Achtung: Berufsgeheimnissträger
Anwälte, Ärzte, Steuerberater und andere Berufsgeheimnissträger riskieren bei falscher Anbieterwahl eine Strafbarkeit nach § 203 StGB. Mandanten- und Patientendaten dürfen nicht über Anbieter verarbeitet werden, die dem US Cloud Act unterliegen.
Welche Daten verarbeitet eine Signatur-Plattform?
Bevor wir über rechtliche Anforderungen sprechen, ist es wichtig zu verstehen, welche Daten bei einer elektronischen Signatur anfallen:
- Dokumente: Oft vertrauliche Verträge, NDAs, Mandatsvereinbarungen oder Patientenunterlagen.
- Personenbezogene Daten der Unterzeichner: Name, E-Mail-Adresse, IP-Adresse, ggf. Telefonnummer.
- Signaturdaten: Signaturbilder, Zeitstempel, Geräteinformationen.
- Audit-Trail: Lückenlose Protokollierung aller Aktionen mit Zeitstempel und IP-Adresse.
All diese Daten sind personenbezogene Daten im Sinne der DSGVO. Damit gelten strenge Anforderungen an deren Verarbeitung.
DSGVO-Anforderungen an Signatur-Anbieter
Jede Organisation, die einen Signatur-Dienst einsetzt, muss sicherstellen, dass die DSGVO eingehalten wird. Die wichtigsten Anforderungen:
Rechtsgrundlage der Verarbeitung
Die Verarbeitung personenbezogener Daten im Rahmen einer elektronischen Signatur stützt sich in der Regel auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine separate Einwilligung des Unterzeichners ist in den meisten Fällen nicht erforderlich.
Auftragsverarbeitung (AVV)
Der Signatur-Anbieter verarbeitet personenbezogene Daten in Ihrem Auftrag. Damit ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend erforderlich. Ohne AVV riskieren Sie Bußgelder von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes.
Datenminimierung und Speicherbegrenzung
Der Anbieter darf nur die für den Signaturvorgang erforderlichen Daten erheben. Aufbewahrungsfristen müssen klar definiert sein, und Daten müssen nach Ablauf der Fristen gelöscht werden.
Technische und organisatorische Maßnahmen
Verschlüsselung (Transport und Speicherung), Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und ein dokumentiertes Datenschutzkonzept sind Pflicht.
DSGVO-Checkliste für Signatur-Anbieter
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen
- Technisch-organisatorische Maßnahmen (TOM) dokumentiert
- Verarbeitungsverzeichnis geführt (Art. 30 DSGVO)
- Betroffenenrechte (Auskunft, Löschung, Berichtigung) gewährleistet
- Datenminimierung: Nur für den Zweck erforderliche Daten erhoben
- Aufbewahrungsfristen definiert und automatische Löschung konfiguriert
§ 203 StGB: Berufsgeheimnissträger und Signatur-Anbieter
Wer ist betroffen?
§ 203 StGB schützt Berufsgeheimnisse und betrifft unter anderem:
- Anwälte
- Ärzte
- Steuerberater
- Apotheker
- Psychologen
- Notare
Was § 203 StGB sagt
Die unbefugte Offenbarung von Berufsgeheimnissen ist strafbar – mit bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Dabei gilt: Bereits die Möglichkeit des Zugriffs durch Dritte kann als „Offenbarung“ gewertet werden.
Das Problem mit US-Anbietern
Wenn Mandanten- oder Patientendokumente über einen US-amerikanischen Signatur-Anbieter verarbeitet werden, kann der US Cloud Act den Zugriff durch US-Behörden ermöglichen. Viele Juristen sehen darin bereits eine Verletzung der Verschwiegenheitspflicht nach § 203 StGB.
Die Lösung: § 203 Abs. 3 StGB
Seit 2017 erlaubt § 203 Abs. 3 StGB die Einschaltung von „sonstigen Mitwirkenden“ – aber nur unter strengen Voraussetzungen: Der Dienstleister muss eine Verschwiegenheitserklärung gem. § 203 StGB unterzeichnen und sich zur Geheimhaltung verpflichten.
Wie Echtly das löst
Echtly ist ein deutscher Anbieter. Alle Original- und versiegelten Dokumente liegen ausschließlich auf unseren Hetzner-Servern in Nürnberg und Falkenstein — sie verlassen Deutschland nie. Verschwiegenheitserklärung gem. § 203 StGB und Auftragsverarbeitungsvertrag (AVV) sind mit einem Klick verfügbar — direkt im Dashboard unter Einstellungen.
US Cloud Act: Warum der Serverstandort nicht reicht
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 ermöglicht es US-Behörden, von US-amerikanischen Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, wo die Daten physisch gespeichert sind.
Das Problem für Signatur-Nutzer
DocuSign, Adobe Sign und HelloSign sind US-Unternehmen. Selbst wenn sie Daten auf EU-Servern speichern, unterliegen sie dem US Cloud Act. US-Behörden können jederzeit Zugriff auf die gespeicherten Dokumente und Signaturdaten verlangen.
EU-Server allein schützen nicht
Viele US-Anbieter werben mit „Daten in der EU“. Das ist irreführend: Der US Cloud Act knüpft nicht an den Speicherort, sondern an den Firmensitz des Anbieters an. Solange der Anbieter ein US-Unternehmen ist (oder eine US-Muttergesellschaft hat), greift der Cloud Act.
Die Lösung
Wählen Sie einen Anbieter, dessen Firmensitz und Serverstandort in Deutschland oder der EU liegen. Nur so ist sichergestellt, dass kein Drittstaaten-Zugriff möglich ist.
Verschlüsselung und technische Sicherheit
Ein datenschutzkonformer Signatur-Anbieter muss auf mehreren Ebenen technische Sicherheit gewährleisten:
Alle Daten werden verschlüsselt übertragen.
Dokumente und Signaturdaten sind im Ruhezustand verschlüsselt.
Kryptographische Signatur nach internationalem Standard.
Manipulationssicherer Audit-Trail mit verketteten Hashes.
Qualifizierte Zeitstempel von unabhängiger Zeitstempelbehörde.
Object Lock verhindert nachträgliche Änderung oder Löschung.
Checkliste: Den richtigen Anbieter wählen
Prüfen Sie diese acht Kriterien, bevor Sie sich für einen Signatur-Anbieter entscheiden: