dsgvodatenschutzauftragsverarbeitungavvsignatur

DSGVO und elektronische Signatur: Auftragsverarbeitung, PII-Verschlüsselung, Löschpflichten

Von VertragLotse Redaktion

Sobald Sie einen Sign-Link an einen Empfänger schicken, verarbeitet die Plattform personenbezogene Daten im Sinne der DSGVO: Name, E-Mail, IP-Adresse, Gerät, ggf. handschriftliches Bildnis (die gezeichnete Unterschrift). Das ist nicht trivial — der falsche Umgang damit kann teuer werden. Hier die wichtigsten Aspekte für die Praxis.

Drei Rollen, die Sie auseinanderhalten müssen

In jedem E-Signatur-Vorgang gibt es drei DSGVO-Rollen:

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO) — das sind Sie als versendender Unternehmer oder Privatperson. Sie entscheiden, welche Daten verarbeitet werden und warum.
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) — das ist der E-Signatur-Anbieter (z.B. VertragLotse), der die Daten in Ihrem Auftrag technisch verarbeitet.
  • Betroffene Person (Art. 4 Nr. 1 DSGVO) — der Empfänger des Sign-Links.
Konsequenz: Sie brauchen mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AVV ist die Datenverarbeitung rechtswidrig — auch wenn der Anbieter technisch alles richtig macht.

VertragLotse stellt den AVV automatisch bereit: Bei Konto-Erstellung erhalten Sie ihn per E-Mail, im Dashboard unter Konto → Recht können Sie ihn jederzeit erneut herunterladen.

Welche Daten werden verarbeitet?

Pro Signatur-Anfrage erhebt der Anbieter mindestens:

DatumZweckLöschfrist
Name des SignersAnrede im Sign-Link, Audit-PDFMit Löschung des Signatur-Vorgangs
E-Mail des SignersVersand des Sign-Links, Erinnerungen, KopieMit Löschung des Vorgangs
IP-Adresse (gehasht)Audit-Trail, ForensikMit Löschung des Vorgangs
User-Agent (gehasht)Audit-TrailMit Löschung des Vorgangs
Signatur-Bild (PNG)Einbettung ins PDFMit Löschung des Vorgangs
Zeitstempel der EreignisseAudit-TrailMit Löschung des Vorgangs
MFA-Code (kurzfristig)2-Faktor-Auth10 Minuten

Bei VertragLotse werden Name und E-Mail in der Datenbank verschlüsselt gespeichert (AES-256-GCM, Application-Level-Encryption). Die IP wird nie im Klartext gespeichert — sondern als SHA-256-Hash. Das ist mehr als die DSGVO verlangt, aber Best Practice für rechtssichere Audits.

Die Pflichten als Verantwortlicher

Sie als versendender Unternehmer haben mindestens folgende DSGVO-Pflichten zu erfüllen:

1. Informationspflicht (Art. 13 DSGVO)

Sie müssen den Empfänger informieren, dass seine Daten verarbeitet werden, welche Daten, zu welchem Zweck, wie lange. Praktisch: In der Sign-Einladung oder in Ihrer Datenschutz-Erklärung muss ein Hinweis auf den E-Signatur-Anbieter stehen.

Mustertext (passt auf 2 Sätze):

> „Zum Abschluss dieses Vertrags nutzen wir den Online-Dienst VertragLotse (Steffen Och, Deutschland). Dabei werden Ihr Name, Ihre E-Mail-Adresse und Ihre IP-Adresse übermittelt und im Audit-Trail dokumentiert. Details unter vertraglotse.de/datenschutz."

2. Rechtsgrundlage (Art. 6 DSGVO)

Bei einem Vertragsschluss ist die Rechtsgrundlage in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Das heißt: Sie brauchen keine zusätzliche Einwilligung des Empfängers, weil die Datenverarbeitung zur Durchführung des Vertrags notwendig ist.

Anders sieht es aus, wenn Sie Marketing-Mails über dieselbe Plattform versenden wollen — dafür brauchen Sie eine explizite Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Bei VertragLotse trennen wir das sauber: das Sign-System schickt nur transaktionale Mails (Einladung, Erinnerung, Bestätigung), nie Marketing.

3. Löschpflicht (Art. 17 DSGVO)

Wenn der Empfänger sein Recht auf Löschung geltend macht, müssen Sie als Verantwortlicher den Anbieter anweisen, die Daten zu löschen. Bei VertragLotse können Sie das im Dashboard unter Signaturen → [Anfrage] → Löschen auslösen — das soft-deleted die Anfrage und nach 30 Tagen erfolgt der Hard-Delete mit Löschung in MinIO.

