FAQs

Was ist Docusigns Ansatz in Bezug auf das Thema Compliance?

Docusigns oberste Prioritäten sind der Datenschutz und die Sicherheit der Informationen, Dokumente und Daten unserer Kunden. Die Compliance-Inhalte auf diesen Seiten erklären, wie Docusign nationale und internationale Sicherheitsstandards erfüllt oder übertrifft, einschließlich strenger Sicherheitsrichtlinien und -praktiken, die weltweit den Standard für Informationssicherheit setzen. Wir berücksichtigen kontinuierlich die branchenweiten Best-Practices bei Audits und Zertifizierungen durch Dritte, Bewertungen durch Dritte und Kundenprüfungen vor Ort.

Docusign hat viele führende Branchenzertifizierungen erhalten, wie z. B. ISO 27001 (und orientiert sich an den Leitlinien für die Kontrollimplementierung und den zusätzlichen Kontrollsätzen von ISO/IEC 27017:2015 - Code of Practice for Information Security Controls und ISO/IEC 27018:2019 - Code of Practice for Protection of PII), Payment Card Industry (PCI) Data Security Standard (DSS), sowohl als Händler als auch als Dienstanbieter, und erstellt jährlich SOC1- und SOC2- Berichte auf der Grundlage der SSAE 18-Standards des American Institute of Certified Public Accounts (AICPA). Darüber hinaus ist Docusign ein von FedRAMP autorisierter Cloud-Service-Anbieter für US-Bundesbehörden. 

Docusign ist  zusätzlich Teil der Cloud Security Alliance (CSA), die das populärste Zertifizierungsprogramm für Cloud-Sicherheitsanbieter, die CSA Security, Trust & Assurance Registry (STAR), betreibt - ein dreistufiges Programm zur Sicherung von Anbietern mit Selbstbewertung, Audit durch Dritte und kontinuierlicher Überwachung. 

Docusign war eine der ersten Organisationen, deren Binding Corporate Rules (BCR) genehmigt wurden. Eine solche Spitzenkonformität spiegelt die führende Position von Docusign auf dem Markt wider. Darüber hinaus hat Docusign umfangreiche Investitionen getätigt, um eine hohe Verfügbarkeit und Kontinuität der Dienste zu gewährleisten. In Europa werden die Kundendaten mit Hilfe von Echtzeitanwendungen an drei geografischen Standorten in Frankreich, Deutschland und den Niederlanden repliziert. Docusign differenziert sich weiter auf dem Markt durch die Implementierung des höchsten Verschlüsselungs- und Sicherheitsniveau, das Hardware- Sicherheitsmodule und Aufgabentrennung verwendet, um sicherzustellen, dass kein einzelner Mitarbeiter genug Informationen hat, um auf Kundendokumente zuzugreifen.

Wie erfüllt Docusign eSignature die gesetzlichen Anforderungen?

Im Juli 2014 hat die Europäische Union (EU) die Verordnung 910/2014 über elektronische Identitäts- und Vertrauensdienste (eIDAS) für elektronische Transaktionen im europäischen Binnenmarkt (27 EU-Mitgliedstaaten) verabschiedet. Diese Verordnung definiert die folgenden Vertrauensdienste:

• Fortgeschrittene elektronische Signatur (FES): Eine Form der elektronischen Signatur, die kryptografische Methoden verwendet, um den Unterzeichner eindeutig zu identifizieren und die Integrität des signierten Dokuments zu gewährleisten.

• Qualifizierte elektronische Signatur (QES): Eine spezielle Art der fortgeschrittenen elektronischen Signatur, die mit einem qualifizierten Zertifikat eines qualifizierten Vertrauensdiensteanbieters (QVDA) erstellt wird.

• Qualifizierte Zeitstempel: Elektronische Zeitstempel, die von einem qualifizierten Vertrauensdiensteanbieter (QVDA) ausgestellt und überprüft werden. Qualifizierte Siegel: Digitale Siegel, die mit einem qualifizierten Zertifikat eines qualifizierten Vertrauensdiensteanbieters (QVDA) erstellt werden. FAQs zu Vertrauen und Rechtsmäßigkeit in DACH.

• Qualifizierte elektronische Zustellung: Das Verfahren der sicheren Übermittlung von elektronischen Dokumenten oder Daten mit einer qualifizierten elektronischen Signatur oder einem Siegel.

• Qualifizierte Webseite-Authentifizierungszertifikate: Von einem qualifizierten Vertrauensdiensteanbieter (QVDA) ausgestellte digitale Zertifikate, die zur Authentifizierung der Identität einer Website verwendet werden, die elektronische Signaturdienste anbietet.

