Bei zentraler E-Mail-Signaturverwaltung fließen jede Sekunde Mitarbeiter-Daten, Empfänger-Adressen und Mail-Inhalte durch eine externe Plattform. Das ist datenschutzrechtlich nicht trivial — auch wenn die Mail-Industrie das gerne so darstellt. Hier sind die fünf DSGVO-relevanten Fragen, die jeder Datenschutzbeauftragte einer Signatur-Lösung stellen sollte.
1. Wo wird verarbeitet?
Der Hostingstandort entscheidet, welche Behörde im Streitfall zuständig ist und welche Rechtsgrundlage für Drittlandtransfers nötig wäre. Bei US-Anbietern (oder UK seit Brexit) brauchst du Standardvertragsklauseln plus Transferfolgenabschätzung — die EuGH-Entscheidung Schrems II hat das Spielfeld grundlegend verändert.
Anbieter aus Deutschland oder zumindest der EU sparen dir den Transferpapierkram. Wichtig: nicht nur den Firmensitz fragen, sondern wo physisch die Rechenzentren stehen. Microsoft 365 wird zum Beispiel oft als „EU-Hosting" verkauft, obwohl Wartungsoperationen und Logs regelmäßig in die USA fließen.
2. Werden Mail-Inhalte gespeichert?
Die meisten Signatur-Anbieter verarbeiten Mails ausschließlich in-memory. Persistieren wäre auch unsinnig, weil das Datenmengen produziert, die niemand bezahlen will. Trotzdem solltest du im Vertrag explizit festhalten lassen: Mail-Inhalt, Betreff und Empfänger-Adressen werden nicht persistiert. Was sehr wohl persistiert wird, ist das Audit-Log — Message-ID, Tenant, Regel, Zeitstempel. Das ist datenschutzrechtlich grenzwertig, weil Message-IDs Rückschlüsse zulassen, aber pragmatisch notwendig.
Frag den Anbieter nach: maximale Audit-Log-Retention, Lösch-Routinen, wer Zugriff hat, ob du als Tenant-Admin selbst löschen kannst.
3. Wie sieht der AVV aus?
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht. Kein „kommt später", kein „läuft über unsere AGB". Sechs Punkte sollten drin stehen: Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen (Mitarbeiter und Mail-Empfänger), Technische und organisatorische Maßnahmen (TOM-Katalog als Anlage), Subprozessoren-Liste mit Kontaktdaten und Auftragsumfang, Lösch- und Rückgabepflicht nach Vertragsende.
Wenn ein Anbieter mehr als drei Wochen für die AVV-Vorlage braucht, ist das ein rotes Warnlicht.
4. Wer sind die Subprozessoren?
Jeder Cloud-Anbieter hat Subprozessoren — Hosting, CDN, Monitoring, E-Mail-Versand, Zahlungsabwicklung. Die Liste muss aktuell und einsehbar sein. Achte besonders auf US-Cloud-Anbieter (AWS, GCP, Azure) wegen der Schrems-II-Problematik, auf Monitoring-/APM-Tools (Datadog, NewRelic), die Performance-Metriken inkl. personenbezogener Details übermitteln, und auf Mail-Versand-Subprozessoren (Sendgrid, Postmark), die Empfänger-Adressen verarbeiten.
5. Was ist mit Klick-Tracking in Bannern?
Banner-Kampagnen mit Klick-Tracking sind eines der attraktivsten Features moderner Signaturverwaltung. Datenschutzrechtlich problematisch sind dabei: IP-Speicherung beim Klick (Anonymisierung über /24-Subnetz-Trunkierung ist Pflicht), Cookies (nach TTDSG brauchst du Einwilligung — beim Empfänger nicht möglich, also cookieless), Conversion-Tracking auf Landing-Pages mit Google Analytics (verschiebt das Problem nur).
Was bei SignatureHub anders ist
Wir verarbeiten zu 100 % in Deutschland (Münster), persistieren keine Mail-Inhalte und schalten Klick-Tracking nur ohne Cookies und mit IP-Trunkierung. AVV ist als PDF-Vorlage da, TOMs als Anlage. Subprozessoren-Liste steht offen im Trust Center. Wenn du diese Punkte bei einem anderen Anbieter nicht eindeutig beantwortet bekommst, ist das eine ernstzunehmende Warnung.
Fazit
DSGVO-Konformität bei E-Mail-Signaturverwaltung ist machbar — aber kein Selbstläufer. Diese fünf Fragen helfen dir, den Spreu vom Weizen zu trennen, bevor du unterschreibst.