Zurück zum Blogi
    Sicherheit12.2.2026

    Audit Trail, Nachweise und DSGVO-Aufbewahrung bei elektronischen Signaturen

    Der Audit Trail einer elektronischen Signatur ist ein digitaler Beweis dafür, wer, wann und wie unterschrieben hat. Er ist ein entscheidender Teil der Gültigkeit der Signatur und der Streitbeilegung. In diesem Artikel erläutern wir, was der Audit Trail enthält, wie die DSGVO die Datenspeicherung beeinflusst und wie ein Kleinunternehmen sein Archiv organisieren kann.

    Was ist ein Audit-Log?

    Ein Audit Trail (auf Deutsch: Prüfpfad oder Protokollpfad) ist ein automatisch erfasster Datensatz eines Signaturereignisses. Er zeichnet jeden Schritt von Anfang bis Ende auf.\n\nDer Audit Trail ist ein wesentlicher Bestandteil der Beweiskraft einer elektronischen Signatur. Ohne ihn ist eine elektronische Signatur praktisch nur ein Pixel auf dem Bildschirm – der Audit Trail macht sie rechtlich bedeutsam.

    Welche Informationen enthält der Audit-Log?

    Ein umfassender Audit-Log enthält die folgenden Informationen:

    • Name und E-Mail-Adresse des Unterzeichners
    • Verwendete Authentifizierungsmethode (Bank-ID, mobile ID, E-Mail-Bestätigung)
    • Zeitstempel (Datum und Uhrzeit, Zeitzone)
    • IP-Adresse, von der aus die Signatur erfolgte
    • Geräte- und Browserinformationen
    • Kryptografische Hash-Funktion des Dokuments (Hash) – beweist, dass das Dokument nicht geändert wurde
    • Sende- und Öffnungszeit der Signaturanfrage
    • Abschlusszeit der Signatur

    Was dies in der Praxis bedeutet: Wenn ein Kunde bestreitet, einen Vertrag unterschrieben zu haben, zeigt der Audit-Log, dass eine bestimmte Person das Dokument von einer bestimmten IP-Adresse aus geöffnet, sich mit Bank-IDs authentifiziert und das Dokument zu einem bestimmten Zeitpunkt unterschrieben hat.

    DSGVO und die Aufbewahrung elektronischer Signaturen

    Ein Audit-Log enthält personenbezogene Daten, daher legt die DSGVO (Datenschutz-Grundverordnung der EU) fest, wie diese verarbeitet und aufbewahrt werden dürfen. Die wichtigsten DSGVO-Prinzipien für den Audit-Log:

    • Zweckbindung: Daten dürfen nur für einen bestimmten Zweck erhoben werden (Authentifizierung der Signatur)
    • Datenminimierung: Nur die notwendigen Daten werden erhoben
    • Speicherbegrenzung: Daten werden nur so lange aufbewahrt, wie es notwendig ist
    • Integrität und Vertraulichkeit: Daten müssen technisch geschützt werden

    In der Praxis hängt die Aufbewahrungsdauer von Signaturen und den damit verbundenen Audit-Log-Daten von der Art des Vertrags ab:

    DokumenttypEmpfohlene AufbewahrungsdauerBegründung
    Commercial contract6–10 Jahre nach VertragsendeVerjährungsfrist (allgemein 3 Jahre, Handelsgesetz 5 Jahre)
    Arbeitsvertrag10 Jahre nach Beendigung des ArbeitsverhältnissesVerjährung von Ansprüchen aus dem Arbeitsverhältnis
    Buchhaltungsunterlagen6 Jahre nach Ende des GeschäftsjahresBuchhaltungsgesetz 2:10
    ImmobilienverkaufDauerhaft oder mindestens 10 JahreAnforderungen gemäß Landgesetz

    Archivierungsmodell für Kleinunternehmen

    Ein Kleinunternehmen kann sein Archiv für elektronische Signaturen einfach organisieren:

    1. Verwenden Sie einen Signaturdienst (wie EpicSign), der die unterschriebenen Dokumente und Audit-Logs automatisch archiviert
    2. Definieren Sie Aufbewahrungsfristen pro Dokumenttyp (siehe Tabelle oben)
    3. Exportieren Sie die wichtigsten Verträge auch in Ihr eigenes Backup-System
    4. Prüfen Sie einmal im Jahr, ob veraltete Dokumente gemäß DSGVO gelöscht werden können
    5. Dokumentieren Sie Ihre Aufbewahrungsrichtlinien in der Registerübersicht

    Praxisbeispiel: Eine Wirtschaftsprüfungsgesellschaft und Kundenverträge

    Eine Wirtschaftsprüfungsgesellschaft in Tampere ist von Papierverträgen zu EpicSign übergegangen. Zuvor waren die Verträge in Ordnern – einige im Büro, andere bei den Kunden. Niemand war sicher, wo die neueste Version zu finden war. Nach der elektronische Signatur änderte sich die Situation:

    • Alle Verträge sind im elektronischen Archiv über die Suchfunktion auffindbar
    • Der Audit-Log beweist, wer wann unterzeichnet hat
    • Die DSGVO-Registerübersicht wurde aktualisiert, um die Aufbewahrung von Signaturdaten einzuschließen
    • Alte Verträge werden nach Ablauf der Aufbewahrungsfrist automatisch gelöscht

    Häufig gestellte Fragen

    Wie lange muss ein Audit-Log aufbewahrt werden?

    Die Aufbewahrungsfrist hängt von der Art des Vertrags ab. Bei Handelsverträgen typischerweise 6–10 Jahre, bei Arbeitsverträgen 10 Jahre nach Beendigung des Arbeitsverhältnisses.

    Enthält der Audit-Log personenbezogene Daten?

    Ja. Der Name, die E-Mail-Adresse und die IP-Adresse des Unterzeichners sind personenbezogene Daten gemäß der DSGVO. Sie müssen gemäß den Datenschutzbestimmungen verarbeitet werden.

    Kann das Audit-Log nachträglich geändert werden?

    Nein. Ein kryptografischer Hash-Wert stellt sicher, dass die Daten nicht unbemerkt geändert werden können. Dies ist eine Grundvoraussetzung für den Audit-Trail.

    Wie wirkt sich die DSGVO auf die Aufbewahrung von Signaturdaten aus?

    Die DSGVO verlangt, dass Daten nur für die unbedingt erforderliche Dauer aufbewahrt werden. Wenn die Aufbewahrungsfrist abläuft, müssen die Daten gelöscht oder anonymisiert werden.

    Speichert EpicSign den Audit-Log automatisch?

    Ja. EpicSign erstellt automatisch einen umfassenden Audit-Log für jedes Signaturereignis.

    Dieser Artikel ist allgemein gehalten und stellt keine Rechtsberatung dar.

    EpicSign testen

    Starten Sie eine kostenlose Testphase und senden Sie Ihre erste Signaturanfrage in weniger als 20 Sekunden.

    Preise ansehen