Ein Software-as-a-Service (SaaS)-Unternehmen, das einen der oben genannten Vertrauensdienste anbietet, wird als qualifizierter Vertrauensdienteanbieter (QVDA) bezeichnet. QVDAs müssen die technischen Standards erfüllen, die vom Europäischen Institut für Telekommunikationsnormen (ETSI) und dem Europäischen Komitee für Normung (CEN) festgelegt wurden. QVDAs müssen sich regelmäßigen Audits durch eine akkreditierte Konformitätsbewertungsstelle (CAB) unterziehen, die im Auftrag der Regulierungsbehörde des EU-Mitgliedsstaates handelt.

Docusign Frankreich ist ein QVDA für QES, Qualifizierte Zeitstempel und Qualifizierte Siegel sowie ein Standard-QVDA für FES. Die französische Regulierungsbehörde, Agence nationale de la sécurité des systèmes d’information (ANSSI), nimmt Docusign Frankreich in ihre veröffentlichte EU-Vertrauensliste für qualifizierte und in allen EU-Mitgliedstaaten anerkannte Vertrauensdienste auf.

Wir sind ein EU qualifizierter Vertrauensdiensteanbieter (QVDA), der autorisiert ist, qualifizierte Zertifikate (QC), qualifizierte elektronische Signaturen (QES) und qualifizierte Zeitstempel bereitzustellen, die den Normen EN 319 401, EN 310 411-1 und EN 310 411-2 entsprechen. Darüber hinaus können wir Zertifikate, die von anderen QVDAs ausgestellt wurden, verwenden, um Dokumente innerhalb von Docusign über unsere Funktion für standardbasierte Signaturen digital zu signieren.

Wie erfüllt Docusign die branchenüblichen Best Practices für Privatsphäre und Datenschutz?

Docusign Sicherheitsvorkehrungen und Anforderungen umfassen administrative, physische, technische, organisatorische und dokumentarische Maßnahmen. Die Maßnahmen, die Docusign implementiert, entsprechen den internationalen Standards für Datensicherheit und Datenschutz, einschließlich der ISO 27001-Zertifizierung und der Anerkennung von Docusigns verbindlichen internen Datenschutzvorschriften (Auftragsverarbeiter) durch die zuständige Datenschutzbehörde in der EU (Irish Data Protection Commission) für Datenübermittlungen als Auftragsverarbeiter in Übereinstimmung mit Artikel 46 der Datenschutz-Grundverordnung (DSGVO). Für weitere Einzelheiten zu diesen Sicherheitsvorkehrungen und Standards kontaktieren Sie bitte Ihren Docusign Services Ansprechpartner.

Ist die Lösung jederzeit verfügbar und wird Support rund um die Uhr zur Verfügung gestellt (24/7)?

Ja, Docusign-Lösungen und der dazugehörige Support sind rund um die Uhr verfügbar. Wenn Sie Support benötigen, der über das Angebot des Support Centers hinausgeht, z. B. telefonische Unterstützung oder eine schnellere Bearbeitung Ihrer Anfragen, fragen Sie bitte Ihre Vertriebsansprechpartnerin oder Ihren  Vertriebsansprechpartner nach unseren Docusign-Support-Plänen.

Bitte beschreiben Sie die Tools und Prozesse, mit denen der Kunde die Betriebsstabilität der Systemumgebung überprüfen kann.

Docusign ist so konzipiert, dass es bei Katastrophenereignissen zu keinerlei Datenverlusten kommt und verfügt über eine eingebaute Redundanz. Sehen Sie sich die Docusign-Systemstatustabelle an.

Wo sind Ihre STAPs?

Das “Security & Trust Assurance Pack” (STAP) von Docusign ist als Selbstbedienungsoption auf der Trust-Webseite verfügbar

Was sind BCR und wann sind sie anwendbar?

Gemäß Artikel 44 der Europäischen Datenschutzgrundverordnung 2016/679 (DSGVO) kann jede Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums nur dann stattfinden, wenn dieses Drittland ein angemessenes Datenschutzniveau gewährleistet. Diese Angemessenheit kann durch verschiedene Übermittlungsmechanismen nachgewiesen werden. Zum einen kann die EU-Kommission einen Angemessenheitsbeschluss erlassen, der die Angemessenheit des Datenschutzniveau in einem bestimmten Land bestätigt. Zum anderen ist der Abschluss sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen dem Absender und dem Empfänger der Daten gemäß Artikel 46 Abs.2 lit. c) DSGVO möglich. Eine andere, komplexere und anspruchsvollere Möglichkeit, ein umfassendes und angemessenes Datenschutzniveau zu gewährleisten, sind die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) gemäß Artikel 46 Abs. 2 lit. b) DSGVO. Die folgenden Informationen beziehen sich auf diesen Übermittlungsmechanismus.

