Zum Inhalt springen Zur Navigation springen
AVV online abschließen: Elektronische Signatur erforderlich?

AVV online abschließen: Elektronische Signatur erforderlich?

Mit den inhaltlichen Anforderungen an einen Auftragsverarbeitungsvertrag (AVV) haben wir uns bereits ausführlich beschäftigt. Doch wie sieht es mit der Formerfordernisse für die Auftragsverarbeitung aus? Müssen beide Parteien den AVV per qualifizierter elektronischer Signatur schließen, oder reicht es aus, wenn der (Unter-)Auftragsverarbeiter den Auftragsverarbeitungsvertrag online veröffentlicht?

Online-Abschluss von AVVs in der Praxis

Unternehmen können, je nach angebotener Dienstleistung, als Auftragsverarbeiter handeln. Jedoch ist es oft unrealistisch, mit jedem Kunden einen AVV zu verhandeln und auf jedem Vertrag physische Unterschriften zu erhalten. Daher ist es in der Praxis vollkommen üblich, dass Auftragsverarbeitungsverträge auf der Webseite des Dienstleisters veröffentlicht oder zum Download zur Verfügung gestellt werden. Viele Unternehmen, die solche Plattformen benutzen, fragen sich, ob die Unterschriften der Vertragspartner überhaupt erforderlich sind.

Das Schriftformerfordernis vor Inkrafttreten der DSGVO

Gemäß der alten Rechtslage mussten die Verträge schriftlich abgeschlossen werden, was die Unterschriften der Vertragspartner erforderlich machten. Diese Schriftform wird in § 126 BGB definiert und besagt, dass die Original-Unterschriften aller beteiligten Parteien nötig sind und dass dieser Vertrag auf Papierbasis geschlossen werden muss. Eingescannte Unterschriften oder der Versand per E-Mail oder Fax zwischen den Parteien reicht nicht aus.

Dies konnte jedoch durch eine qualifizierte elektronische Signatur iSd § 126a BGB in elektronischer Form ersetzt werden und bei der ein Vertrag bei Formmangel nach § 125 BGB nichtig wäre.

Formerfordernisse der AVV nach Art. 28 Abs. 9 DSGVO

Gemäß Art. 28 Abs. 9 DSGVO sind die nach Art. 28 Abs. 3 und 4 DSGVO erforderlichen Verträge schriftlich abzuschließen, wobei ein elektronisches Format ausreichend ist.

In der DSGVO wird nun von einem „Vertrag“ und nicht mehr von einem „Auftrag“ (vgl. § 11 BDSG a.F.) gesprochen. Bedeutet dies ein strenges, gesetzliches Schriftformerfordernis? Welche Anforderungen werden an dieses elektronische Format i.S.v. Art. 28 Abs. 9 DSGVO gestellt?

„Elektronischer Form undelektronisches Format“

Im Trilog wurde noch der Begriff der „elektronischen Form“ verwendet. In der endgültigen Fassung gestattet Art. 28 Abs. 9 DSGVO ein „elektronisches Format“, ohne dies weiter zu definieren. Was bedeutet diese Änderung?

Ein systematischer Vergleich innerhalb der DSGVO legt nahe, dass keine strenge Formvorschrift gilt, da in anderen Artikeln der DSGVO ebenfalls von einem „elektronischen Format“ gesprochen wird, ohne eine qualifizierte elektronische Signatur zu verlangen: Nach Art. 15 Abs. 3 DSGVO sind bei einem elektronischen Antrag auf Auskunft, die Informationen in einem „gängigen elektronischen Format“ zur Verfügung zu stellen. Nach Art. 30 Abs. 3 DSGVO kann das Verzeichnis der Verarbeitungstätigkeiten entweder schriftlich oder in einem elektronischen Format geführt werden. In beiden Regelungen geht es um die erleichterte Speicherung oder Herausgabe von Informationen, aber nicht um einen erhöhten Beweiswert, der eine qualifizierte Signatur erfordern würde. Somit ist zu vermuten, dass dies auch im Rahmen des Art. 28 Abs. 9 DSGVO nicht erforderlich ist.

