'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Wie wirkt sich das Gesetz zum Schutz persönlicher Daten auf die Speicherung elektronischer Signaturen in China aus?
Verständnis von Chinas PIPL und der Speicherung elektronischer Signaturen
Chinas Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law, PIPL) wurde im November 2021 erlassen und trat im November 2022 in Kraft, was eine bedeutende Weiterentwicklung des Datenschutzrahmens des Landes darstellt. Das Gesetz, das dem GDPR der Europäischen Union nachempfunden, aber an Chinas einzigartige regulatorische Landschaft angepasst ist, stellt strenge Anforderungen an die Erhebung, Verarbeitung, Speicherung und Übertragung personenbezogener Daten. Für Unternehmen, die elektronische Signaturen (E-Signaturen) verarbeiten, wirkt sich das PIPL direkt auf die Speicherpraktiken aus, indem es die Datenlokalisierung, die Einwilligung der Nutzer, Sicherheitsmaßnahmen und grenzüberschreitende Datenflüsse betont. Das Gesetz gilt für jede Organisation, die personenbezogene Daten von Einwohnern Chinas verarbeitet, unabhängig von ihrem Standort, was es zu einer entscheidenden Überlegung für globale E-Signatur-Anbieter macht, die in China tätig sind oder sich an den chinesischen Markt richten.
Eine Kernanforderung des PIPL ist, dass personenbezogene Daten – wie Namen, E-Mail-Adressen, biometrische Daten oder in Dokumente eingebettete Unterschriften – innerhalb Chinas gespeichert werden müssen, es sei denn, bestimmte Bedingungen für die grenzüberschreitende Übertragung sind erfüllt. Artikel 38 des PIPL verlangt Sicherheitsbewertungen für Datenexporte, insbesondere für sensible Informationen wie elektronische Signaturen, die Authentifizierungsdetails enthalten können. Diese Lokalisierungsanforderung rührt von nationalen Sicherheitsbedenken her und zielt darauf ab, unbefugten Zugriff durch ausländische Stellen zu verhindern. Für E-Signatur-Plattformen bedeutet dies, dass die Speicherinfrastruktur die Regeln zur Datenresidenz einhalten muss, was in der Regel lokale Rechenzentren oder Partnerschaften mit zertifizierten chinesischen Cloud-Anbietern erfordert. Die Nichteinhaltung kann zu Geldstrafen von bis zu 50 Millionen RMB (ca. 7 Millionen US-Dollar) oder 5 % des Jahresumsatzes sowie zur Aussetzung des Betriebs führen.
Die Auswirkungen des PIPL erstrecken sich auf die Einwilligungsmechanismen. Elektronische Signaturen beinhalten oft die Verarbeitung personenbezogener Daten während des Signiervorgangs, wie z. B. IP-Protokolle oder Audit-Trails. Gemäß PIPL ist vor der Erhebung oder Speicherung solcher Daten eine ausdrückliche, informierte Einwilligung erforderlich (Artikel 13), und die Nutzer müssen die Möglichkeit haben, die Einwilligung einfach zu widerrufen. Die Speicherpraktiken müssen eine Datenminimierung – d. h. die Beschränkung auf notwendige Informationen – sowie eine starke Verschlüsselung zum Schutz vor Verstößen umfassen (Artikel 51-53). Beispielsweise protokollieren E-Signatur-Audit-Logs, wer wann was signiert hat; diese Logs gelten als personenbezogene Daten und müssen so weit wie möglich anonymisiert oder pseudonymisiert werden. Darüber hinaus beeinflusst die extraterritoriale Wirkung des PIPL (Artikel 3) multinationale Unternehmen: Wenn E-Signaturen für Verträge verwendet werden, an denen chinesische Parteien beteiligt sind, muss die gesamte Speicherkette dem PIPL entsprechen, was hybride Cloud-Setups verkomplizieren kann.