BCR sind ein umfassender Satz von Standards für die Sicherheit und den Schutz personenbezogener

Daten gemäß den Anforderungen der Datenschutz-Grundverordnung, die von verbundenen Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, formell angenommen werden. BCR müssen von einer EU-Aufsichtsbehörde offiziell genehmigt werden, um als rechtmäßiger internationaler Übermittlungsmechanismus gemäß Artikel 47 DSGVO anerkannt zu werden (wie weiter unten erläutert). Bei Docusign dienen BCR als starker und effektiver globaler Datentransfermechanismus, den Docusign innerhalb seiner globalen Data-Governance-Struktur implementiert hat, um alle Docusign-Mitglieder in Bezug auf die sichere Verarbeitung personenbezogener Daten unabhängig vom geografischen Standort zu verpflichten.

Wenn ein europäischer Kunde als Verantwortlicher einen Vertrag mit einem BCR-Mitglied von Docusign abschließt, um die Dienste von Docusign zu nutzen, decken die Datenverarbeitungsbedingungen in der maßgeblichen Dienstleistungsvereinbarung zwischen Docusign und dem Kunden alle Verarbeitungstätigkeiten von Docusign-Mitgliedern im Auftrag des Kunden gemäß den Anforderungen der BCR von Docusign ab. Docusigns BCR für Auftragsverarbeiter (die “Processor Policy”) werden in die geltende Docusign-Dienstleistungsvereinbarung zwischen Docusign und einem Kunden aufgenommen und bieten weitere Zusicherungen von Docusigns Verpflichtung zu spezifischen Regeln für die Sicherheit und den Schutz personenbezogener Daten im Rahmen der Unternehmensführung. Docusign wendet die in der Auftragsverarbeiter-Richtlinie enthaltenen Standards weltweit auf alle Mitglieder der Docusign-Gruppe an, wenn sie personenbezogene Daten verarbeiten, unabhängig vom Herkunftsland, dem Land, in dem sie verarbeitet werden, oder dem Land, in dem das Mitglied der Docusign-Gruppe seinen Sitz hat.

Darüber hinaus übernimmt der Auftraggeber von Docusign die Haftung für jegliche Verletzung unserer Standards durch Handlungen einer anderen Unternehmenseinheit von Docusign oder eines externen Unterauftragsverarbeiters außerhalb der EU oder des Vereinigten Königreichs. Wenn ein in der EU ansässiger Kunde sich dafür entscheidet, einen Dienstleistungsvertrag mit einer in Europa ansässigen Docusign-Unternehmenseinheit abzuschließen oder wenn Sie sich für die Bereitstellung ihrer Docusign-Dienste in einem in der EU ansässigen Rechenzentrum entscheiden, ist für die ursprüngliche Übermittlung an Docusign kein zusätzlicher Übermittlungsmechanismus erforderlich, da es sich bei dieser Datenübermittlung um eine Datenübermittlung innerhalb der EU handelt und der Zielstaat somit zwangsläufig ein angemessenes Datenschutzniveau aufweist. Darüber hinaus sind Erstübermittlungen aus dem Vereinigten Königreich an eines der in der EU ansässigen Rechenzentren von Docusign durch die gegenseitige Angemessenheit abgedeckt, die zwischen der EU und dem Vereinigten Königreich gilt. Jegliche Weiterübermittlung in Nicht-EU-Länder (ohne angemessenes Datenschutzniveau) durch eine in der EU ansässige Unternehmenseinheit von Docusign oder im Zuge der Verarbeitung hochgeladener Daten an die europäischen Rechenzentren von Docusign wird von Docusigns BCR als Übertragung zwischen Gruppenmitgliedern abgedeckt und unterliegt denselben umfassenden technischen und organisatorischen Sicherheitsmaßnahmen, die in Docusigns BCR beschrieben sind.

