Elektronische Signatur HR & DSGVO: Vollständiger Leitfaden 2026

Die Digitalisierung der Personalwirtschaft hat sich seit 2020 erheblich beschleunigt: Arbeitsverträge, Änderungen, Gehaltsabrechnungen, IT-Richtlinien, Telearbeitsvereinbarungen – praktisch alle diese Dokumente werden nun in digitaler Form übermittelt. Dennoch bedeutet Dematerialisierung nicht, sich von Rechtsanforderungen zu befreien. Im Gegenteil: Die elektronische Signatur von HR-Dokumenten nach DSGVO ist ein Thema mit doppeltem Regelungsrahmen, da sie sowohl die eIDAS-Regelung zur Beweiskraft der Signatur als auch die europäische Datenschutzverordnung miteinander verbindet. Wenn diese Doppelbelastung nicht richtig beherrscht wird, setzt sie das Unternehmen Rechtsverletzungen und CNIL-Strafen aus. Dieser Leitfaden präsentiert die wesentlichen Regeln, bewährte Praktiken und kritische Punkte, die Sie 2026 unbedingt kennen müssen.

Warum gilt die DSGVO für elektronische HR-Signaturen?

Die elektronische Signatur verarbeitet notwendigerweise persönliche Daten

Das Online-Unterzeichnen eines Arbeitsvertrags erfordert die Erfassung, Übertragung und Speicherung persönlicher Daten im Sinne von Artikel 4 der DSGVO Nr. 2016/679: Name, Vorname, berufliche E-Mail-Adresse, manchmal Mobiltelefonnummer, Zeitstempel und IP-Adresse der Signatur. Im HR-Kontext sind diese Daten besonders sensibel, da sie den Mitarbeiter direkt identifizieren und mit seinem Vertragsverhältnis zum Arbeitgeber verbunden sind.

Der Vertrauensdiensteanbieter (PSC), der die Signaturlösung bereitstellt, ist als Auftragsverarbeiter im Sinne von Artikel 28 der DSGVO qualifiziert. Der Arbeitgeber bleibt der Verantwortliche. Diese Unterscheidung ist grundlegend: Das Unternehmen antwortet gegenüber der CNIL im Falle eines Verstoßes, nicht der Softwareanbieter.

In HR-Kontext anwendbare Rechtsgrundlagen

Für jede Kategorie dematerialisierter HR-Dokumente muss der Arbeitgeber die geeignetste Rechtsgrundlage für die Verarbeitung identifizieren:

• Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DSGVO): Unterzeichnung des Arbeitsvertrags, Vergütungsänderung, Pauschale-Tage-Vereinbarung. Dies ist die robusteste Rechtsgrundlage für Vertragsdokumente.

• Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchstabe c DSGVO): Dematerialisierte Übermittlung der Gehaltsabrechnung (seit dem Macron-Gesetz von 2015 unter Bedingungen zulässig), Personalregister.

• Berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f DSGVO): IT-Richtlinien, Geschäftsordnungen, interne Richtlinien – vorbehaltlich eines Interessenabwägungstests.

Die Rechtsgrundlage Zustimmung (Art. 6 Abs. 1 Buchstabe a) ist im HR-Kontext zu vermeiden: Die CNIL und der EDSB (Europäischer Datenschutzrat) sind der Ansicht, dass das Unterordnungsverhältnis zwischen Arbeitgeber und Mitarbeiter die Zustimmung selten frei macht. Ein Mitarbeiter, der sich weigert, elektronisch zu unterzeichnen, könnte berufliche Konsequenzen befürchten.

Konkrete Verpflichtungen des Verantwortlichen im HR-Bereich

Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren

Artikel 30 der DSGVO verpflichtet alle Organisationen mit mehr als 250 Mitarbeitern (und KMUs, die sensible Daten in großem Umfang verarbeiten), ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Die Einführung eines Tools zur elektronischen Unterzeichnung von HR-Dokumenten muss dort enthalten sein mit:

• Der Zweck der Verarbeitung (z. B. Dematerialisierung und Archivierung von HR-Vertragsdokumenten)

• Die Kategorien verarbeiteter Daten (Identität, Kontaktdaten, Authentifizierungsdaten)

• Die Aufbewahrungsfrist (gesetzliche Aufbewahrungsfrist für Arbeitsverträge: 5 Jahre nach Vertragsende nach Arbeitsgesetzbuch, Art. L. 1234-20)

• Die Kontaktdaten des Auftragsverarbeiters (die Signaturplattform)

