Digitale Signaturen sind heute ein Schlüssel für effiziente und rechtskonforme Unternehmensprozesse. Für europäische Unternehmen, die hierbei auf amerikanische Cloud-Services setzen oder vorhaben, dies zu tun, geraten dabei vor allem der US CLOUD Act und FISA 702 zunehmend in den Fokus. Warum diese US-Regelungen für die Auswahl einer E-Signaturlösung relevant sind und worauf Unternehmen in puncto DSGVO, Sicherheit und digitale Resilienz achten sollten, erklärt Stephan Kochauf, COO bei MOXIS und Experte für digitale Signaturen, Datensouveränität und sichere Dokumentenprozesse, in diesem Interview.
E-Signaturen sind ein integraler Bestandteil moderner Unternehmens- und Dokumentenprozesse
Unterschriften sind seit jeher ein zentraler Bestandteil vieler Geschäftsprozesse. Welche Rolle spielen E-Signaturen inzwischen in Unternehmen?
E-Signaturen sind bei weitem nicht mehr das Nischenthema, das sie noch vor 20 Jahren waren. Ungefähr seit der Jahrtausendwende wurden sie im DACH-Raum nach und nach zuerst in Österreich, dann Deutschland und schließlich der Schweiz der eigenhändigen Unterschrift per Gesetz gleichgestellt. Spätestens seit 2016 wird sie durch die eIDAS-Verordnung in der EU flächendeckend anerkannt.
Aber nicht nur die rechtlichen Rahmenbedingungen haben sich weiterentwickelt, sondern auch die digitale Signatur selbst – vor allem technologisch. Durch ihre Niederschwelligkeit im Einsatz und die schnelle Implementierung ist sie heute fester Bestandteil unternehmerischer Abläufe und fungiert als attraktiver Einstiegspunkt für größere Digitalisierungsprojekte.
Klar ist, dass Unternehmen, die weiterhin stur auf Papier setzen, neben Zeit und Ressourcen vor allem auch an Wertschöpfung und schließlich Wettbewerbsfähigkeit einbüßen. Die Frage, die sich moderne Unternehmen stellen müssen, ist nicht mehr, ob sie digitalisieren, sondern wie schnell sie dies tun – und mit welcher Lösung sie dabei Sicherheit, Rechtsgültigkeit und Compliance gewährleisten.
Welche Arten von Dokumenten werden heute typischerweise digital signiert und welche Herausforderungen (in Bezug auf Sicherheit und Datenschutz) gehen damit einher?
Die Einsatzbereiche digitaler Signaturen haben sich in den letzten Jahren stark erweitert. Während anfangs vor allem jene Dokumente digital unterzeichnet wurden, die man auch handschriftlich signiert hätte, werden heute deutlich mehr Prozesse digital abgebildet – unter anderem einfache Freigaben und sogenannte Massendokumente.
Im Grunde kann heute jedes Dokument digital signiert werden, bei dem früher eine Unterschrift, Paraphe oder irgendeine Form von formalem Vermerk notwendig gewesen ist.
Mit dieser Entwicklung steigen jedoch auch die Anforderungen an Sicherheit und Datenschutz. Unternehmen müssen sicherstellen, dass jederzeit nachvollziehbar ist, wo ein Dokument herkommt, wer es „in der Hand hatte“ und ob es noch dem Originalzustand entspricht. Gleichzeitig müssen sensible Daten vor unbefugtem Zugriff geschützt und gesetzliche Vorgaben wie die DSGVO eingehalten werden.
Wie sich DSGVO und weitere Verordnungen auf den E-Signaturmarkt und europäische Unternehmen auswirken
Stichwort DSGVO: Welche rechtlichen Anforderungen müssen europäische Unternehmen grundsätzlich beachten, wenn sie E-Signaturlösungen verwenden?
Die DSGVO geht tatsächlich mit zahlreichen anderen Verordnungen Hand in Hand. Nicht ohne Grund liegt die Geburtsstunde der DSGVO, deren 10-jähriges Jubiläum wir im April 2026 feiern, nur 3 Monate vor jener der eIDAS–Verordnung. Für Unternehmen, die digital signieren, sind beide Verordnungen von immenser Bedeutung. Während die DSGVO den Schutz personenbezogener Daten regelt, definiert eIDAS die rechtlichen Rahmenbedingungen für elektronische Signaturen und deren Beweiskraft. Mit eIDAS 2.0, die 2024 in Kraft trat, wurden diese Rahmenbedingungen nicht nur geschärft, sondern auch verschärft – insbesondere im Hinblick auf digitale Identitäten und europaweite Interoperabilität.