Achtung: Die DSGVO-Löschpflicht endet an gesetzlichen Aufbewahrungspflichten. Wenn der signierte Vertrag z.B. ein Lieferantenvertrag mit handelsrechtlicher Aufbewahrung von 6 Jahren ist, müssen Sie ihn 6 Jahre aufheben — die Löschung darf erst danach erfolgen. Die DSGVO ist nicht größer als das HGB.

4. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Auf Anfrage müssen Sie dem Empfänger seine Daten in einem strukturierten, maschinenlesbaren Format zur Verfügung stellen. VertragLotse-User können das über den GDPR-Export im Dashboard auslösen — ein ZIP mit JSON + Original-Dateien aller Signaturen. Empfänger ohne Konto erhalten auf Anfrage eine Kopie ihres Audit-PDFs per Mail.

5. Meldepflicht bei Datenschutz-Vorfällen (Art. 33/34 DSGVO)

Wenn beim Anbieter eine Datenpanne auftritt, müssen Sie als Verantwortlicher das Datenschutz-Aufsichtsamt binnen 72 Stunden informieren. Der Anbieter hat die Pflicht, Sie unverzüglich zu informieren (siehe AVV). VertragLotse hat dafür ein eigenes Incident-Response-Verfahren — Sie werden über die im Konto hinterlegte E-Mail benachrichtigt.

Drittland-Übermittlung — der heikle Punkt

Wenn der Anbieter Daten außerhalb der EU verarbeitet (z.B. DocuSign mit US-Servern), brauchen Sie nach Schrems II zusätzlich Standard-Vertragsklauseln (SCC) + Transfer-Impact-Assessment (TIA). Das ist aufwändig und im Streitfall riskant.

VertragLotse hostet ausschließlich in Deutschland (Hetzner, ISO 27001-zertifiziert). Es findet keine Drittland-Übermittlung statt. Damit ersparen Sie sich SCC, TIA und das Risiko, dass eine US-Behörde auf Ihre Daten zugreift.

Eine Ausnahme: wenn Sie OpenAI- oder Anthropic-Modelle für die Vertragsanalyse nutzen, geht der Vertragstext (anonymisiert, ohne PII der Signer) kurzfristig in die USA. Das ist ein separater Vorgang außerhalb des Signatur-Workflows und wird im Datenschutz-Hinweis explizit erwähnt.

Praktische Checkliste

Vor dem ersten Einsatz der E-Signatur in Ihrer Firma:

  • [ ] AVV mit dem Anbieter abgeschlossen (im VertragLotse-Account automatisch)
  • [ ] Datenschutz-Erklärung auf Ihrer Webseite ergänzt (E-Signatur-Anbieter genannt)
  • [ ] Datenschutz-Beauftragten informiert (sofern Sie einen brauchen, ab ca. 20 MA)
  • [ ] Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30 DSGVO)
  • [ ] Aufbewahrungsfristen der signierten Dokumente festgelegt (nicht: standardmäßig „ewig")
  • [ ] Mitarbeiter geschult, dass Sign-Links nicht weitergeleitet werden (PII-Leak-Risiko)

Was, wenn ich gar kein Unternehmer bin?

Privatpersonen, die einmalig einen Mietvertrag oder NDA unterschreiben lassen, sind keine Verantwortlichen im DSGVO-Sinn. Die „haushaltsmäßige Ausnahme" (Art. 2 Abs. 2 lit. c DSGVO) greift bei rein privaten Zwecken. Sie brauchen also keinen AVV, keine Datenschutz-Erklärung. Trotzdem sollten Sie das Audit-PDF mindestens 3 Jahre aufbewahren, falls es später zum Streit kommt.

Fazit

Die elektronische Signatur ist DSGVO-konform machbar — wenn der Anbieter sauber arbeitet und Sie als Versender die Informationspflichten erfüllen. Mit einem deutschen Anbieter, der Daten verschlüsselt, AVV bereitstellt und ohne Drittland-Übermittlung auskommt, haben Sie 90 % der Arbeit erledigt. Den Rest macht eine kurze Erweiterung der eigenen Datenschutz-Erklärung.

Tipp: Wenn Ihr Unternehmen einer regelmäßigen Datenschutz-Prüfung (intern oder durch eine Aufsichtsbehörde) unterzogen wird, gilt die E-Signatur-Plattform als Auftragsverarbeiter wie z.B. Mailchimp oder Microsoft 365. Bereiten Sie eine kurze Liste aller Auftragsverarbeiter vor — bei der Prüfung wird genau das gefragt.

Jetzt rechtssicher unterschreiben lassen →

Vertrag prüfen lassen?

Laden Sie Ihren Vertrag hoch und erhalten Sie in Sekunden eine KI-gestützte Analyse mit Risikobewertung.

Jetzt Vertrag prüfen