• Die implementierten Sicherheitsmaßnahmen

Datenverarbeitungsvertrag (DPA) mit dem Dienstanbieter abschließen

Gemäß Artikel 28 der DSGVO muss jede Inanspruchnahme eines Auftragsverarbeiters zum Verarbeiten persönlicher Daten durch einen Datenverarbeitungsvertrag (DPA) formalisiert werden. Der Vertrag muss folgende Punkte präzisieren:

• Zweck und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• Typ der persönlichen Daten und Kategorien betroffener Personen

• Verpflichtungen und Rechte des Verantwortlichen

• Ort der Datenspeicherung (Hosting in der EU wird empfohlen, um Übertragungen außerhalb des EWR zu vermeiden)

• Technische und organisatorische Sicherheitsmaßnahmen

Ein seriöser Elektronische-Signatur-Anbieter bietet systematisch einen konformen DPA an. Dessen Abwesenheit stellt einen unmittelbar sanktionsfähigen Verstoß dar.

Mitarbeiter vor der ersten Signatur informieren

Artikel 13 der DSGVO schreibt eine vorherige Information von Personen vor, deren Daten erfasst werden. Vor dem Rollout der elektronischen Signatur für HR-Dokumente muss der Arbeitgeber die Mitarbeiter informieren über:

• Die Identität des Verantwortlichen

• Zweck und Rechtsgrundlage

• Aufbewahrungsfrist der Daten

• Ihre Rechte (Zugang, Berichtigung, Löschung innerhalb der Grenzen gesetzlicher Aufbewahrungspflichten, Datenportabilität)

• Die Kontaktdaten des Datenschutzbeauftragten (falls bestellt)

Diese Information kann in den Signaturprozess selbst integriert werden (Informationsbereich vor Signatur), in die aktualisierte Geschäftsordnung oder über eine bei Rollout verbreitete Dienstmitteilung.

Erforderliches Signaturzertifizierungsniveau für HR-Dokumente: SES, AES oder QES?

Die Hierarchie der eIDAS-Zertifizierungsstufen

Die eIDAS-Verordnung Nr. 910/2014 definiert drei Stufen der elektronischen Signatur, jede mit zunehmender Beweiskraft:

• SES (Einfache elektronische Signatur): schwache Beweiskraft, geeignet für Dokumente mit niedrigem Risiko (Empfangsbestätigungen, interne Formulare)

• AES (Fortgeschrittene elektronische Signatur): eindeutig an den Unterzeichner gebunden, mit Daten unter seiner ausschließlichen Kontrolle erstellt. Geeignet für die meisten häufigen HR-Dokumente.

• QES (Qualifizierte elektronische Signatur): höchstes Niveau, gleichwertig zur handschriftlichen Signatur nach Art. 25 Abs. 2 eIDAS. Erfordert verstärkte Identitätsprüfung (persönlich oder Video-Identifikation).

Welches Niveau für welche HR-Dokumente?

Die empfohlene Kartierung 2026, unter Berücksichtigung von Positionen französischer Rechtsprechung und sektoraler Empfehlungen:

| HR-Dokument | Empfohlenes Niveau | Begründung | |---|---|---| | Arbeitsvertrag unbefristet/befristet | AES mindestens, QES empfohlen | Starke Vertragswertigkeit, Arbeitsgerichtsrisiko | | Vertragsänderung | AES mindestens, QES empfohlen | Gleiche Logik wie Hauptvertrag | | Probezeit (Verlängerung) | AES | Kurze Frist, begrenzte Förmlichkeit | | Telearbeit-Charta / BYOD | SES oder AES | Tarifvertrag oder Geschäftsordnung | | Pauschale-Tage-Vereinbarung | QES dringend empfohlen | Anspruchsvolle Arbeitsrechtsprechung | | Beendigung auf gegenseitige Vereinbarung | QES erforderlich | Genehmigtes Cerfa-Formular, hohes Risiko | | Zeugnis für Arbeitslosigkeit | AES oder QES | Freigabeeffekt, Art. L. 1234-20 Arbeitsgesetzbuch |

Für Dokumente mit hohem Prozessrisiko (Pauschale-Tage-Vereinbarung, gegenseitige Beendigung) ist die QES de facto erforderlich, um Durchsetzbarkeit vor Arbeitsgerichten zu gewährleisten. Der Kassationshof hat seine Anforderungen an den Nachweis der Mitarbeiterzustimmung schrittweise verschärft.

