meetergo

Elektronische Signatur und DSGVO: was zu beachten ist

|8 Min. Lesezeit
Dominik Rapacki
Dominik Rapacki
Dominik Rapacki ist CEO und Gründer von meetergo.com und treibt Innovationen im DSGVO-konformen Terminmanagement voran. Als Experte für SaaS, Vertrieb und Digitalisierung ist er regelmäßig in Podcasts zu Gast.

Das Wichtigste in Kürze:

  • Die zentrale Datenschutzfrage ist der Serverstandort. Wer Signaturdaten bei einem US-Anbieter speichert, setzt sie potenziell dem Zugriff US-amerikanischer Behörden aus, trotz aller Vertragsklauseln.
  • Eine elektronische Signatur verarbeitet personenbezogene Daten: E-Mail, Name, IP-Adresse, Zeitstempel und den Dokumentinhalt. Diese Verarbeitung braucht eine Rechtsgrundlage.
  • Du brauchst einen Auftragsverarbeitungsvertrag (AVV) mit deinem Signaturdienstleister, sonst ist die Nutzung selbst ein DSGVO-Verstoß.
  • DSGVO-Konformität ist Architektursache, keine Checkbox. EU-Server, ein belastbarer AVV und Datenminimierung entscheiden, nicht das Logo "DSGVO-ready".

Die wichtigste Datenschutzfrage beim elektronischen Signieren ist nicht, ob du es darfst, sondern wo die Unterschriftsdaten landen. Eine elektronische Signatur ist nach der DSGVO problemlos zulässig, doch genau an der Speicherung scheitern viele bekannte Tools: Sie legen die Daten auf US-Servern ab und setzen sie damit dem Zugriff US-amerikanischer Behörden aus. Dieser Beitrag zeigt, welche Daten beim Signieren anfallen, welche Pflichten daraus folgen und woran du einen wirklich DSGVO-konformen Dienst erkennst.

Welche Daten eine elektronische Signatur verarbeitet

Beim elektronischen Unterschreiben fällt mehr an als nur ein Bild der Unterschrift. Unabhängig davon, welche Signaturstufe der eIDAS-Verordnung du nutzt, verarbeitet eine Signaturlösung typischerweise:

  • Identifizierende Daten: Name und E-Mail-Adresse des Unterzeichners.
  • Technische Metadaten: IP-Adresse, Zeitstempel, verwendetes Gerät und der Browser.
  • Den Dokumentinhalt: oft mit personenbezogenen Daten Dritter, etwa in Verträgen oder Einwilligungen.
  • Verifizierungsdaten: bei einer fortgeschrittenen Signatur etwa den Nachweis, dass eine E-Mail per Einmalcode bestätigt wurde.

Jeder dieser Punkte ist ein personenbezogenes Datum im Sinne der DSGVO. Die Verarbeitung ist damit erlaubnispflichtig, sie braucht eine Rechtsgrundlage und unterliegt den üblichen Betroffenenrechten.

Auf welcher Rechtsgrundlage du signieren lässt

Für die meisten Signaturvorgänge liefert Artikel 6 Absatz 1 lit. b DSGVO die Grundlage: die Verarbeitung zur Erfüllung eines Vertrags. Wer einen Beratungsvertrag oder ein SEPA-Mandat elektronisch unterschreiben lässt, verarbeitet die Daten für die Vertragsabwicklung und braucht keine gesonderte Einwilligung.

Vorsicht ist geboten, wenn das Dokument besondere Kategorien personenbezogener Daten enthält, etwa Gesundheitsdaten bei einer Patienteneinwilligung. Dann greift zusätzlich Artikel 9 DSGVO, und du brauchst eine passende Ausnahme, in der Regel die ausdrückliche Einwilligung. Für Beschäftigtendaten ergänzt in Deutschland § 26 BDSG die Vorgaben.

DSGVO in der Praxis: ein Beispiel

Eine Physiotherapiepraxis lässt neue Patienten vor dem ersten Termin eine Einwilligung zur Datenverarbeitung und einen Behandlungsvertrag elektronisch unterschreiben. Hier treffen mehrere Anforderungen zusammen: Die Einwilligung enthält Gesundheitsdaten nach Artikel 9, die Verarbeitung stützt sich teils auf Einwilligung, teils auf Vertragserfüllung, und die signierten Dokumente unterliegen ärztlichen Aufbewahrungsfristen.

Mit einem EU-gehosteten Dienst und einem AVV ist das sauber lösbar. Die Daten bleiben in Frankfurt, die Einwilligung ist dokumentiert, und die Löschfristen lassen sich an die gesetzlichen Vorgaben koppeln. Mit einem US-Tool ohne AVV wäre schon der erste Schritt ein Datenschutzverstoß, ausgerechnet bei besonders sensiblen Daten.

Der eigentliche Knackpunkt: Wo liegen die Daten?