Darüber hinaus gewinnen neue regulatorische Vorgaben wie die NIS2-Richtlinie und der Cyber Resilience Act (CRA) zunehmend an Bedeutung. Viele physische Produkte benötigen für den Vertrieb in der EU eine CE-Kennzeichnung (Conformité Européenne), die deren Sicherheit bestätigt. Dieses Konzept soll zukünftig auch auf Software-Produkte umgelegt werden. In anderen Worten: es muss von Anfang an ein gewisser Grundschutz mitgeliefert werden.
Ein weiterer wichtiger Aspekt ist die Datensouveränität, die seit 2025 im Speziellen durch das EU Cloud Sovereignty Framework konkretisiert wird. Dieses definiert 8 Souveränitätsziele und bietet einen standardisierten Rahmen, um Anbieter und Lösungen in Bezug auf Datensicherheit, -transparenz, und -kontrolle zu bewerten. Die beste Bewertung und somit volle digitale Souveränität können nur dann erreicht werden, wenn
- Technologie und Betrieb vollständig unter EU-Kontrolle sind,
- ausschließlich EU-Recht anwendbar ist und
- keine kritischen Abhängigkeiten von Drittstaaten bestehen.
Egal, wer heutzutage eine neue Softwarelösung sucht, sollte sich an diesem Framework orientieren, um bereits jetzt zukunftssicher aufgestellt zu sein.
US CLOUD Act und FISA 702 stellen europäische Unternehmen bei Datensouveränität vor große Herausforderungen
In der Diskussion um Datensouveränität tauchen häufig auch Begriffe wie US CLOUD Act oder FISA 702 auf. Warum sind diese Gesetze auch für europäische Unternehmen relevant?
US COUD Act und FISA 702 sind tatsächlich eng mit der Thematik europäischer Datensouveränität verbunden – auch wenn es sich eigentlich um Verordnungen aus dem US-amerikanischen Raum handelt.
Der US CLOUD Act verpflichtet amerikanische Unternehmen dazu, Behörden bei Anfrage Zugriff auf gespeicherte Daten zu gewähren, und zwar unabhängig davon, wo diese gespeichert sind. Das bedeutet, dass auch in Europa gehostete Daten betroffen sein können, wenn der Anbieter oder Betreiber dem US-Recht unterliegt.
FISA 702 geht da sogar noch einen Schritt weiter und erlaubt es US-Geheimdiensten, jegliche Kommunikation von Nicht-US-Bürger:innen zu überwachen, sofern diese über amerikanische Dienste abgewickelt wird. Auch hier reicht ein Serverstandort in der EU allein nicht, um das zu verhindern und Daten zu schützen.
Wie kann ich mich als europäisches Unternehmen mit externen Dienstleistern dann effektiv vor Datenschutzverletzungen bzw. einem Abgreifen von Daten schützen?
Einerseits ist es empfehlenswert, den bestehenden Software-Stack einschließlich der Lieferkette genauer zu prüfen. Dabei sollte auch betrachtet werden, welche Technologien und Dienstleister bereits jetzt im Hintergrund im Einsatz sind. Für die Bewertung ist es wie gesagt sinnvoll, hier das EU Cloud Sovereignty Framework heranzuziehen.
Andererseits empfiehlt es sich bei Neuanschaffungen, möglichst Lösungen von Anbietern mit europäischem Rechtssitz zu wählen, die Security by Design umsetzen und technische Maßnahmen wie bspw. Verschlüsselung, Zugriffsbeschränkungen oder sichere Authentifizierungsverfahren anbieten.
Die sicherste Form der Datenverarbeitung ist und bleibt eine On-Premise-Variante. Um höchstmögliche digitale Resilienz zu erzielen, sollte die Die Leitleine bei Entscheidungen immer sein, Abhängigkeiten von Dritten so gering wie möglich zu halten.
DSGVO-Verstöße haben weitreichende Folgen
Welche konkreten Risiken entstehen für Unternehmen – aber auch für Kund:innen –, wenn Signaturprozesse über Plattformen laufen, die US-Recht unterliegen?