Aufbewahrung, Archivierung und Rechte von Personen: zu vermeidende Fallstricke

Gesetzliche Aufbewahrungsfristen für elektronisch unterzeichnete HR-Dokumente

Die Aufbewahrung elektronisch unterzeichneter HR-Dokumente unterliegt zwingende gesetzlichen Fristen. Diese Fristen gehen dem Recht auf Löschung der DSGVO vor (Art. 17 Abs. 3 Buchstabe b):

• Arbeitsvertrag: 5 Jahre nach Vertragsende (arbeitsgerichtliche Verjährung, Art. L. 1471-1 Arbeitsgesetzbuch)

• Gehaltsabrechnung: 5 Jahre (Lohnverjährung), aber Aufbewahrung bis zur Rentenliquidation des Mitarbeiters empfohlen

• Dokumente zu Arbeitsunfällen: 30 Jahre (lange Prozessrisiken)

• Berufsbildung (Pläne, Nachweise): 3 Jahre

• Personalregister: 5 Jahre nach Vertragsende

Die Langzeitarchivierung elektronischer Signaturen mit Beweiskraft muss den Anforderungen des Standards NF Z 42-013 und idealerweise dem Standard ETSI EN 319 162 (Langzeitarchivierung elektronischer Signaturen) entsprechen. Eine bloße Serverspeicherung reicht nicht aus: Die Integrität, Lesbarkeit und qualifizierte Zeitstempelung der Dokumente über die gesamte Aufbewahrungsfrist muss garantiert sein.

Mitarbeitertrechte wahrnehmen ohne Beweiskraft zu kompromittieren

Ein Mitarbeiter kann legitim sein Zugriffsrecht (Art. 15 DSGVO) ausüben, um eine Kopie seiner Signaturaten zu erhalten. Er kann auch die Berichtigung ungenauer Daten anfordern.

Andererseits kann das Recht auf Löschung (Art. 17 DSGVO) nicht auf HR-Dokumente geltend gemacht werden, die Aufbewahrungspflichten unterliegen. Der Arbeitgeber muss in der Lage sein, diese Ablehnung eindeutig zu erklären, unter Berufung auf die anwendbare Rechtsgrundlage. Die Dokumentation dieser Austausche im Register von Rechtenanfragen ist eine von der CNIL empfohlene bewährte Praxis.

Die Datenportabilität (Art. 20 DSGVO) gilt für vom Mitarbeiter bereitgestellte Daten auf Grundlage von Zustimmung oder Vertragserfüllung. Praktisch kann ein Mitarbeiter seine Signaturdaten in strukturierter Form anfordern – eine Anforderung, die bei der Wahl der Signaturlösung zu antizipieren ist.

Technische und organisatorische Sicherheit: unerlässliche Maßnahmen

Technische Anforderungen der Signaturplattform

Gemäß Artikel 32 der DSGVO müssen Sicherheitsmaßnahmen risikoangemessen sein. Für eine elektronische Signaturlösung im HR bedeutet dies namentlich:

• Verschlüsselung von Daten in Transit (TLS 1.3 mindestens) und im Ruhezustand (AES-256)

• Multifaktor-Authentifizierung (MFA) für den Plattformzugriff

• Audit-Logs zeitgestempelt und verfälschungssicher, die jede Aktion am Dokument nachvollziehen

• Hosting in der EU (oder EWR) zur Vermeidung von Übertragungen außerhalb des EWR ohne angemessene Garantien (Angemessenheitsbeschluss oder Standardvertragsklauseln)

• Jährliche Penetrationstests und ISO 27001-Zertifizierung des Anbieters

• Notfallplan zur Garantierung der Serviceverfügbarkeit und Archivwiederherstellung bei Vorfällen

Datenschutz-Folgenabschätzung (DSFA): wann ist sie erforderlich?

Artikel 35 der DSGVO schreibt eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn die Verarbeitung ein hohes Risiko bergen könnte. Die CNIL hat eine Liste von Verarbeitungstypen veröffentlicht, die eine DSFA erfordern: Die Verarbeitung in großem Umfang von Daten zum beruflichen Leben ist dort aufgeführt.

Konkret wird eine DSFA (und kann für große Unternehmen sogar erforderlich sein) bei Rollout einer elektronischen Signaturlösung im HR für alle Mitarbeiter empfohlen. Sie muss Risiken identifizieren (Vertrauensbruch, Identitätsdiebstahl, Dokumentänderung), ihre Schwere und Wahrscheinlichkeit evaluieren und Minderungsmaßnahmen vorschlagen. Diese Analyse muss dokumentiert und bei Verarbeitungsänderungen überprüft werden.