In der Praxis haben diese Regeln E-Signatur-Anbieter dazu veranlasst, ihre Architekturen zu überdenken. Viele Anbieter bieten jetzt China-spezifische Instanzen mit isolierter Speicherung an, um Datenvermischung zu vermeiden. Das Gesetz ist auch mit Chinas Cybersicherheitsgesetz (2017) und dem Datensicherheitsgesetz (2021) verknüpft und bildet ein regulatorisches Trio, das die "sichere und kontrollierbare" Datenverarbeitung betont. Unternehmen müssen vor der Bereitstellung von E-Signatur-Lösungen eine Datenschutz-Folgenabschätzung (Personal Information Protection Impact Assessment, PIPIA) durchführen, um Risiken wie Datenverstöße während der Speicherung zu bewerten. Für grenzüberschreitende Szenarien, wie z. B. multinationale Verträge, die per E-Signatur unterzeichnet werden, müssen Anbieter möglicherweise Freizonen nutzen oder eine staatliche Genehmigung für die Datenübertragung einholen, was die Komplexität und die Kosten erhöht.
Chinesisches E-Signatur-Recht: Ein breiterer Kontext
Chinas Rahmen für elektronische Signaturen existierte bereits vor dem PIPL, wurde aber durch dieses gestärkt. Das Gesetz über elektronische Signaturen (Electronic Signature Law, ESL) ist seit 2005 in Kraft und gewährt elektronischen Signaturen die gleiche rechtliche Anerkennung wie handschriftlichen Unterschriften, sofern Zuverlässigkeitsstandards wie Datenintegrität und Unbestreitbarkeit erfüllt sind. Anders als das flexiblere ESIGN-Gesetz der USA oder die eIDAS der Europäischen Union unterscheidet Chinas ESL zwischen "zuverlässigen" elektronischen Signaturen (die kryptografische Zertifikate verwenden, die von einer autorisierten Zertifizierungsstelle (CA) ausgestellt werden) und einfacheren Signaturen, wobei erstere vor Gericht eine stärkere Beweiskraft haben.
Das PIPL integriert sich in das ESL, indem es den technischen Anforderungen den Datenschutz überlagert. Für die Speicherung bedeutet dies, dass E-Signatur-Plattformen sicherstellen müssen, dass sowohl signierte Dokumente als auch Metadaten beiden Gesetzen entsprechen: dem ESL für die Authentizität und dem PIPL für den Datenschutz. Die chinesische Cyberspace Administration of China (CAC) ist für die Durchsetzung zuständig und verlangt in der Regel, dass Branchen mit hohem Risiko, wie z. B. das Finanz- oder Gesundheitswesen, eine Multi-Faktor-Authentifizierung und eine Blockchain-ähnliche Unveränderlichkeit verwenden. Jüngste Leitlinien, wie z. B. die "Verwaltungsmaßnahmen für Internet-E-Signatur-Dienste" aus dem Jahr 2023, schreiben weiter vor, dass Speichersysteme Echtzeit-Audits und Datensouveränität unterstützen müssen und die Speicherung im Ausland ohne CAC-Genehmigung untersagt ist.
In einem fragmentierten Markt wie dem asiatisch-pazifischen Raum zeichnet sich Chinas System durch die Betonung staatlich geförderter digitaler Identitäten (wie z. B. Echtzeit-Authentifizierungssysteme) aus. Dies steht im Gegensatz zu westlichen Modellen, die lediglich eine E-Mail-basierte Verifizierung erfordern, und unterstreicht die Notwendigkeit der Einhaltung der lokalen Vorschriften für die Speicherung elektronischer Signaturen.
Navigation der Compliance: Wichtige Auswirkungen auf die Speicherpraktiken für elektronische Signaturen
Das Zusammenspiel von PIPL und ESL hat die chinesische Landschaft der elektronischen Signaturen neu gestaltet und die Anbieter zu mehr Lokalisierung und Transparenz gedrängt. Die Aufbewahrungsfristen sind nun an die gesetzlichen Aufbewahrungsfristen gebunden – in der Regel 3-5 Jahre für Verträge –, müssen aber nach Zweckerfüllung automatisch gelöscht werden, um dem Grundsatz der Datenminimierung des PIPL zu entsprechen. Sicherheitslücken bei der Speicherung, wie z. B. die Offenlegung von Nutzerdaten auf einigen Plattformen im Jahr 2022, haben zu einer verstärkten Kontrolle geführt, wobei die CAC von Betreibern, die mehr als 1 Million Nutzer verarbeiten, jährliche Compliance-Audits verlangt.
