Elektronische Signatur und RGPD: Leitfaden für DPOs

Welche personenbezogenen Daten verarbeitet eine Signature-Lösung?

Eine Plattform für elektronische Signaturen verarbeitet mehrere Kategorien personenbezogener Daten.

• Identität des Unterzeichners: Name, Vorname, E-Mail, Telefonnummer
• Dokumenteninhalt: möglicherweise sensible personenbezogene Daten (Arbeitsverträge, Gesundheitsdaten, Finanzdaten)
• Audit-Trail-Daten: IP-Adresse, Zeitstempel, User-Agent
• Verhaltensdaten: handschriftliche Signaturstroke auf Tablet (bei biometrischer QES)

Hosting und Transfers außerhalb der EU

Die RGPD schreibt vor, dass personenbezogene Daten nur in Länder mit angemessenem Schutzniveau oder unter angemessenen Garantien (SCCs, BCRs) übertragen werden dürfen. Für Signaturlösungen bedeutet dies:

• EU-Hosting → natives Transfer, keine zusätzlichen Formalitäten
• US-Hosting mit SCCs → möglich, aber erhöhtes Cloud-Act-Risiko
• US-Entität (Cloud Act) → nicht zu beseitigendes Risiko auch mit EU-Hosting

Amerikanischer Cloud Act und elektronische Signatur

Der Cloud Act (2018) ermöglicht amerikanischen Behörden, auf Daten von amerikanischen Unternehmen zuzugreifen, auch wenn diese in Europa gespeichert sind. DocuSign, Adobe Sign und Dropbox Sign sind amerikanische Unternehmen, die dem Cloud Act unterliegen. Certyneo ist eine französische Entität und nicht dieser Extraterritorialität unterworfen.

Empfehlungen für DPOs

1. 1Wählen Sie einen Anbieter, dessen juristische Entität in der EU oder im Vereinigten Königreich domiziliert ist (nach dem Brexit mit Angemessenheitsbeschluss)
2. 2Überprüfen Sie, dass das Hosting ausschließlich in der EU erfolgt, ohne Replikation auf Servern außerhalb der EU
3. 3Besorgen Sie sich einen DPA, der Artikel 28 der DSGVO entspricht, und unterzeichnen Sie ihn
4. 4Dokumentieren Sie die Datenschutz-Folgenabschätzung (DSFA), wenn Sie sensible Daten in Ihren Dokumenten verarbeiten
5. 5Überprüfen Sie die Aufbewahrungsdauer der Daten und die Löschrrichtlinie am Ende des Vertrags

DSGVO-Fragen zur elektronischen Signatur

Beinhaltet eine elektronische Signatur die Verarbeitung personenbezogener Daten?

Ja. Die E-Mail, der Name und möglicherweise die Telefonnummer des Unterzeichners werden erfasst. Der Inhalt der Dokumente kann ebenfalls personenbezogene Daten enthalten. Der Signaturanbieter ist ein Auftragsverarbeiter gemäß DSGVO und unterliegt den Verpflichtungen aus Artikel 28.

Ist DocuSign DSGVO-konform?

DocuSign behauptet, DSGVO-konform zu sein und bietet SCCs an. Als amerikanisches Unternehmen unterliegt es jedoch dem Cloud Act. Die CNIL hat darauf hingewiesen, dass der Cloud Act ein nicht eliminierbares Risiko für europäische Daten darstellt, die von US-amerikanischen Stellen gehostet werden, auch wenn sie sich in der EU befinden.

Ist Certyneo DSGVO-konform?

Ja. Certyneo ist ein französisches Unternehmen, das in der EU gehostet wird (IONOS Deutschland) und nicht dem Cloud Act unterliegt. Die Daten werden während der Übertragung (TLS 1.3) und im Ruhezustand verschlüsselt. Certyneo bietet einen DPA, der Artikel 28 der DSGVO entspricht.

Ist eine DSFA für die Verwendung einer Signature-Lösung erforderlich?

Eine DSFA ist nicht automatisch erforderlich für die Standard-Elektronische Signatur. Sie ist erforderlich, wenn Sie Dokumente mit sensiblen Daten unterzeichnen (Gesundheit, Personalwesen mit Gewerkschaftsdaten usw.) oder wenn Ihre Signaturnutzung ein Profiling oder eine großflächige Überwachung beinhaltet.