AVV online abschließen: Elektronische Signatur erforderlich?

Artikel von Anqi Chen·18. September 2023

Mit den inhaltlichen Anforderungen an einen Auftragsverarbeitungsvertrag (AVV) haben wir uns bereits ausführlich beschäftigt. Doch wie sieht es mit der Formerfordernisse für die Auftragsverarbeitung aus? Müssen beide Parteien den AVV per qualifizierter elektronischer Signatur schließen, oder reicht es aus, wenn der (Unter-)Auftragsverarbeiter den Auftragsverarbeitungsvertrag online veröffentlicht?

Der Inhalt im Überblick

Online-Abschluss von AVVs in der Praxis
Das Schriftformerfordernis vor Inkrafttreten der DSGVO
Formerfordernisse der AVV nach Art. 28 Abs. 9 DSGVO
- „Elektronischer Form“ und „elektronisches Format“
- Vergleich mit anderen Richtlinien
Was sagt die Aufsichtsbehörde?
Beweissicherungs- und Authentizitätssicherungszwecke
Elektronische Signatur ist unnötig, dauerhafte Form ist zu beachten

Online-Abschluss von AVVs in der Praxis

Unternehmen können, je nach angebotener Dienstleistung, als Auftragsverarbeiter handeln. Jedoch ist es oft unrealistisch, mit jedem Kunden einen AVV zu verhandeln und auf jedem Vertrag physische Unterschriften zu erhalten. Daher ist es in der Praxis vollkommen üblich, dass Auftragsverarbeitungsverträge auf der Webseite des Dienstleisters veröffentlicht oder zum Download zur Verfügung gestellt werden. Viele Unternehmen, die solche Plattformen benutzen, fragen sich, ob die Unterschriften der Vertragspartner überhaupt erforderlich sind.

Das Schriftformerfordernis vor Inkrafttreten der DSGVO

Gemäß der alten Rechtslage mussten die Verträge schriftlich abgeschlossen werden, was die Unterschriften der Vertragspartner erforderlich machten. Diese Schriftform wird in § 126 BGB definiert und besagt, dass die Original-Unterschriften aller beteiligten Parteien nötig sind und dass dieser Vertrag auf Papierbasis geschlossen werden muss. Eingescannte Unterschriften oder der Versand per E-Mail oder Fax zwischen den Parteien reicht nicht aus.

Dies konnte jedoch durch eine qualifizierte elektronische Signatur iSd § 126a BGB in elektronischer Form ersetzt werden und bei der ein Vertrag bei Formmangel nach § 125 BGB nichtig wäre.

Formerfordernisse der AVV nach Art. 28 Abs. 9 DSGVO

Gemäß Art. 28 Abs. 9 DSGVO sind die nach Art. 28 Abs. 3 und 4 DSGVO erforderlichen Verträge schriftlich abzuschließen, wobei ein elektronisches Format ausreichend ist.

In der DSGVO wird nun von einem „Vertrag“ und nicht mehr von einem „Auftrag“ (vgl. § 11 BDSG a.F.) gesprochen. Bedeutet dies ein strenges, gesetzliches Schriftformerfordernis? Welche Anforderungen werden an dieses elektronische Format i.S.v. Art. 28 Abs. 9 DSGVO gestellt?

„Elektronischer Form“ und „elektronisches Format“

Im Trilog wurde noch der Begriff der „elektronischen Form“ verwendet. In der endgültigen Fassung gestattet Art. 28 Abs. 9 DSGVO ein „elektronisches Format“, ohne dies weiter zu definieren. Was bedeutet diese Änderung?

Ein systematischer Vergleich innerhalb der DSGVO legt nahe, dass keine strenge Formvorschrift gilt, da in anderen Artikeln der DSGVO ebenfalls von einem „elektronischen Format“ gesprochen wird, ohne eine qualifizierte elektronische Signatur zu verlangen: Nach Art. 15 Abs. 3 DSGVO sind bei einem elektronischen Antrag auf Auskunft, die Informationen in einem „gängigen elektronischen Format“ zur Verfügung zu stellen. Nach Art. 30 Abs. 3 DSGVO kann das Verzeichnis der Verarbeitungstätigkeiten entweder schriftlich oder in einem elektronischen Format geführt werden. In beiden Regelungen geht es um die erleichterte Speicherung oder Herausgabe von Informationen, aber nicht um einen erhöhten Beweiswert, der eine qualifizierte Signatur erfordern würde. Somit ist zu vermuten, dass dies auch im Rahmen des Art. 28 Abs. 9 DSGVO nicht erforderlich ist.

Der Vergleich mit anderen Sprachfassungen ergibt ein uneinheitliches Bild: In der englischen Version wird der Begriff „electronic form“ verwendet. Auch in Art. 5 der EU-Richtlinie, die elektronische Signaturen regeln sollte und aufgrund derer § 126a BGB neu geschaffen wurde, ist dies der Fall. Die französische Version verwendet dagegen in Art. 15 Abs. 3, Art. 28 Abs. 9 und Art. 30 Abs. 3 verschiedene, der deutschen Fassung ähnlichere Begriffe ohne ersichtlichen Hintergrund für die Unterschiedlichkeit.

