DocuSeal auf dem Synology NAS installieren: digitale Signaturen selbst hosten

Verträge, NDAs und Einverständniserklärungen digital signieren zu lassen, ohne Dokumente in eine US-Cloud zu schicken – das ist für viele KMU in der DACH-Region ein echter Bedarf. DocuSeal ist eine quelloffene (AGPLv3) Plattform, die genau das ermöglicht: ein vollständiger Signatur-Workflow mit WYSIWYG-Formularbuilder, automatischem E-Mail-Versand und revisionssicherem Audit-Trail, betrieben auf deiner eigenen Hardware. Gegenüber DocuSign oder HelloSign bedeutet das vollständige Datensouveränität, keine Lizenzgebühren pro Dokument und DSGVO-konformer Betrieb ohne AVV mit einem US-Anbieter. Auf einem Synology NAS mit DSM 7.2 lässt sich DocuSeal als schlanker Docker-Container aufsetzen – ohne externe Datenbank, ohne Portainer, ohne Kompromisse beim Funktionsumfang.

Voraussetzungen

1. Synology NAS mit x86_64- oder ARM64-CPU und mindestens 1 GB freiem RAM (empfohlen 2 GB) – das offizielle Image unterstützt beide Architekturen
2. DSM 7.2 oder neuer mit installiertem Container Manager Package (aus dem Package Center)
3. Mindestens 5 GB freier Speicherplatz auf /volume1 für Image, Datenbank und künftigen Dokumentenbestand
4. Lokale IP-Adresse des NAS bekannt (z. B. 192.168.1.x)
5. Optional für E-Mail-Workflow: SMTP-Zugangsdaten (z. B. Synology MailPlus, Strato, Gmail mit App-Passwort)
6. Optional für externen Zugriff: Domain oder Synology DDNS (yourname.synology.me) mit gültigem SSL-Zertifikat und konfiguriertem Reverse Proxy in DSM
7. Webbrowser (Chrome oder Firefox) für die Ersteinrichtung

Schritt 1: Ordnerstruktur in der File Station anlegen

DocuSeal benötigt ein persistentes Volume für SQLite-Datenbank, hochgeladene PDFs und fertige Signaturen. Ohne dieses Volume gehen alle Daten beim Container-Update verloren. Lege in der File Station folgende Ordnerstruktur an – entweder über die GUI oder per SSH (Details zur Ordneranlage: Docker-Ordner und Berechtigungen auf dem Synology NAS):

/volume1/docker/docuseal/data

Wichtig: PUID/PGID werden von DocuSeal nicht als Umgebungsvariablen unterstützt – die Anwendung läuft intern als root im Container. Der Ordner muss daher durch den Docker-Daemon beschreibbar sein; eine explizite PUID/PGID-Anpassung ist nicht nötig.

Verifizieren: Navigiere in der File Station zu docker > docuseal > data. Der Ordner muss vorhanden und leer sein. Wenn du SSH nutzt: ls -la /volume1/docker/docuseal/ sollte den Unterordner data mit Schreibrechten ausgeben.

Schritt 2: SECRET_KEY_BASE generieren

Der SECRET_KEY_BASE sichert Session-Tokens und ist für den Produktionsbetrieb essenziell. Ohne ihn generiert DocuSeal bei jedem Container-Neustart einen neuen zufälligen Schlüssel – das bedeutet, alle eingeloggten Benutzer werden zwangsabgemeldet und laufende Signatur-Sessions werden ungültig.

Verbinde dich per SSH mit dem NAS (Anleitung: SSH auf dem Synology NAS aktivieren und verbinden) und führe folgenden Befehl aus:

openssl rand -hex 64

Das Ergebnis ist ein 128-Zeichen langer Hex-String. Kopiere ihn in einen Texteditor – du brauchst ihn gleich in der Compose-Konfiguration.

Verifizieren: Die Ausgabe von openssl rand -hex 64 muss genau 128 Zeichen lang sein und ausschließlich Hex-Zeichen (0–9, a–f) enthalten. Zähle kurz nach oder führe openssl rand -hex 64 | wc -c aus – die Ausgabe muss 129 zeigen (128 Zeichen + Newline).