US-amerikanische Anbieter unterliegen gesetzlichen Verpflichtungen, die in ganz klarem Widerspruch zur DSGVO stehen. Für europäische Unternehmen kann dies sehr schnell sehr schmerzhaft werden.
So besteht zum einen das Risiko, dass sensible Informationen wie Geschäftsgeheimnisse, Vertragsinhalte oder interne Daten offengelegt werden. Daraus können nicht nur unmittelbare wirtschaftliche Schäden entstehen, sondern auch erhebliche Bußgelder wegen DSGVO-Verstößen resultieren.
Zum anderen drohen Vertrauens- und Reputationsverluste gegenüber Kund:innen und Geschäftspartner:innen.
Für Kund:innen selbst ist die Situation ebenfalls kritisch, insbesondere wenn es um sensible Daten wie bspw. Gesundheitsinformationen geht. Denn sie haben oft nur eingeschränkte Möglichkeiten, nachzuvollziehen, was mit ihren Daten passiert, oder ihre Rechte auf Auskunft und Löschung effektiv durchzusetzen.
Gibt es Branchen, bei denen diese Risiken besonders kritisch sind?
Ganz klar. Besonders kritisch sind diese Risiken in stark regulierten Branchen wie dem Gesundheitswesen, der Pharmaindustrie, im Finanzsektor sowie in der Rechts- und Steuerberatung. Auch der öffentliche Sektor, Universitäten und Behörden verarbeiten regelmäßig besonders schützenswerte Daten.
Ganz grundsätzlich lässt sich jedoch oftmals keine klare Abgrenzung treffen: Jedes Unternehmen verarbeitet sensible Informationen und ist daher verpflichtet, verantwortungsvoll mit Daten umzugehen. Datensouveränität ist somit branchenübergreifend relevant.
Souveräne E-Signaturlösungen und wie man sie erkennt
Zurück zum Thema E-Signatur: Worauf sollten Unternehmen achten, wenn sie eine datenschutzkonforme E-Signaturplattform auswählen möchten?
Einige besonders wichtige Punkte habe ich bereits erwähnt:
- der europäische Rechtssitz des Anbieters,
- die Walfreiheit zwischen Cloud- und On-Premise-Betrieb sowie
- die konsequente Umsetzung eines Security-by-Design-Konzepts.
Zertifizierungen wie ISO 27001 können ein gutes Signal dafür sein, dass bereits ein hoher Grad an geprüfter Sicherheit besteht. Dabei sollte der Blick jedoch immer auf die gesamte Lieferkette gerichtet sein, denn auch eingesetzte Subunternehmen sind sicherheitstechnisch relevant: Welche Technologien sind im Einsatz und bestehen Abhängigkeiten von ausländischen proprietären Produkten?
Aber auch rechtliche Faktoren spielen eine Rolle. Unternehmen sollten sich bspw. ansehen, wer im Management sitzt, welchem Arbeitsrecht die Mitarbeitenden unterstellt sind und ob sich rechtliche Zugriffsrisiken aus Konzernstrukturen oder internationalen Verflechtungen ergeben können.
Welche technischen oder organisatorischen Maßnahmen helfen Unternehmen dabei, ihre Signaturprozesse wirklich DSGVO-konform zu gestalten?
Technisch sind vor allem ein hohes Sicherheitsniveau und eine lückenlose Nachvollziehbarkeit entscheidend. Dazu zählen eine starke Ende-zu-Ende-Verschlüsselung bei der Übertragung (at transit) und Speicherung (at rest) von Daten, detaillierte Audit-Trails sowie fein abgestufte Zugriffskontrollen, die sicherstellen, dass nur autorisierte Personen Zugang zu sensiblen Informationen erhalten. Auch automatisierte Löschkonzepte sind wichtig, damit Daten nach Wegfall des Verarbeitungszwecks datenschutzkonform gelöscht werden.
Organisatorisch braucht es vor allem klare Prozesse, eindeutige Verantwortlichkeiten und regelmäßige Schulungen. Mitarbeitende sollten für den Umgang mit sensiblen Daten sensibilisiert werden, und das Need-to-know-Prinzip sollte im Arbeitsalltag konsequent gelten. Ergänzend dazu sind DSGVO-konforme Auftragsverarbeitungsverträge sowie regelmäßige Audits über die gesamte Lieferkette hinweg essenziell.