Die BCR gelten für alle Gruppenmitglieder im Rahmen der Auftragsverarbeiter-Richtlinie und bieten einen sicheren Schutz für personenbezogene Daten, die von den Gruppenmitgliedern verarbeitet werden. Docusign bietet europäischen Kunden außerdem die Möglichkeit, ihre Docusign-Serviceumgebungen in der EU einzurichten, um den Datenspeicherungsort von Dokumenten und Kundeninhalten innerhalb der EU aufrechtzuerhalten. In diesen Fällen bleiben Dokumente und Inhalte, die in den Docusign “eSignature- Diensten” hochgeladen werden, verschlüsselt und verlassen nicht das vom Kunden gewählte Gebiet (oder Gebiete, im Falle von anwendbaren Disaster-Recovery-Funktionen für anwendbare Docusign-Dienste wie Docusign CLM), in dem die Serviceumgebung bereitgestellt wird. Bei der Nutzung des Docusign eSignature-Dienstes können auf Veranlassung des Kunden sogenannte Transaktionsdaten (Metadaten) außerhalb des vom Kunden angegebenen Gebietes verarbeitet werden. Dabei handelt es sich um Daten über Aktivitäten, Ereignisse und Handlungen, die im Rahmen des normalen Ablaufs von Nutzern beim Beginn, bei der Ausführung und beim Abschließen ihrer digitalen Transaktionen im Docusign eSignature-Dienst auftreten. Transaktionsdaten können daher in begrenztem Umfang personenbezogene Daten enthalten (z.B. Namen und E-Mail-Adressen von Absendern/Empfängern, IP-Adressen und andere Online-Kennungen und Standortdaten). Die Übertragung dieser begrenzten personenbezogenen Daten außerhalb des Gebietes erfolgt, wenn der Kunde einen Dokumentenlink zur elektronischen Signatur an den Empfänger sendet; dieser Datentransfer wird durchgeführt, um die Nutzung der Docusign-Dienste durch den Kunden zu erleichtern.

Wie lauten  die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR)?

Docusign unterhält sowohl als  Auftragsverarbeiter als auch als Verantwortlicher verbindliche interne Datenschutzvorschriften (BCR), die von den Datenschutzbehörden der Europäischen Union genehmigt wurden. Die BCR, die als Goldstandard für den Datenschutz gelten, sind ein strenges Regelwerk für die Mitglieder der Docusign-Unternehmensfamilie und spiegeln die Relevanz und das Engagement in Bezug auf das Thema  Datenschutz wider, das Docusign seinen Kunden, Mitarbeitern und anderen Geschäftskontakten entgegenbringt.

Sind SCCs verfügbar?

Docusign bietet Standardvertragsklauseln (SCC) als alternative Mechanismen zur Steuerung des Datentransfers beim Export personenbezogener Daten aus Europa an. Welche rechtlichen Auswirkungen hat es, dass Docusign "nur" ein qualifizierter Vertrauensdiensteanbieter (QVDA) in Frankreich und nicht in Deutschland ist?

Da Deutschland ein Mitgliedstaat der Europäischen Union (“EU”) ist, gelten in Deutschland die Bestimmungen der EU-Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung) und sind unmittelbar anwendbar. Die eIDAS- Verordnung hebt die Richtlinie 1999/93/EG auf. Diese Verordnung regelt im Kapitel 3 “Vertrauensdienste” und im Abschnitt 4 “Elektronische Signaturen” die Verwendung von elektronischen und digitalen Signaturen in der gesamten EU, also auch in Deutschland. Um eine wirksame Durchsetzung zu gewährleisten, hat Deutschland zusätzlich ein Gesetz zur Umsetzung von eIDAS verabschiedet, das sogenannte „Vertrauensdienstegesetz“ (VDG), das die Nutzung elektronischer Vertrauensdienste in Deutschland erleichtern soll. Das Gesetz ist am 29. Juli 2017 in Kraft getreten.

Da die eIDAS Verordnung in Deutschland direkt anwendbar ist, sollte die Rechtmäßigkeit der in Frankreich ansässigen Zertifizierungen als qualifizierter Vertrauensanbieter auch in Deutschland und allen anderen EU-Mitgliedstaaten anerkannt werden.

Docusign bietet jedoch eine Auswahl an eigenen und fremden Identitätsmanagementdiensten durch Docusigns qualifiziertes Vertrauensdiensteanbieter (QVDA)-Partnerprogramm, das mehrere Anbieter in der EU umfasst, darunter IBM Intesa, Firmaprofesional, Athens Exchange, IDNow, Swisscom und andere.

Das QVDA-Programm bringt Unternehmen, die sich auf elektronische ID- und Vertrauensdienste spezialisiert haben, in einem europäischen Ökosystem zusammen, um die gesamte Palette der von eIDAS definierten Signaturtypen über die Docusign-Plattform anzubieten. Wir bieten Cloud-Integration (das Benutzerzertifikat wird in der Cloud-Infrastruktur gespeichert) und ein vom Unterzeichner gehaltenes Benutzerzertifikat, das in einem physischen Gerät, z.B. USB/Smartcard, gespeichert ist. Docusign bietet auch die Möglichkeit, einen anderen QVDA-Partner mit unserer QVDA-API zu verwenden.