Für Unternehmen bedeutet dies die Wahl von Anbietern mit China-konformer Speicherung: Verschlüsselung ruhender Daten, rollenbasierte Zugriffskontrollen und Integration mit lokalen CAs für die Zertifikatsverwaltung. Grenzüberschreitende Unternehmen stehen vor zusätzlichen Hürden; so erfordert beispielsweise die Speicherung elektronischer Signaturen aus WeChat-integrierten Workflows die Einhaltung der Einwilligungsprozesse des PIPL, um Strafen zu vermeiden. Insgesamt hat das PIPL die Speicherung von einer technischen Randnotiz zu einer strategischen Notwendigkeit gemacht und die Innovation von Compliance-Cloud-Lösungen gefördert, während diejenigen, die sich nicht anpassen, aussortiert werden.
Vergleich von E-Signatur-Lösungen für China und den asiatisch-pazifischen Raum
Da Unternehmen nach PIPL-konformen E-Signatur-Tools suchen, zeichnen sich einige Anbieter durch ihre Speicher- und Regulierungsfunktionen aus. In diesem Abschnitt werden die wichtigsten Akteure untersucht, wobei der Schwerpunkt darauf liegt, wie sie Chinas Anforderungen an Datenresidenz und Datenschutz erfüllen.
DocuSign: Ein globaler Marktführer mit Lokalisierungsoptionen
DocuSign ist seit 2003 ein Pionier der E-Signatur-Technologie und bietet robuste Lösungen für die Dokumenten-Workflows von Unternehmen. Seine Plattform unterstützt die sichere Speicherung mit Funktionen wie Envelope-Verschlüsselung und Audit-Trails, aber für China müssen Nutzer einen regionalspezifischen Plan wählen, um die Lokalisierungsregeln des PIPL zu erfüllen. Die Enterprise-Tarife von DocuSign beinhalten Datenresidenzoptionen durch Partnerschaften mit lokalen Anbietern, die sicherstellen, dass personenbezogene Daten im Land verbleiben. API-Integrationen und Zusatzfunktionen wie die Authentifizierung verursachen jedoch zusätzliche Kosten, und die grenzüberschreitende Speicherung erfordert eine sorgfältige Konfiguration, um die CAC-Bewertungen zu erfüllen. Obwohl es für globale Teams geeignet ist, kann die sitzplatzbasierte Preisgestaltung für große chinesische Belegschaften steil ansteigen.
Adobe Sign: Integriertes Workflow-Tool
Adobe Sign, als Teil der Adobe Document Cloud, zeichnet sich durch die nahtlose Integration mit PDF-Tools und Unternehmenssystemen wie Microsoft 365 aus. Für die Speicherung in China bietet es Compliance-Optionen über die globalen Rechenzentren von Adobe, die durch verschlüsselte Speicherung und Einwilligungsmanagement das PIPL einhalten. Funktionen wie bedingte Felder und Zahlungserfassung sind für Verträge nützlich, aber Nutzer berichten von Herausforderungen bei der vollständigen Lokalisierung – Daten können über US-Systeme geleitet werden, sofern nicht anders angegeben. Die Preisgestaltung basiert auf der Nutzung und ist für mittelständische Unternehmen geeignet, obwohl erweiterte Compliance-Funktionen in der Regel eine individuelle Unternehmensvereinbarung erfordern.
HelloSign (Dropbox Sign): Eine benutzerfreundliche Alternative
HelloSign, das jetzt zu Dropbox gehört, legt Wert auf Einfachheit, wobei die Premium-Pläne Drag-and-Drop-Signierung und unbegrenzte Vorlagen bieten. Die Speicherung entspricht den grundlegenden Datenschutzstandards, einschließlich der SOC-2-Zertifizierung, aber für China fehlt die native PIPL-Lokalisierung, die auf benutzerkonfigurierte VPNs oder Speicherung durch Dritte angewiesen ist. Dies macht es weniger geeignet für regulierte Branchen, obwohl die kostenlose Ebene kleine Teams anspricht. Die Integration mit Dropbox gewährleistet eine sichere Dateispeicherung, aber Envelope-Beschränkungen und Gebühren pro Envelope können sich für chinesische Betriebe mit hohem Volumen summieren.