Anwendbarer Rechtsrahmen für elektronische HR-Signaturen und DSGVO

Grundlegende europäische Texte

eIDAS-Verordnung Nr. 910/2014 (und ihre noch im Rollout befindliche eIDAS 2.0-Überarbeitung): dieser Text definiert die drei Stufen der elektronischen Signatur (SES, AES, QES) und ihren Rechtswert in allen Mitgliedstaaten. Artikel 25 regelt, dass QES eine handschriftlichen Signatur gleichwertige Rechtswirkung hat. Artikel 26 enthält die technischen Anforderungen der fortgeschrittenen Signatur. Qualifizierte Vertrauensdiensteanbieter sind in nationalen Vertrauenslisten eingetragen (in Frankreich von der ANSSI verwaltet).

DSGVO Nr. 2016/679: seit 25. Mai 2018 anwendbar, diese Verordnung regelt jede Verarbeitung persönlicher Daten in der EU. Die Artikel 5 (Grundsätze), 6 (Rechtsgrundlagen), 13-14 (Information), 28 (Auftragsverarbeiter), 30 (Register), 32 (Sicherheit), 35 (DSFA) und 37-39 (Datenschutzbeauftragter) sind unmittelbar relevant für elektronische HR-Signaturen.

Anwendbares französisches Recht

Zivilgesetzbuch, Artikel 1366-1367: Artikel 1366 legt das Prinzip funktioneller Gleichwertigkeit zwischen elektronischem und papierernem Text fest. Artikel 1367 erkennt elektronische Signatur als Beweisform an, unter der Bedingung, dass sie ein zuverlässiges Identifikationsverfahren ist, das den Bezug zur Urkunde gewährleistet. Die Zuverlässigkeit ist für QES vermutet, kann aber für AES nachgewiesen werden.

Arbeitsgesetzbuch: Artikel L. 1221-1 schreibt keine besondere Form für den Arbeitsvertrag vor (außer Ausnahmen: befristeter Vertrag Art. L. 1242-12, Ausbildungsvertrag usw.). Das Macron-Gesetz von 2015 (Gesetz Nr. 2015-990) hat den Weg für die elektronische Gehaltsabrechnung eröffnet. Artikel L. 3243-2 regelt seine Modalitäten.

Informatik- und Freiheitsgesetz (Loi Informatique et Libertés) (Gesetz Nr. 78-17 vom 6. Januar 1978): französische Umsetzung der DSGVO, erteilt der CNIL ihre Ermittlungs- und Sanktionsbefugnisse. Bußgelder können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes für schwerste Verstöße erreichen.

Anwendbare technische Normen

• ETSI EN 319 132: Format für fortgeschrittene elektronische Signatur XAdES, anwendbar auf XML-Dokumente

• ETSI EN 319 122: CAdES-Format für elektronische Signaturen von CMS-Dokumenten

• ETSI EN 319 162: Langzeitarchivierung elektronischer Signaturen (ASiC)

• NF Z 42-013 (AFNOR): funktionale Spezifikationen eines beweiskräftigen elektronischen Archivierungssystems

• ISO/IEC 27001: Management der Informationssicherheit, von Anbietern erwarteter Zertifizierungsstandard

Rechtliche Risiken bei Nichtkonformität

Das Risiko-Kumulationsrisiko ist signifikant: Ein mit unzureichendem Signaturzertifizierungsniveau unterzeichneter Arbeitsvertrag kann vor dem Arbeitsgericht angefochten werden, was die Umqualifizierung oder Nichtigkeit des Vertrags riskiert. Auf DSGVO-Seite kann die fehlende DPA mit dem Anbieter, die Unterlassung von Mitarbeterinformation oder Hosting außerhalb der EU ohne angemessene Garantien zu einer CNIL-Verwarnung oder sogar einer öffentlichen Bußgeldverhängung führen.

Nutzungsszenarien: DSGVO-konforme elektronische HR-Signatur

Szenario 1: ein mittelständisches Industrieunternehmen mit 600 Mitarbeitern digitalisiert seine Arbeitsverträge

Ein mittelständisches Industrieunternehmen mit vier Standorten in Frankreich bearbeitete jährlich etwa 180 unbefristete/befristete Einstellungen, was etwa so viele Papierdossiers generierte, die gedruckt, im zweifach ausgefertigt unterzeichnet, gescannt und archiviert werden mussten. Die Verzögerung zwischen Einstellungszusage und effektiver Vertragsunterzeichnung betrug durchschnittlich 8 Arbeitstage.

Nach dem Rollout einer integrierten elektronischen Signaturlösung (AES) in sein Personalinformationssystem, mit einem mit dem Anbieter unterzeichnetem konforme DPA und dokumentierter DSFA, reduzierte das Unternehmen diese Frist auf weniger als 24 Stunden. Der Satz unvollständiger Dossiers sank um 34 % (Quellen: ANDRH-Branchenbenchmarks 2024). Das Hosting der Daten in Frankreich wurde als Vertragswahrungskriterium beibehalten und eliminierte jedes Übertragungsrisiko außerhalb des EWR. Mitarbeiter werden über die Behandlung durch einen in den Signaturprozess integrierten Informationsbereich informiert und garantieren Konformität mit Artikel 13 der DSGVO.