Der Vergleich mit anderen Sprachfassungen ergibt ein uneinheitliches Bild: In der englischen Version wird der Begriff „electronic form“ verwendet. Auch in Art. 5 der EU-Richtlinie, die elektronische Signaturen regeln sollte und aufgrund derer § 126a BGB neu geschaffen wurde, ist dies der Fall. Die französische Version verwendet dagegen in Art. 15 Abs. 3, Art. 28 Abs. 9 und Art. 30 Abs. 3 verschiedene, der deutschen Fassung ähnlichere Begriffe ohne ersichtlichen Hintergrund für die Unterschiedlichkeit.

Vergleich mit anderen Richtlinien

Die Textform ist bisher vor allem aus dem Bereich des E-Commerce bekannt. In der E-Commerce-Richtlinie, nach der im deutschen Recht Informationen im Textformat zu erteilen sind, finden sich jedoch weder die Begriffe „elektronisches Format“ noch „elektronische Form“. In der deutschen Fassung der Signatur-Richtlinie (Art. 2 Nr. 1) wird die Bezeichnung „elektronische Form“ benutzt und gerade nicht „elektronisches Format“.

Daher scheint es keine Anhaltspunkte dafür zu geben, dass der europäische Gesetzgeber mit dem Begriff „elektronisches Format“ die strengere elektronische Form mit qualifizierter elektronischer Signatur gemeint hat.

Was sagt die Aufsichtsbehörde?

Der Bayerische Landesbeauftragte für den Datenschutz ist der Meinung, dass eine qualifizierte elektronische Signatur nicht zwingend ist, sondern nur eine der denkbaren elektronischen Möglichkeiten. Jedenfalls ist es aber hinreichend und beweiskräftig zu dokumentieren, sowohl für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden. Zum Beispiel durch unterzeichnete und eingescannte Texte inkl. Protokollierung des geführten E-Mail-Verkehrs. Eine Unterschrift auf derselben Urkunde ist nicht erforderlich.

Beweissicherungs- und Authentizitätssicherungszwecke

Es scheint sich die Ansicht durchzusetzen, dass die Textform gemäß § 126b BGB den Anforderungen an das elektronische Format gemäß Art. 28 Abs. 9 der DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger abgegeben wird und gegen nachträgliche Änderungen geschützt ist. Zum dauerhaften Datenträger kann z.B. eine Download-Möglichkeit ausreichen.

Der Abschluss von AVVs soll dazu dienen, dem Auftragsverarbeiter oder Unterauftragsverarbeiter Verpflichtungen zur Datenverarbeitung aufzuerlegen, um ein angemessenes Schutzniveau sicherzustellen. Wichtig ist daher, dass die Datenverarbeiter die Daten tatsächlich im Einklang mit diesen Bestimmungen verarbeiten.

Die Form des AVVs soll daher verbürgen, dass sich die Parteien, die in dem Dokument genannt sind, zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Nur wenn das elektronische Format diesen Anforderungen genügt und insbesondere die Echtheit der in dem Dokument genannten Verpflichtungen (spätere Änderung / Fälschung) sicherstellt, ist die Schriftform iSd. Art. 28 Abs. 9 gewahrt. Eine einfache E-Mail genügt dem regelmäßig nicht.

Elektronische Signatur ist unnötig, dauerhafte Form ist zu beachten

Der Abschluss eines AVV bedarf nach herrschender Meinung keiner qualifizierten elektronischen Signatur. Allerdings ist beim elektronischen Abschluss von Auftragsverarbeitungsverträgen sicherzustellen, dass diese in einem dauerhaften Format übermittelt werden und gegen nachträgliche Änderungen geschützt sind, da dies zu Beweissicherungszwecken dient.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.