Elektronische Signatur und DSGVO: Leitfaden für DPOs

Welche personenbezogenen Daten verarbeitet eine Signaturbeschaffungslösung?

Eine Plattform für elektronische Signaturen verarbeitet mehrere Kategorien personenbezogener Daten.

• Identität des Unterzeichners: Name, Vorname, E-Mail, Telefonnummer
• Inhalt der Dokumente: möglicherweise sensible personenbezogene Daten (Arbeitsverträge, Gesundheitsdaten, Finanzdaten)
• Audit-Trail-Daten: IP-Adresse, Zeitstempel, User-Agent
• Verhaltensdaten: Handschriftsignaturspur auf Tablet (bei biometrischem QES)

Hosting und Transfers außerhalb der EU

Die DSGVO schreibt vor, dass personenbezogene Daten nur in Länder transferiert werden dürfen, die ein angemessenes Schutzniveau bieten, oder unter angemessenen Garantien (SCCs, BCRs). Bei Signaturbeschaffungslösungen bedeutet dies:

• EU-Hosting → nativer Transfer, keine zusätzlichen Formalitäten erforderlich
• US-Hosting mit SCCs → möglich, aber verbleibendes Cloud-Act-Risiko
• US-Unternehmen (Cloud Act) → nicht behebbares Risiko selbst bei EU-Hosting

Amerikanischer Cloud Act und elektronische Signatur

Der Cloud Act (2018) ermöglicht es amerikanischen Behörden, auf von Unternehmen amerikanischen Rechts gehostete Daten zuzugreifen, selbst wenn diese in Europa gespeichert sind. DocuSign, Adobe Sign und Dropbox Sign sind amerikanische Unternehmen, die dem Cloud Act unterliegen. Certyneo ist ein französisches Unternehmen und unterliegt nicht dieser Extraterritorialität.

Empfehlungen für DPOs

1. 1Wählen Sie einen Anbieter, dessen juristische Person in der EU oder dem Vereinigten Königreich ansässig ist (Post-Brexit mit Angemessenheitsbeschluss)
2. 2Stellen Sie sicher, dass das Hosting ausschließlich in der EU erfolgt, ohne Replikation auf Servern außerhalb der EU
3. 3Erhalten und unterzeichnen Sie ein DPA, das Artikel 28 der DSGVO entspricht
4. 4Dokumentieren Sie die Datenschutz-Folgenabschätzung (DPIA), wenn Sie sensible Daten in Ihren Dokumenten verarbeiten
5. 5Überprüfen Sie die Aufbewahrungsdauer der Daten und die Löschrichtlinie am Ende des Vertrags

DSGVO-Fragen zur elektronischen Signatur

Ist mit einer elektronischen Signatur eine Verarbeitung personenbezogener Daten verbunden?

Ja. Die E-Mail, der Name und möglicherweise die Telefonnummer des Unterzeichners werden erfasst. Der Inhalt der Dokumente kann auch personenbezogene Daten enthalten. Der Anbieter der elektronischen Signatur ist ein Auftragsverarbeiter im Sinne der DSGVO und unterliegt den Verpflichtungen aus Artikel 28.

Ist DocuSign DSGVO-konform?

DocuSign behauptet, DSGVO-konform zu sein und bietet SCCs an. Da DocuSign jedoch ein amerikanisches Unternehmen ist, unterliegt es dem Cloud Act. Die CNIL hat darauf hingewiesen, dass der Cloud Act ein nicht hebbares Risiko für europäische Daten darstellt, die von US-Unternehmen gehostet werden, selbst in der EU.

Ist Certyneo DSGVO-konform?

Ja. Certyneo ist ein französisches Unternehmen mit Sitz in der EU (IONOS Deutschland) und unterliegt nicht dem Cloud Act. Die Daten sind während der Übertragung (TLS 1.3) und im Ruhezustand verschlüsselt. Certyneo bietet ein DPA, das Artikel 28 der DSGVO entspricht.

Ist eine DPIA für die Verwendung einer Signaturbeschaffungslösung erforderlich?

Eine DPIA ist nicht systematisch für die Standard-Elektronische-Signatur erforderlich. Sie ist erforderlich, wenn Sie Dokumente mit sensiblen Daten unterzeichnen (Gesundheit, HR mit Gewerkschaftsdaten usw.) oder wenn Ihre Nutzung der Signatur Profilbildung oder Überwachung in großem Maßstab mit sich bringt.