Ein Interview mit Kim Stieber (Inhaber der mindtrace Stieber Beratung GbR)
Bereits mehr als 15 Jahre unterstützt die Stieber Beratung GbR
Kunden aus dem Dienstleistungssektor, insbesondere Banken sowie Versicherungs- und Finanzdienstleister.
Kim Stieber ist Gründer und Inhaber des Unternehmens. Als Experte für Digitalisierung und Datenschutz, beantwortet er uns drei grundlegende und wichtige Fragen zum Thema Datenschutz beim Einsatz elektronischer Signaturen.
Inhaltsverzeichnis
Wo liegen typische DSGVO-Fallstricke im Kontext einer elektronischen Unterschrift?
„Oftmals beginnt es damit, dass im Unternehmen gar keine Regelungen bezüglich der DSGVO vorhanden sind. Es mangelt auch 2021 immer noch an grundlegenden Dingen.
Ansonsten gestaltet sich die Nutzung einer elektronischen Unterschrift aus Sicht eines Datenschützers sehr simpel. Der Prozess muss an sich sicher sein und die Einwilligung des Kunden muss nach Art. 6 DSGVO vorliegen.
Zu beachten ist auch, dass bei gewissen Vorgängen Daten der besonderen Kategorie (vgl. Art.9 DSGVO) im Rahmen der elektronischen Signatur verarbeitet werden. Dann gilt eine erhöhte Sorgfaltspflicht, welche aber im Rahmen des Prozesses erfüllt werden kann, ohne den Kunden zu strapazieren.“
Ansonsten gestaltet sich die Nutzung einer elektronischen Unterschrift aus Sicht eines Datenschützers sehr simpel. Der Prozess muss an sich sicher sein und die Einwilligung des Kunden muss nach Art. 6 DSGVO vorliegen.
Zu beachten ist auch, dass bei gewissen Vorgängen Daten der besonderen Kategorie (vgl. Art.9 DSGVO) im Rahmen der elektronischen Signatur verarbeitet werden. Dann gilt eine erhöhte Sorgfaltspflicht, welche aber im Rahmen des Prozesses erfüllt werden kann, ohne den Kunden zu strapazieren.“
Auf welche Datenschutz-Aspekte muss man bei der Auswahl einer elektronischen Unterschriftenlösung achten?
„Für die Auswahl ist grundsätzlich immer zu prüfen, welche Art von personenbezogenen Daten verarbeitet wird, sowie von wem diese verarbeitet werden.
Da die elektronische Unterschrift per se immer diese Art von Daten verarbeitet, muss die DSGVO zugrunde gelegt werden. Von Fall zu Fall sollte auch das BDSG-neu auf seine Relevanz geprüft werden.
Bedingt durch das Urteil des EuGHs vom 16.07.2020 (AZ. C-311/18), sind viele Anbieter aus den USA kritisch zu bewerten. Zwar bilden Verträge mit Standardvertragsklauseln nach Vorgabe des EuGHs eine Ausnahme, jedoch ist es fraglich, ob sich die unterzeichnenden Unternehmen zur Einhaltung eines bestimmten Datenschutzstandards bei Datenübertragungen gegen Eingriffe durch Behörden in den USA schützen können.
Meine Empfehlung ist grundsätzlich sich im Raum der EU nach einer Lösung umzusehen.“
Da die elektronische Unterschrift per se immer diese Art von Daten verarbeitet, muss die DSGVO zugrunde gelegt werden. Von Fall zu Fall sollte auch das BDSG-neu auf seine Relevanz geprüft werden.
Bedingt durch das Urteil des EuGHs vom 16.07.2020 (AZ. C-311/18), sind viele Anbieter aus den USA kritisch zu bewerten. Zwar bilden Verträge mit Standardvertragsklauseln nach Vorgabe des EuGHs eine Ausnahme, jedoch ist es fraglich, ob sich die unterzeichnenden Unternehmen zur Einhaltung eines bestimmten Datenschutzstandards bei Datenübertragungen gegen Eingriffe durch Behörden in den USA schützen können.
Meine Empfehlung ist grundsätzlich sich im Raum der EU nach einer Lösung umzusehen.“
Was ist eine Zwei-Faktor-Authentifizierung (2FA) und warum ist diese wichtig?
„Der Themenkomplex Zwei-Faktor-Authentifizierung ist sehr umfassend. Grundsätzlich dient ein zweiter Faktor (SMS, TAN etc.) beim Log-in für mehr Sicherheit, damit sich ein potenzieller Angreifer keinen Zugriff auf die Daten verschaffen kann.
Vielen ist eine 2FA bereits aus dem Bankwesen bekannt, dort ist diese seit 2018 vorgeschrieben.
Im Rahmen einer elektronischen Unterschrift halte ich eine 2FA für den Zugriff auf die Daten für obligatorisch, so beispielsweise bei Kundenportalen oder auch dem Zugriff auf die elektronischen unterschriebenen Unterlagen.“
Vielen ist eine 2FA bereits aus dem Bankwesen bekannt, dort ist diese seit 2018 vorgeschrieben.
Im Rahmen einer elektronischen Unterschrift halte ich eine 2FA für den Zugriff auf die Daten für obligatorisch, so beispielsweise bei Kundenportalen oder auch dem Zugriff auf die elektronischen unterschriebenen Unterlagen.“
Bei Fragen wenden Sie sich gern an uns oder an unseren Datenschutzexperten der mindtrace Stieber Beratung GbR.
Über den Autor
Christina Detling – Online Marketing Managerin
Christina ist seit über vier Jahren bei inSign tätig und freut sich, wenn sie ihr Wissen rund um das Thema elektronische Unterschrift und Digitalisierung weitergeben kann.
- Weitere Beiträge
Mehr zum Thema digitale Unterschrift