eSignGlobal: Ein auf den asiatisch-pazifischen Raum ausgerichteter Wettbewerber
eSignGlobal positioniert sich als regional optimierte E-Signatur-Plattform, die die Compliance in über 100 wichtigen Ländern weltweit unterstützt, mit besonderem Schwerpunkt auf dem asiatisch-pazifischen Raum. In China und dem weiteren asiatisch-pazifischen Raum, wo die Vorschriften für elektronische Signaturen fragmentiert, anspruchsvoll und streng reguliert sind, meistert eSignGlobal einzigartige Herausforderungen. Anders als westliche Rahmenstandards wie ESIGN oder eIDAS, die sich auf allgemeine Grundsätze wie E-Mail-Verifizierung oder Selbsterklärung verlassen, erfordert der asiatisch-pazifische Raum einen "Ökosystem-Integrations"-Ansatz. Dies beinhaltet eine tiefe Hardware- und API-Integration mit digitalen Identitäten von Regierungen für Unternehmen (G2B), eine technische Hürde, die weit über typische westliche Ansätze hinausgeht.
Für China gewährleistet eSignGlobal die PIPL-konforme Speicherung über lokale Rechenzentren in Hongkong und Singapur, die die Datenresidenz ohne grenzüberschreitende Reibungsverluste fördern. Seine Plattform unterstützt die nahtlose Integration mit regionalen Systemen wie Hongkongs iAM Smart und Singapurs Singpass, die zuverlässige elektronische Signaturen gemäß ESL ermöglichen und gleichzeitig PIPL-Einwilligung und Verschlüsselung einbetten. Weltweit expandiert eSignGlobal, um mit DocuSign und Adobe Sign zu konkurrieren, und bietet wettbewerbsfähige Preise: Der Essential-Plan kostet 199 US-Dollar pro Jahr (ca. 16,6 US-Dollar pro Monat) und ermöglicht bis zu 100 elektronisch signierte Dokumente, unbegrenzte Nutzerlizenzen und die Verifizierung über Zugangscodes – alles auf einer Compliance-konformen, kostengünstigen Plattform. Für Nutzer, die Optionen erkunden möchten, bietet eine 30-tägige kostenlose Testversion vollen Zugriff, um die PIPL-konformen Funktionen zu testen.
| Funktion/Aspekt | DocuSign | Adobe Sign | eSignGlobal | HelloSign (Dropbox Sign) |
|---|---|---|---|---|
| PIPL-Datenlokalisierung | Unterstützt über Enterprise-Pläne; Konfiguration erforderlich | Teilweise; kann über US-Zentren geleitet werden | Native APAC-Zentren (HK/SG) für vollständige Compliance | Begrenzt; abhängig von Benutzereinstellungen |
| Preismodell | Pro Sitzplatz (10-40 $/Benutzer/Monat) + Add-ons | Nutzungsbasiert (ab ca. 10 $/Benutzer/Monat) | Unbegrenzte Benutzer; Essential 16,6 $/Monat | Pro Envelope (Premium ca. 15 $/Monat) |
| China-spezifische Integrationen | Grundlegende CA-Unterstützung; keine nativen G2B | PDF-Fokus; begrenzte lokale IDs | iAM Smart/Singpass; tiefe API-Konnektivität | Keine hervorgehobenen |
| Speichersicherheit | Verschlüsselung + Audit-Trails; SOC 2 | Verschlüsselung; Integration mit Adobe Cloud | ISO 27001; Ökosystem-Integrationszertifizierungen | SOC 2; Dropbox-Verschlüsselung |
| APAC-Eignung | Global, aber Latenzprobleme | Leistungsstarke Workflows; Compliance variabel | Optimiert für fragmentierte Vorschriften | Einfach, aber nicht lokalisiert |
| Unbegrenzte Benutzer | Nein | Nein | Ja | Ja in Premium |
Abschließende Gedanken zur Compliance-Auswahl
Zusammenfassend lässt sich sagen, dass das PIPL die chinesische Landschaft der elektronischen Signaturen gestärkt hat, indem es die Sicherheit und die lokale Speicherung priorisiert und die Anbieter gezwungen hat, sich anzupassen oder mit Hürden konfrontiert zu werden. Für Unternehmen, die nach DocuSign-Alternativen mit robuster regionaler Compliance suchen, erweist sich eSignGlobal als eine ausgewogene Option, die auf die Bedürfnisse des asiatisch-pazifischen Raums zugeschnitten ist.