Hier entscheidet sich DSGVO-Konformität. Speichert dein Signaturanbieter die Daten auf Servern in den USA oder gehört er zu einem US-Konzern, unterliegt er potenziell dem US CLOUD Act. US-Behörden können dann Zugriff verlangen, unabhängig davon, wo der Server physisch steht. Genau diese Konstellation hat der Europäische Gerichtshof im Schrems-II-Urteil als Problem benannt.

Vertragsklauseln wie Standardvertragsklauseln mildern das Risiko, lösen es aber nicht vollständig. Der Europäische Datenschutzausschuss verlangt in seinen Empfehlungen zu ergänzenden Maßnahmen zusätzliche Schutzvorkehrungen, sobald Daten in Drittstaaten fließen. Das ist Aufwand, den ein EU-Anbieter dir komplett erspart. Die saubere Lösung ist struktureller Natur: ein Anbieter mit Servern in der EU und ohne US-Mutterkonzern, dessen Daten unter EU-Recht bleiben. Welche Datenschutzgesetze hier konkret greifen, fasst die Übersicht zu Datenschutzgesetzen zusammen. Diese Frage gehört vor die Tool-Auswahl, nicht danach: Ein Anbieterwechsel ist mühsam, wenn bereits hunderte signierte Dokumente bei einem US-Dienst liegen.

Auftragsverarbeitung: ohne AVV kein DSGVO-konformer Einsatz

Sobald ein externer Dienstleister Signaturdaten in deinem Auftrag verarbeitet, ist er Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Das heißt: Du brauchst einen Auftragsverarbeitungsvertrag (AVV), bevor du das Tool produktiv nutzt. Fehlt dieser, ist allein die Nutzung ein Verstoß, selbst wenn technisch alles sauber läuft.

Ein guter AVV regelt unter anderem, welche Daten verarbeitet werden, wo sie liegen, welche Subunternehmer beteiligt sind und wie gelöscht wird. Wie ein solcher Vertrag bei einer Terminbuchungslösung aussieht und worauf du achten solltest, erklärt der Beitrag zur Auftragsverarbeitung (AVV) im Detail.

Datenminimierung und Speicherbegrenzung

Artikel 5 DSGVO verlangt, nur so viele Daten zu verarbeiten wie nötig und sie nicht länger zu speichern als erforderlich. Für die elektronische Signatur heißt das zweierlei. Erstens: Erhebe keine Daten, die du für den Nachweis nicht brauchst. Zweitens: Lege eine Löschfrist für signierte Dokumente fest, die sich an gesetzlichen Aufbewahrungspflichten orientiert, statt alles unbegrenzt zu speichern.

Ein verlässlicher Audit-Trail steht dazu nicht im Widerspruch. Er dokumentiert genau die Daten, die den Nachweis tragen, und nicht mehr. Sinnvoll ist, Signaturprozesse von Anfang an datensparsam aufzusetzen, ähnlich wie bei DSGVO-konformen Online-Kalendern. Konkret heißt das, optionale Felder wegzulassen und die Aufbewahrung zu automatisieren, statt Dokumente von Hand zu verwalten.

DSGVO-Checkliste fürs elektronische Signieren

Bevor du eine Signaturlösung einführst, lohnt ein kurzer Abgleich:

  • Serverstandort: Liegen die Daten in der EU, ohne US-Konzernbindung?
  • AVV vorhanden: Bietet der Anbieter einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO?
  • Rechtsgrundlage geklärt: Ist die Verarbeitung durch Vertragserfüllung oder Einwilligung gedeckt?
  • Datenminimierung: Werden nur die nötigen Daten erhoben und Löschfristen eingehalten?
  • Transparenz: Werden Unterzeichner über die Verarbeitung informiert?

Sind alle Punkte erfüllt, steht dem DSGVO-konformen Signieren nichts im Weg. Hakt es schon beim Serverstandort, helfen auch die übrigen Punkte nicht.

Betroffenenrechte beim elektronischen Signieren

Wer elektronisch unterschreibt, behält die vollen Rechte aus der DSGVO an seinen Daten. Für dich als Verantwortlichen heißt das, du musst diese Anfragen bedienen können:

  • Auskunft (Artikel 15): Der Unterzeichner kann erfahren, welche Daten du zum Signaturvorgang gespeichert hast.
  • Berichtigung und Löschung (Artikel 16 und 17): Falsche Daten sind zu korrigieren, nicht mehr benötigte zu löschen, soweit keine Aufbewahrungspflicht entgegensteht.
  • Datenübertragbarkeit (Artikel 20): Auf Wunsch sind die Daten in einem gängigen Format herauszugeben.

Ein Signaturdienst mit klarem Datenmodell und direktem Zugriff auf die gespeicherten Vorgänge macht das zur Routine. Liegen die Daten verstreut bei einem Anbieter ohne EU-Bezug, wird schon die einfache Auskunft zur Geduldsprobe.

