSGVO

Szenario 1: Ein mittelständisches Industrieunternehmen mit 600 Mitarbeitern digitalisiert seine Arbeitsverträge

Ein Industriebetrieb mittlerer Größe mit vier Standorten in Frankreich verarbeitete jährlich etwa 180 unbefristete/befristete Einstellungen, was etwa so viele Papierdossiers zum Drucken, in zweifacher Ausfertigung Unterzeichnen, Scannen und Archivieren bedeutete. Die Verzögerungen zwischen Einstellungsangebot und tatsächlicher Vertragsunterzeichnung betrugen durchschnittlich 8 Arbeitstage.

Nach Einführung einer fortgeschrittenen Signatuurlösung (AES) integriert in ihr Personalinformationssystem, mit konformem AVV mit dem Anbieter und dokumentierter DSFA, reduzierte das Unternehmen diese Verzögerung auf weniger als 24 Stunden. Der Anteil unvollständiger Dossiers fiel um 34 % (Quellen: Sektorbenchmarks ANDRH 2024). Speicherung der Daten in Frankreich wurde als Vertragsauswahl ausgewählt, um Übermittlungen außerhalb des EWR vollständig auszuschließen. Mitarbeiter werden über die Datenverarbeitung durch ein Informationsbanner im Signaturprozess informiert und gewährleisten so die Konformität mit Artikel 13 der DSGVO.

Szenario 2: Ein Einzelhandelsfranchisenetz führt QES-Signaturen für Pauschalvereinbarungen ein

Ein Verteilernetz mit etwa sechzig Verkaufsstellen und hundert Angestellten mit pauschaler Tätigkeit stand vor einem von seinen Juristen ermittelten Arbeitsrisiko: Mehrere Pauschalvereinbarungen konnten nur durch Kopien minderwertiger Papierdokumente nachgewiesen werden. Da die Cour de Cassation ihre Anforderungen an den Nachweis dieser Art von Vereinbarung verschärft hat, wurde das Streitrisiko auf mehrere hundert Tausend Euro geschätzt.

Das Netz führte eine qualifizierte Signatuurlösung (QES) für alle neuen Vereinbarungen ein und bot den angestellten Kadern an, ihre bestehenden Vereinbarungen neu zu unterzeichnen. Videoidentifizierung wurde für die Identitätsüberprüfung gewählt. Das Verzeichnis der Verarbeitungstätigkeiten wurde aktualisiert und ein externer Datenschutzbeauftragter validierte die DSGVO-Konformität des Ablaufs. Innerhalb von 6 Monaten war der gesamte Bestand an Pauschalvereinbarungen gesichert. Die Kosten des Vorhabens (etwa 15 bis 25 € pro QES-Signatur nach Marktanbietern) wurden als deutlich geringer als das abgedeckte Streitrisiko beurteilt.

Szenario 3: Eine Gebietskörperschaft dematerialisiert ihre Änderungsverträge und Telearbeits-Richtlinien

Eine Gebietskörperschaft mit etwa 1 200 ständigen Beschäftigten wollte die Verwaltung ihrer Telearbeits-Änderungsverträge nach dem Nationalrahmenabkommen von 2021 zum Telearbeiten im öffentlichen Dienst dematerialisieren. Das zu verarbeitende Volumen betrug etwa 400 Dokumente pro Jahr, mit spezifischen Einschränkungen: Die Beschäftigten sind Personen des öffentlichen Rechts, deren Daten einer besonders geregelten Verarbeitung unterliegen.

Die Gebietskörperschaft entschied sich für fortgeschrittene Signaturen (AES), mit souveräner Speicherung bei einem von der ANSSI qualifizierten Anbieter SecNumCloud. Die DSFA wurde dem Datenschutzbeauftragten der Gebietskörperschaft vor dem Rollout vorgelegt. Beschäftigte wurden über eine Mitteilung im Intranet und ein Informationsbanner im digitalen Prozess informiert. Der HR-Service schätzte einen Gewinn von 3 ETP-Tagen pro Monat in der administrativen Verwaltung von Änderungsverträgen, was einer jährlichen Ersparnis von etwa 35 000 € an direkten Kosten gleichkommt, konsistent mit den vom Observatorium der digitalen Transformation von Gebietskörperschaften veröffentlichten Spannweiten (2025).

Fazit

Die DSGVO-Konformität der elektronischen Signatur für HR-Dokumente ist keine Option: Sie bestimmt sowohl den rechtlichen Wert Ihrer Handlungen als auch den Schutz der Rechte Ihrer Mitarbeiter. 2026 setzen sich Unternehmen, die ihr Verzeichnis der Verarbeitungstätigkeiten noch nicht aktualisiert, keinen AVV mit ihrem Anbieter unterzeichnet und die Signierungsstufe nicht an jeden Dokumenttyp angepasst haben, einem doppelten Risiko — arbeitsgerichtlich und verwaltungsrechtlich — aus, dessen finanzielle Folgen erheblich sein können.

Die gute Nachricht: Eine richtig gewählte und konfigurierte Lösung ermöglicht die Vereinbarkeit von operativer Effizienz, eIDAS-Konformität und DSGVO-Einhaltung ohne Reibungsverluste für HR-Teams oder Mitarbeiter.

Certyneo begleitet Sie auf diesem Weg: eIDAS-konforme Plattform, verfügbarer AVV, europäische Speicherung und Signatuurprozesse für die Personalwirtschaft. Entdecken Sie unsere spezialisierte HR-Lösung oder berechnen Sie die ROI Ihres Übergangs zur vollständigen Digitalisierung in wenigen Klicks.