Mit den inhaltlichen Anforderungen an einen Auftragsverarbeitungsvertrag (AVV) haben wir uns bereits ausführlich beschäftigt. Doch wie sieht es mit der Formerfordernisse für die Auftragsverarbeitung aus? Müssen beide Parteien den AVV per qualifizierter elektronischer Signatur schließen, oder reicht es aus, wenn der (Unter-)Auftragsverarbeiter den Auftragsverarbeitungsvertrag online veröffentlicht?
Der Inhalt im Überblick
Online-Abschluss von AVVs in der Praxis
Unternehmen können, je nach angebotener Dienstleistung, als Auftragsverarbeiter handeln. Jedoch ist es oft unrealistisch, mit jedem Kunden einen AVV zu verhandeln und auf jedem Vertrag physische Unterschriften zu erhalten. Daher ist es in der Praxis vollkommen üblich, dass Auftragsverarbeitungsverträge auf der Webseite des Dienstleisters veröffentlicht oder zum Download zur Verfügung gestellt werden. Viele Unternehmen, die solche Plattformen benutzen, fragen sich, ob die Unterschriften der Vertragspartner überhaupt erforderlich sind.
Das Schriftformerfordernis vor Inkrafttreten der DSGVO
Gemäß der alten Rechtslage mussten die Verträge schriftlich abgeschlossen werden, was die Unterschriften der Vertragspartner erforderlich machten. Diese Schriftform wird in § 126 BGB definiert und besagt, dass die Original-Unterschriften aller beteiligten Parteien nötig sind und dass dieser Vertrag auf Papierbasis geschlossen werden muss. Eingescannte Unterschriften oder der Versand per E-Mail oder Fax zwischen den Parteien reicht nicht aus.
Dies konnte jedoch durch eine qualifizierte elektronische Signatur iSd § 126a BGB in elektronischer Form ersetzt werden und bei der ein Vertrag bei Formmangel nach § 125 BGB nichtig wäre.
Formerfordernisse der AVV nach Art. 28 Abs. 9 DSGVO
Gemäß Art. 28 Abs. 9 DSGVO sind die nach Art. 28 Abs. 3 und 4 DSGVO erforderlichen Verträge schriftlich abzuschließen, wobei ein elektronisches Format ausreichend ist.
In der DSGVO wird nun von einem „Vertrag“ und nicht mehr von einem „Auftrag“ (vgl. § 11 BDSG a.F.) gesprochen. Bedeutet dies ein strenges, gesetzliches Schriftformerfordernis? Welche Anforderungen werden an dieses elektronische Format i.S.v. Art. 28 Abs. 9 DSGVO gestellt?
„Elektronischer Form“ und „elektronisches Format“
Im Trilog wurde noch der Begriff der „elektronischen Form“ verwendet. In der endgültigen Fassung gestattet Art. 28 Abs. 9 DSGVO ein „elektronisches Format“, ohne dies weiter zu definieren. Was bedeutet diese Änderung?
Ein systematischer Vergleich innerhalb der DSGVO legt nahe, dass keine strenge Formvorschrift gilt, da in anderen Artikeln der DSGVO ebenfalls von einem „elektronischen Format“ gesprochen wird, ohne eine qualifizierte elektronische Signatur zu verlangen: Nach Art. 15 Abs. 3 DSGVO sind bei einem elektronischen Antrag auf Auskunft, die Informationen in einem „gängigen elektronischen Format“ zur Verfügung zu stellen. Nach Art. 30 Abs. 3 DSGVO kann das Verzeichnis der Verarbeitungstätigkeiten entweder schriftlich oder in einem elektronischen Format geführt werden. In beiden Regelungen geht es um die erleichterte Speicherung oder Herausgabe von Informationen, aber nicht um einen erhöhten Beweiswert, der eine qualifizierte Signatur erfordern würde. Somit ist zu vermuten, dass dies auch im Rahmen des Art. 28 Abs. 9 DSGVO nicht erforderlich ist.