Schritt 3: Compose-Projekt im Container Manager anlegen

Öffne den Container Manager in DSM, wechsle zu Projekt und klicke auf Erstellen. Gib dem Projekt den Namen docuseal und wähle als Pfad /volume1/docker/docuseal. Wie du ein Compose-Projekt von Grund auf anlegst, erklärt die Schritt-für-Schritt-Anleitung: Container Manager auf dem Synology NAS: Docker-Compose-Projekt anlegen, starten und aktualisieren.

Trage folgende compose.yaml ein. Ersetze HIER_128_ZEICHEN_HEX_EINTRAGEN durch den im vorherigen Schritt generierten Wert:

services:
  docuseal:
    image: docuseal/docuseal:latest
    container_name: docuseal
    restart: unless-stopped
    ports:
      - "3000:3000"
    volumes:
      - /volume1/docker/docuseal/data:/data
    environment:
      - TZ=Europe/Berlin
      - SECRET_KEY_BASE=HIER_128_ZEICHEN_HEX_EINTRAGEN
      # Optional: HOST und FORCE_SSL nur setzen, wenn Reverse Proxy mit HTTPS aktiv ist
      # - HOST=docuseal.yourname.synology.me
      # - FORCE_SSL=true
      # SMTP (optional, fuer automatischen E-Mail-Workflow benoetigt):
      # - SMTP_ADDRESS=smtp.example.com
      # - SMTP_PORT=587
      # - SMTP_USERNAME=user@example.com
      # - SMTP_PASSWORD=geheim
      # - SMTP_FROM=docuseal@example.com
      # - SMTP_AUTHENTICATION=plain
      # - SMTP_ENABLE_STARTTLS=true

Ein Hinweis zum Image-Tag: :latest entspricht aktuell v3.0.3 (Stand Juni 2026). Wenn du lieber einen gepinnten Tag möchtest, verwende docuseal/docuseal:3.0.3 – das vermeidet unerwartete Updates, erfordert aber manuelle Tag-Pflege.

Klicke auf Erstellen und warte, bis das Image heruntergeladen und der Container gestartet ist (je nach Internetverbindung 1–3 Minuten für ca. 211 MB).

Verifizieren: Im Container Manager unter Projekt > docuseal muss der Container den Status Wird ausgeführt (grünes Symbol) zeigen. Prüfe zusätzlich die Container-Logs: Kein roter Fehlertext, stattdessen sollte eine Zeile wie Listening on http://0.0.0.0:3000 erscheinen.

Schritt 4: Erstaufruf und Admin-Konto einrichten

Rufe DocuSeal im Browser auf:

http://<NAS-IP>:3000

Beim ersten Aufruf erscheint der Einrichtungsassistent. Lege dort dein Admin-Konto mit E-Mail-Adresse und einem starken Passwort an. DocuSeal leitet dich anschließend direkt ins Dashboard.

Falls du die DSM-Firewall aktiviert hast, musst du Port 3000 für TCP freigeben – die genaue Vorgehensweise beschreibt die Anleitung: DSM-Firewall auf dem Synology NAS: Ports für Docker-Container freigeben.

Verifizieren: Nach dem Login siehst du das DocuSeal-Dashboard mit dem Bereich „Templates“. Die URL in der Adressleiste lautet http://<NAS-IP>:3000/dashboard (oder /templates). Kein 502/503-Fehler, keine Weiterleitungsschleife.

Schritt 5: SMTP konfigurieren (optional, aber empfohlen)

Ohne SMTP kann DocuSeal Signatur-Links generieren, die du manuell per E-Mail oder Chat teilst – der Signaturprozess selbst funktioniert vollständig ohne automatischen Mail-Versand. Für einen professionellen KMU-Betrieb empfiehlt sich jedoch die SMTP-Konfiguration, damit Anfragen und Abschlussbestätigungen automatisch verschickt werden.