Wie MOXIS Datensouveränität und digitale Resilienz gewährleistet
Wie garantiert MOXIS als europäische E-Signaturplattform die Einhaltung der DSGVO?
Zum einen durch sämtliche TOMs (technische und organisatorische Maßnahmen), die ich eben erwähnt habe.
Zum anderen ist Datenschutz bei MOXIS von Anfang an im wahrsten Sinne des Wortes integrierter Bestandteil des Produkts. Als E-Signaturlösung aus dem DACH-Raum wurde MOXIS speziell für die Anforderungen europäischer Unternehmen entwickelt und konsequent DSGVO-konform aufgebaut.
Ein wesentlicher Vorteil liegt außerdem in der technischen Architektur: Mit dem Hash-Signing-Konzept verlassen die Dokumente während des Signaturvorgangs zu keinem Zeitpunkt das Rechenzentrum. Für Unternehmen mit besonders hohen Anforderungen bietet MOXIS zudem die Möglichkeit eines On-Premise-Betriebs mit kundenseitig kontrollierten Schlüsseln.
Hinzu kommt, dass wir keine Abhängigkeiten von US-Dienstleistern haben. Entwicklung, Support und operative Verantwortung liegen in dedizierten Teams in Deutschland bzw. Österreich, alle Mitarbeitenden sind in Europa beschäftigt.
Gleichzeitig bietet MOXIS alle Signaturqualitäten gemäß eIDAS an – einschließlich der qualifizierten elektronischen Signatur – und ist somit für rechtswirksame Signaturen weltweit einsetzbar. Genau darin liegt der Vorteil von MOXIS: entwickelt in Europa, für Europa, mit weltweiter Gültigkeit.
Zukünftige Entwicklungen rund um E-Signatur und digitale Souveränität
Wie wird sich der Markt für digitale Signaturen in Europa in den nächsten Jahren entwickeln – insbesondere im Hinblick auf digitale Souveränität und Regulierung?
Aus meiner Sicht wird der Markt für digitale Signaturen in Europa in den kommenden Jahren weiterhin stark durch regulatorische Entwicklungen geprägt sein. Mit eIDAS 2.0, NIS-2 und dem Cyber Resilience Act steigt bereits heute der Druck auf Unternehmen, sichere und zugleich souveräne Lösungen einzusetzen. Die EU ist also gerade dabei, die restlichen Datenschutzlücken zu schließen, die es derzeit noch gibt.
Gleichzeitig sorgen geopolitische Verschiebungen mit derzeit noch schwer abschätzbaren Folgen dafür, dass europäische Unternehmen ihre Abhängigkeiten überdenken und ihre digitale Souveränität stärken müssen.
Parallel dazu treiben technologische Innovationen die Automatisierung von Dokumentenprozessen voran. Das betrifft insbesondere den Bereich der künstlichen Intelligenz. Trends wie einfache API-Integrationen, KI-gestützte Vertragserstellungen sowie möglichst nahtlose und skalierbare Signaturprozesse werden künftig eine immer größere Rolle spielen. Mit Zero-Click Signing bietet MOXIS hier bereits heute ein starkes Framework, um diese Entwicklung aktiv mitzugestalten und zukunftsweisende Standards zu setzen.
Handlungsempfehlung für Unternehmen in puncto Datensouveränität
Wenn Sie Unternehmen nur einen Rat zum Thema digitale Signaturen und Datensouveränität geben könnten – welcher wäre das?
Mein Rat wäre, Datensouveränität nicht nur als Schutz vor Risiken zu begreifen, sondern auch ganz klar als einen strategischen Vorteil und Chancenbringer. Ich würde mir in dieser Hinsicht also einen Perspektivenwechsel wünschen. Datensouveränität bedeutet vor allem auch Freiheit, Kontrolle über die eigenen Daten sowie Unabhängigkeit von Drittanbietern.
Europäische Unternehmen sollten darauf achten, sich langfristig flexibel aufzustellen, Vendor-Lock-in-Effekte zu vermeiden und echte Wahlfreiheit zu behalten.
Wer hier früh die richtigen Entscheidungen trifft, reduziert nicht nur Risiken, sondern schafft auch die Grundlage für effizientere Prozesse und nachhaltigen geschäftlichen Erfolg.