Häufige DSGVO-Fehler beim Signieren

In der Praxis tauchen immer wieder dieselben Fehler auf:

  • Tool ohne AVV einsetzen. Der Klassiker. Ohne Auftragsverarbeitungsvertrag ist selbst das beste Tool ein Verstoß.
  • US-Anbieter ungeprüft übernehmen. Ein bekanntes Logo ersetzt keine Prüfung des Serverstandorts. Die gehört vor die Einführung, nicht danach.
  • Alles unbegrenzt speichern. Signierte Dokumente brauchen eine Löschfrist, sonst kollidiert die Sammelwut mit der Speicherbegrenzung.
  • Unterzeichner nicht informieren. Die Verarbeitung gehört transparent in die Datenschutzerklärung.

Wer von Anfang an einen EU-Anbieter mit AVV wählt und datensparsam arbeitet, umgeht die meisten dieser Fallen automatisch.

meetergo: signieren mit Daten unter EU-Recht

meetergo wurde für genau dieses Datenschutzproblem gebaut. Die elektronische Signatur läuft als fortgeschrittene Signatur direkt im Buchungs- und Vertragsablauf, und alle Signaturdaten sowie die signierten PDFs werden auf EU-Servern in Frankfurt gespeichert. Das Unternehmen hat keinen US-Mutterkonzern, deine Daten bleiben unter EU-Recht.

Datenschutzseitig heißt das konkret: Die Verarbeitung stützt sich auf die Vertragserfüllung, ein AVV liegt vor, und der Audit-Trail erfasst nur die Daten, die den Nachweis tragen, also verifizierte E-Mail, Zeitstempel, IP und Dokument-Hash. Weil die Signatur Teil des Buchungsablaufs ist, entsteht keine zweite Datenkopie bei einem Fremdanbieter, die Daten bleiben im selben EU-System wie deine Termine. Für Branchen mit sensiblen Daten wie das Gesundheitswesen ist die EU-Datenhaltung kein Detail, sondern die Voraussetzung. Die rechtlichen Rahmenbedingungen erläutert die Datenschutzseite.

Die ehrliche Einordnung: meetergo bietet eine fortgeschrittene Signatur, keine QES. Am Datenschutz ändert das nichts, denn die DSGVO-Anforderungen gelten für jede Signaturstufe gleichermaßen.

Server in Frankfurt

Elektronisch signieren, ohne Daten in die USA zu geben.

Server in FrankfurtAVV inklusivekein US-Mutterkonzern
Ersten Vertrag versenden

Häufige Fragen

Ist eine elektronische Signatur DSGVO-konform?

Sie kann es sein. Entscheidend sind der Serverstandort, ein gültiger AVV, eine saubere Rechtsgrundlage und Datenminimierung. Die Signaturstufe selbst sagt über die DSGVO-Konformität nichts aus.

Brauche ich einen AVV mit dem Signaturanbieter?

Ja. Verarbeitet ein Dienstleister Signaturdaten in deinem Auftrag, ist er Auftragsverarbeiter nach Artikel 28 DSGVO. Ohne AVV ist die Nutzung ein Verstoß.

Warum sind US-Signaturtools ein Datenschutzrisiko?

Anbieter mit US-Konzernbindung unterliegen potenziell dem CLOUD Act, der US-Behörden Zugriff auf Daten ermöglichen kann. Das hat der Europäische Gerichtshof im Schrems-II-Urteil als Problem für EU-Daten benannt.

Welche Rechtsgrundlage gilt beim Signieren?

In der Regel die Vertragserfüllung nach Artikel 6 Absatz 1 lit. b DSGVO. Enthält das Dokument Gesundheitsdaten oder andere besondere Kategorien, kommt Artikel 9 hinzu.

Wie lange darf ich signierte Dokumente speichern?

So lange, wie es gesetzliche Aufbewahrungspflichten verlangen oder die Vertragsabwicklung erfordert. Danach greift die Speicherbegrenzung aus Artikel 5 DSGVO, die Dokumente sind zu löschen.

Reichen Standardvertragsklauseln mit einem US-Anbieter aus?

Sie sind ein Baustein, nach dem Schrems-II-Urteil aber oft nicht genug. Der Europäische Datenschutzausschuss verlangt zusätzliche Schutzmaßnahmen bei Drittlandtransfers. Ein EU-Anbieter ohne US-Bezug umgeht das Problem von vornherein.

Ähnliche Artikel

Weiterlesen zu diesem Thema

Smarte Buchungsseiten

Terminplanung, die nicht nach 'Standard' aussieht.

Schließe dich 40.000+ Profis an, die auf deutsche Server und eigenes Branding setzen.

100% DSGVO-konform & Hosted in Frankfurt
Integrierte Videokonferenz (ohne Downloads)
In 30 Sekunden startklar

Keine Kreditkarte nötig. Jederzeit kündbar.