Stoppe das Projekt im Container Manager, öffne die compose.yaml und kommentiere die SMTP-Zeilen ein. Beispielkonfiguration für einen Standard-SMTP-Provider mit STARTTLS:

      - SMTP_ADDRESS=smtp.example.com
      - SMTP_PORT=587
      - SMTP_USERNAME=docuseal@example.com
      - SMTP_PASSWORD=dein-app-passwort
      - SMTP_FROM=docuseal@example.com
      - SMTP_AUTHENTICATION=plain
      - SMTP_ENABLE_STARTTLS=true
      - SMTP_DOMAIN=example.com

Für Synology MailPlus gilt: SMTP_PORT=587, SMTP_AUTHENTICATION=login. Bei Strato oder anderen Providern ohne STARTTLS setze SMTP_ENABLE_STARTTLS=false und SMTP_PORT=465. Starte das Projekt danach neu.

Verifizieren: Erstelle eine Testvorlage und versende eine Signatur-Anfrage an deine eigene E-Mail-Adresse. Die E-Mail sollte innerhalb von 1–2 Minuten ankommen und einen funktionsfähigen Signatur-Link enthalten. Alternativ prüfe die Container-Logs auf SMTP-Verbindungsfehler.

Schritt 6: Erste Vorlage hochladen und Signatur-Roundtrip testen

Dieser Schritt ist der eigentliche Funktionstest – hier prüfst du, ob DocuSeal end-to-end funktioniert.

1. Klicke im Dashboard auf Neues Template und lade eine beliebige PDF-Datei hoch (z. B. ein leeres Muster-NDA).
2. Im WYSIWYG-Builder ziehst du Felder per Drag & Drop auf das Dokument: mindestens ein Signature-Feld und ein Date-Feld. DocuSeal unterstützt 12 Feldtypen, darunter Checkbox, Text, Phone, File-Upload und Radio.
3. Speichere das Template und klicke auf Senden. Gib eine E-Mail-Adresse (deine eigene zum Testen) als Unterzeichner an.
4. Öffne den erhaltenen Signatur-Link (oder kopiere ihn aus dem Dashboard bei fehlendem SMTP) und durchlaufe den Signaturprozess vollständig.
5. Nach dem Abschluss erscheint das fertige Dokument mit eingebettetem Audit-Trail im Bereich Submissions.

Verifizieren: Unter Submissions taucht ein neuer Eintrag mit Status Completed auf. Lade das fertige PDF herunter und prüfe die letzte Seite: Dort befindet sich der Audit-Trail mit Zeitstempel, IP-Adresse und Signatur-Hash. Das Dokument wurde in /volume1/docker/docuseal/data gespeichert – prüfe dies in der File Station.

Schritt 7: HTTPS mit Synology Reverse Proxy einrichten (empfohlen)

Für den produktiven Einsatz – insbesondere beim Zugriff von außen oder beim Versenden von Signatur-Links an externe Unterzeichner – sollte DocuSeal über HTTPS erreichbar sein. Der Synology Reverse Proxy übernimmt die SSL-Terminierung, sodass der Container selbst kein Zertifikat benötigt.

Öffne DSM > Systemsteuerung > Anmeldungsportal > Erweitert > Reverse Proxy und lege eine neue Regel an:

Quellprotokoll: HTTPS
Quell-Hostname: docuseal.yourname.synology.me (oder eigene Domain)
Quell-Port: 443
Zielprotokoll: HTTP
Ziel-Hostname: localhost
Ziel-Port: 3000

Füge unter Benutzerdefinierte Header die WebSocket-Header hinzu – sie sind nötig für Echtzeit-Updates während des Signaturprozesses:

Passe anschließend die Compose-Umgebungsvariablen an – aktiviere HOST und FORCE_SSL und starte den Container neu:

      - HOST=docuseal.yourname.synology.me
      - FORCE_SSL=true

Achtung: Setze FORCE_SSL=true erst, wenn der Reverse Proxy mit gültigem Zertifikat in Betrieb ist. Sonst landet DocuSeal in einer Weiterleitungsschleife und ist nicht mehr erreichbar.