Szenario 2: ein Einzelhandelsfranchisenetzwerk setzt QES-Signatur für Pauschale-Tage-Vereinbarungen ein

Ein auf Einzelhandel spezialisiertes Vertriebsnetzwerk mit etwa sechzig Verkaufsstellen und hundert Führungskräften im Pauschale-Tage-System sah sich mit einem von seinen Juristen identifizierten Arbeitsgerichtsrisiko konfrontiert: Mehrere Pauschale-Tage-Vereinbarungen konnten nur durch minderwertige Papierausdrucke nachgewiesen werden. Der Kassationshof hat seine Beweisanforderungen für diesen Vereinbarungstyp verschärft, und das Prozessrisiko wurde auf mehrere hundert tausend Euro geschätzt.

Das Netzwerk setzte eine qualifizierte Signaturlösung (QES) für alle neuen Vereinbarungen ein und bot bestehenden Führungskräften an, ihre existierenden Vereinbarungen erneut zu unterzeichnen. Die Identitätsprüfung per Video-Identifikation wurde gewählt. Das Verzeichnis der Verarbeitungstätigkeiten wurde aktualisiert, und ein externer Datenschutzbeauftragter validierte die DSGVO-Konformität des Prozesses. Innerhalb von 6 Monaten war der gesamte Pauschalvereinbarungsbestand gesichert. Die Projektkosten (ca. 15 bis 25 € pro QES-Signatur je nach Marktanbietern) wurden als erheblich niedriger als das gedeckte Prozessrisiko eingeschätzt.

Szenario 3: eine Gebietskörperschaft digitalisiert Änderungen und Telearbeit-Charten

Eine Gebietskörperschaft mit etwa 1 200 ständigen Bediensteten wollte die Verwaltung ihrer Telearbeitsänderungen nach dem Nationalen Rahmen-Tarifvertrag von 2021 zu Telearbeit in der öffentlichen Verwaltung digitalisieren. Die zu bearbeitende Menge betrug etwa 400 Dokumente jährlich mit spezifischen Beschränkungen: Die Bediensteten sind öffentliche Personen, deren Daten einer besonders geregelten Verarbeitung unterliegen.

Die Gebietskörperschaft wählte fortgeschrittene Signaturen (AES), mit souveränem Hosting bei einem von der ANSSI als SecNumCloud qualifizierten Anbieter. Die DSFA wurde dem Datenschutzbeauftragten der Gebietskörperschaft vor dem Rollout vorgelegt. Die Bediensteten wurden über eine im Intranet veröffentlichte Dienstmitteilung und einen Informationsbereich im digitalen Prozess informiert. Der HR-Bereich schätzte einen Gewinn von 3 ETP-Tagen pro Monat bei der administrativen Verwaltung von Änderungen, entsprechend einer jährlichen Einsparung von etwa 35.000 € an direkten Kosten, konsistent mit von der Beobachtungsstelle der digitalen Transformation von Gebietskörperschaften veröffentlichten Spannweiten (2025).

Fazit

Die DSGVO-Konformität elektronischer Signaturen für HR-Dokumente ist keine Option: Sie bedingt sowohl die Rechtswertigkeit Ihrer Akte als auch den Schutz der Rechte Ihrer Mitarbeiter. 2026 setzen sich Unternehmen, die ihr Verzeichnis von Verarbeitungstätigkeiten noch nicht aktualisiert, einen DPA mit ihrem Anbieter noch nicht unterzeichnet und das Signaturzertifizierungsniveau noch nicht an jeden Dokumenttyp angepasst haben, einem doppelten Risiko aus – arbeitsgerichtlich und administrativ – dessen Finanzfolgen erheblich sein können.

Die gute Nachricht: Eine gut gewählte und konfigurierte Lösung ermöglicht es, operative Fluidität, eIDAS-Konformität und DSGVO-Einhaltung ohne Reibung für HR-Teams und Mitarbeiter zu vereinbaren.

Certyneo begleitet Sie auf diesem Weg: eIDAS-konforme Plattform, verfügbarer DPA, europäisches Hosting und Signaturprozesse mit HR im Blick. Entdecken Sie unsere spezialisierte HR-Lösung oder berechnen Sie die Kapitalrendite Ihres Umstiegs auf vollständige Digitalisierung in wenigen Klicks.