Der Vergleich mit anderen Sprachfassungen ergibt ein uneinheitliches Bild: In der englischen Version wird der Begriff „electronic form“ verwendet. Auch in Art. 5 der EU-Richtlinie, die elektronische Signaturen regeln sollte und aufgrund derer § 126a BGB neu geschaffen wurde, ist dies der Fall. Die französische Version verwendet dagegen in Art. 15 Abs. 3, Art. 28 Abs. 9 und Art. 30 Abs. 3 verschiedene, der deutschen Fassung ähnlichere Begriffe ohne ersichtlichen Hintergrund für die Unterschiedlichkeit.
Vergleich mit anderen Richtlinien
Die Textform ist bisher vor allem aus dem Bereich des E-Commerce bekannt. In der E-Commerce-Richtlinie, nach der im deutschen Recht Informationen im Textformat zu erteilen sind, finden sich jedoch weder die Begriffe „elektronisches Format“ noch „elektronische Form“. In der deutschen Fassung der Signatur-Richtlinie (Art. 2 Nr. 1) wird die Bezeichnung „elektronische Form“ benutzt und gerade nicht „elektronisches Format“.
Daher scheint es keine Anhaltspunkte dafür zu geben, dass der europäische Gesetzgeber mit dem Begriff „elektronisches Format“ die strengere elektronische Form mit qualifizierter elektronischer Signatur gemeint hat.
Was sagt die Aufsichtsbehörde?
Der Bayerische Landesbeauftragte für den Datenschutz ist der Meinung, dass eine qualifizierte elektronische Signatur nicht zwingend ist, sondern nur eine der denkbaren elektronischen Möglichkeiten. Jedenfalls ist es aber hinreichend und beweiskräftig zu dokumentieren, sowohl für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden. Zum Beispiel durch unterzeichnete und eingescannte Texte inkl. Protokollierung des geführten E-Mail-Verkehrs. Eine Unterschrift auf derselben Urkunde ist nicht erforderlich.
Beweissicherungs- und Authentizitätssicherungszwecke
Es scheint sich die Ansicht durchzusetzen, dass die Textform gemäß § 126b BGB den Anforderungen an das elektronische Format gemäß Art. 28 Abs. 9 der DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger abgegeben wird und gegen nachträgliche Änderungen geschützt ist. Zum dauerhaften Datenträger kann z.B. eine Download-Möglichkeit ausreichen.
Der Abschluss von AVVs soll dazu dienen, dem Auftragsverarbeiter oder Unterauftragsverarbeiter Verpflichtungen zur Datenverarbeitung aufzuerlegen, um ein angemessenes Schutzniveau sicherzustellen. Wichtig ist daher, dass die Datenverarbeiter die Daten tatsächlich im Einklang mit diesen Bestimmungen verarbeiten.
Die Form des AVVs soll daher verbürgen, dass sich die Parteien, die in dem Dokument genannt sind, zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Nur wenn das elektronische Format diesen Anforderungen genügt und insbesondere die Echtheit der in dem Dokument genannten Verpflichtungen (spätere Änderung / Fälschung) sicherstellt, ist die Schriftform iSd. Art. 28 Abs. 9 gewahrt. Eine einfache E-Mail genügt dem regelmäßig nicht.
Elektronische Signatur ist unnötig, dauerhafte Form ist zu beachten
Der Abschluss eines AVV bedarf nach herrschender Meinung keiner qualifizierten elektronischen Signatur. Allerdings ist beim elektronischen Abschluss von Auftragsverarbeitungsverträgen sicherzustellen, dass diese in einem dauerhaften Format übermittelt werden und gegen nachträgliche Änderungen geschützt sind, da dies zu Beweissicherungszwecken dient.
Huhu liebe Anqi, Dankeschön für die Zusammenfassung.
Mir persönlich fehlt nur noch ein Hinweis auf die (Un-) Möglichkeit der Integration in die AGB eines Unternehmens (Auftragnehmer).
Vielen Dank für den informativen Beitrag.
Sehe ich das richtig, dass demnach ein Anklicken eines entsprechenden Feldes z.B. bei Google nicht genügt.
In der Regel sollten die Dokumente in einer dauerhaften Form gespeichert, beispielsweise als PDF, heruntergeladen werden.