Verifizieren: Rufe https://docuseal.yourname.synology.me im Browser auf. Das Schloss-Symbol zeigt ein gültiges Zertifikat. Die Anmeldeseite lädt ohne Fehler. Ein generierter Signatur-Link enthält das HTTPS-Präfix.

Eckdaten im Überblick

Troubleshooting / Typische Fehler

1. Container startet, aber SQLite-Fehler in den Logs – Ursache: /volume1/docker/docuseal/data existiert nicht oder Docker hat keinen Schreibzugriff. Lösung: Ordner in der File Station anlegen und sicherstellen, dass er beschreibbar ist. Dann Container neu starten.
2. Nach Container-Neustart sind alle Nutzer ausgeloggt – Ursache: SECRET_KEY_BASE nicht gesetzt oder leer. DocuSeal erzeugt dann bei jedem Start einen neuen zufälligen Schlüssel. Lösung: openssl rand -hex 64 ausführen, Wert in der Compose-Datei eintragen, Container neu starten.
3. Signatur-E-Mails kommen nicht an – Ursache 1: SMTP-Variablen fehlen. Ursache 2: SMTP_ENABLE_STARTTLS=true bei einem Provider ohne STARTTLS-Unterstützung. Lösung: Alle SMTP-Variablen vollständig setzen; für Synology MailPlus SMTP_AUTHENTICATION=login verwenden.
4. App nicht erreichbar / Weiterleitungsschleife – Ursache: FORCE_SSL=true gesetzt, aber kein funktionierender HTTPS-Reverse-Proxy vorhanden. Lösung: Entweder Reverse Proxy zuerst einrichten, oder FORCE_SSL kommentieren und nur intern per HTTP zugreifen.
5. Echtzeit-Updates beim Signieren fehlen – Ursache: Reverse Proxy leitet WebSocket-Header nicht weiter. Lösung: Im Synology Reverse Proxy unter „Benutzerdefinierte Header“ die Einträge Upgrade: $http_upgrade und Connection: $connection_upgrade hinzufügen.
6. Container startet nicht auf älterem NAS – Ursache: 32-Bit-CPU (sehr alte Modelle vor ca. 2013). Lösung: Prüfen, ob das NAS x86_64 (64-Bit) hat – alle Intel/AMD-Modelle ab Atom D2700 aufwärts sind AMD64-kompatibel.
7. Nach Container-Update alle Daten weg – Ursache: Volume-Mount vergessen oder falscher Pfad in der Compose-Datei. Lösung: Vor jedem Start prüfen, dass /volume1/docker/docuseal/data:/data korrekt eingetragen ist.

Häufige Fragen

Ist DocuSeal rechtlich gleichwertig zu DocuSign?

DocuSeal erzeugt einfache elektronische Signaturen (EES) nach eIDAS Art. 3 Nr. 10 – rechtsgültig in der EU für die überwiegende Mehrheit der Alltagsverträge: Arbeitsverträge, NDAs, Angebotsannahmen, Einverständniserklärungen. Nicht geeignet ist EES für Dokumente, die gesetzlich eine handschriftliche Unterschrift oder Beurkundung erfordern – etwa notariell beurkundete Verträge oder Bürgschaften nach § 766 BGB. Für diese wäre eine qualifizierte elektronische Signatur (QES) nötig, die einen zugelassenen Trust Service Provider erfordert. DocuSign und HelloSign erzeugen übrigens ebenfalls in der Regel nur EES – der Unterschied liegt nicht in der Signaturklasse, sondern in der Datenhaltung.

Kann ich ohne E-Mail-Server (SMTP) arbeiten?

Ja. Ohne SMTP-Konfiguration erzeugt DocuSeal Signatur-Links, die du manuell per E-Mail, Chat oder Messenger weitergibst. Der gesamte Signatur-Workflow funktioniert vollständig – nur die automatischen Benachrichtigungen (Anfrage, Erinnerung, Abschluss) entfallen. Für gelegentliche interne Dokumente ist das ausreichend; für regelmäßigen Kundenkontakt empfiehlt sich SMTP.

Wie sichere ich die signierten Dokumente?