Vergleich mit anderen Richtlinien

Die Textform ist bisher vor allem aus dem Bereich des E-Commerce bekannt. In der E-Commerce-Richtlinie, nach der im deutschen Recht Informationen im Textformat zu erteilen sind, finden sich jedoch weder die Begriffe „elektronisches Format“ noch „elektronische Form“. In der deutschen Fassung der Signatur-Richtlinie (Art. 2 Nr. 1) wird die Bezeichnung „elektronische Form“ benutzt und gerade nicht „elektronisches Format“.

Daher scheint es keine Anhaltspunkte dafür zu geben, dass der europäische Gesetzgeber mit dem Begriff „elektronisches Format“ die strengere elektronische Form mit qualifizierter elektronischer Signatur gemeint hat.

Was sagt die Aufsichtsbehörde?

Der Bayerische Landesbeauftragte für den Datenschutz ist der Meinung, dass eine qualifizierte elektronische Signatur nicht zwingend ist, sondern nur eine der denkbaren elektronischen Möglichkeiten. Jedenfalls ist es aber hinreichend und beweiskräftig zu dokumentieren, sowohl für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden. Zum Beispiel durch unterzeichnete und eingescannte Texte inkl. Protokollierung des geführten E-Mail-Verkehrs. Eine Unterschrift auf derselben Urkunde ist nicht erforderlich.

Beweissicherungs- und Authentizitätssicherungszwecke

Es scheint sich die Ansicht durchzusetzen, dass die Textform gemäß § 126b BGB den Anforderungen an das elektronische Format gemäß Art. 28 Abs. 9 der DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger abgegeben wird und gegen nachträgliche Änderungen geschützt ist. Zum dauerhaften Datenträger kann z.B. eine Download-Möglichkeit ausreichen.

Der Abschluss von AVVs soll dazu dienen, dem Auftragsverarbeiter oder Unterauftragsverarbeiter Verpflichtungen zur Datenverarbeitung aufzuerlegen, um ein angemessenes Schutzniveau sicherzustellen. Wichtig ist daher, dass die Datenverarbeiter die Daten tatsächlich im Einklang mit diesen Bestimmungen verarbeiten.

Die Form des AVVs soll daher verbürgen, dass sich die Parteien, die in dem Dokument genannt sind, zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Nur wenn das elektronische Format diesen Anforderungen genügt und insbesondere die Echtheit der in dem Dokument genannten Verpflichtungen (spätere Änderung / Fälschung) sicherstellt, ist die Schriftform iSd. Art. 28 Abs. 9 gewahrt. Eine einfache E-Mail genügt dem regelmäßig nicht.

Elektronische Signatur ist unnötig, dauerhafte Form ist zu beachten

Der Abschluss eines AVV bedarf nach herrschender Meinung keiner qualifizierten elektronischen Signatur. Allerdings ist beim elektronischen Abschluss von Auftragsverarbeitungsverträgen sicherzustellen, dass diese in einem dauerhaften Format übermittelt werden und gegen nachträgliche Änderungen geschützt sind, da dies zu Beweissicherungszwecken dient.

- Auftragsdatenverarbeitung
  Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Die Nutzung von WhatsApp im BewerbungsverfahrenFachbeitrag·14. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema
- Auftragsverarbeitungsvertrag
  Frühjahrsputz: Die 5 größten DatenschutzirrtümerFachbeitrag·20. März 2024
- Abgrenzung zwischen Verantwortlichkeit und AuftragsverarbeitungFachbeitrag·18. Oktober 2023
- Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“Fachbeitrag·16. August 2023
Mehr zum Thema
- elektronische Signatur
  E-Mail-Disclaimer & -Signaturen: Überflüssig oder Pflicht?Fachbeitrag·26. März 2024
- Bitcoin – Technische Grundlagen der KryptowährungFachbeitrag·16. November 2017
- Hashwerte und Hashfunktionen einfach erklärtFachbeitrag·2. September 2016
Mehr zum Thema
- Rechenschaftspflicht
  Datenschutz messbar machen – Reifegrade und KennzahlenFachbeitrag·19. Februar 2024
- Was besagt die Rechenschaftspflicht im Sinne der DSGVO?Fachbeitrag·4. April 2023
- Datenschutzbeauftragter Qualifikation: Diese Fachkunde ist nötigFachbeitrag·29. November 2022
Mehr zum Thema
- Transparenz
  Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
- Informationspflichten nach DSGVO: Verarbeitung durch DritteFachbeitrag·20. November 2023
- Prüfanforderungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit KIFachbeitrag·26. Oktober 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Huhu liebe Anqi, Dankeschön für die Zusammenfassung.
Mir persönlich fehlt nur noch ein Hinweis auf die (Un-) Möglichkeit der Integration in die AGB eines Unternehmens (Auftragnehmer).

MB am 19. September 2023, 10:50 Uhr

Antworten
Vielen Dank für den informativen Beitrag.
Sehe ich das richtig, dass demnach ein Anklicken eines entsprechenden Feldes z.B. bei Google nicht genügt.

dedsb am 25. September 2023, 14:19 Uhr

Antworten
- In der Regel sollten die Dokumente in einer dauerhaften Form gespeichert, beispielsweise als PDF, heruntergeladen werden.
  
  Dr. Datenschutz am 25. Oktober 2023, 16:29 Uhr
  
  Antworten