Das /data-Volume unter /volume1/docker/docuseal/data enthält alle Daten: SQLite-Datenbank, hochgeladene PDFs und fertige Signaturen. Ein regelmäßiges Backup dieses Ordners per Synology Hyper Backup ist ausreichend. Alternativ lässt sich S3-kompatibler Cloud-Speicher (AWS S3, MinIO, Hetzner Object Storage) als primäres Speicherziel für fertige Dokumente konfigurieren.

Wie viele Dokumente und Benutzer sind inklusive?

Die selbst gehostete Community-Edition ist vollständig kostenlos und ohne Limits – keine Begrenzung bei Dokumenten, Signaturen oder Benutzern. Die AGPLv3-Lizenz erlaubt kommerzielle Nutzung im eigenen Unternehmen. Einschränkung: Wer DocuSeal als SaaS-Dienst für Dritte anbietet, benötigt eine kommerzielle Lizenz.

Kann ich DocuSeal mit paperless-ngx kombinieren?

Eine native Integration existiert nicht, aber über die REST-API lassen sich Workflows verbinden. DocuSeal sendet nach Abschluss einer Signatur einen Webhook (POST-Anfrage mit dem finalen PDF-Link) – dieser lässt sich nutzen, um das fertige Dokument automatisch in paperless-ngx zu importieren. Die Anleitung zur papierlosen Dokumentenverwaltung findest du hier: Paperless-ngx mit Docker einrichten: papierlose Dokumentenverwaltung mit deutscher OCR.

Funktioniert DocuSeal auf ARM-basierten Synology NAS?

Ja. Das offizielle Docker-Image unterstützt linux/arm64 neben linux/amd64 – bestätigt über Docker Hub (Stand Juni 2026). Synology-Modelle mit ARM64-CPU (z. B. DS923+, DS1522+ mit AMD Ryzen) werden vollständig unterstützt.

Sollte ich SQLite oder PostgreSQL verwenden?

Für KMU-Betrieb mit wenigen Benutzern und einigen hundert Dokumenten pro Monat ist SQLite (Standard) vollkommen ausreichend – es läuft direkt im Container ohne externe Abhängigkeiten. PostgreSQL empfiehlt sich erst bei größeren Installationen mit vielen gleichzeitigen Zugriffen. Der Wechsel nachträglich erfordert manuelle Datenmigration; plane die Entscheidung daher im Voraus.

Fazit

DocuSeal ist eine ausgereifte, gut dokumentierte DocuSign-Alternative, die sich auf dem Synology NAS mit minimalem Aufwand betreiben lässt. Der Single-Container-Ansatz mit SQLite und einem einzigen Volume hält die Komplexität niedrig – du brauchst weder Portainer noch eine externe Datenbank für den Einstieg. Für KMU, die Verträge und Einverständniserklärungen DSGVO-konform ohne US-Cloud abwickeln wollen, ist die Kombination aus vollständiger Datensouveränität, kostenloser Nutzung und eIDAS-konformer EES-Signatur kaum zu schlagen. Wer den Signatur-Workflow weiter automatisieren möchte, kann DocuSeal über die REST-API und Webhooks an bestehende Systeme anbinden – etwa an kollaborative Office-Werkzeuge: OnlyOffice auf dem Synology NAS: Office-Dokumente im Browser bearbeiten.

Weiterführende Anleitungen und Quellen

1. Paperless-ngx mit Docker einrichten: papierlose Dokumentenverwaltung mit deutscher OCR – digitale Ablage und OCR als Ergänzung zu DocuSeal
2. Container Manager auf dem Synology NAS: Docker-Compose-Projekt anlegen, starten und aktualisieren – Grundlagen für alle Compose-Projekte auf dem NAS
3. Nginx Proxy Manager auf der Synology mit Container Manager einrichten – Alternative zum DSM Reverse Proxy für HTTPS-Termination

Quellen: DocuSeal GitHub Repository (offizielle docker-compose.yml, README) · DocuSeal Docker Hub (Image-Tags, Architekturen) · DocuSeal Dokumentation (Umgebungsvariablen) · Mariushosting (Referenz-Anleitung, fachlich adaptiert und gegen offizielle Quellen verifiziert)