Der Trend, Daten durch Dienstleister, wie z.B. Cloud-Anbieter verarbeiten zu lassen, setzt sich stetig fort. Dabei ist die Auftrags(daten)verarbeitung ein wichtiges Instrument des Datenschutzrechts, an dem die DSGVO festhält. Auch wenn Artikel 28 DSGVO inhaltlich vieles aus dem alten Recht aufgreift, gibt es eine wesentliche Neuerung bzw. wichtige Erleichterung für die Praxis: Nach der alten Rechtslage (vgl. § 11 BDSG a.F.) waren die Verträge schriftlich abzuschließen, was bedeutete, dass die Unterschriften der Vertragspartner erforderlich waren. Nach der DSGVO ist es nunmehr möglich, Verträge zur Auftragsverarbeitung in einem elektronischen Format abzuschließen. Worauf Unternehmen hierbei achten müssen, zeigen wir Ihnen in diesem Beitrag.
Formvorschriften der Auftragsverarbeitung
Eine Auftragsverarbeitung darf auch nach der DSGVO nur auf Grundlage eines Vertrags erfolgen, in dem insbesondere Gegenstand und Dauer der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen sind. Zentrales Element bleibt dabei weiterhin die vertraglich zu regelnde Weisungsgebundenheit des Auftragsverarbeiters. Insoweit bringt die DSGVO kaum Neuerungen.
Interessant wird es jedoch bei den Formvorschriften. Denn nach Art. 28 Abs. 9 DSGVO ist ein Vertrag zur Auftragsverarbeitung schriftlich abzuschließen, wobei ein elektronisches Format ausreichend ist. Diesbezüglich ist der Gesetzestext eindeutig. Das elektronische Format genügt dem europäischen Gesetzgeber, die nach der DSGVO geforderte Transparenz- und Rechenschaftspflicht zu erfüllen. Zur Wahrung der Beweis- und Authentizitätsfunktion ist eine händische Unterschrift somit nicht mehr erforderlich.
Nicht ganz so eindeutig gestaltet sich die Situation bei der Einschaltung von Unterauftragnehmern, welche gemäß Art. 28 Abs. 2 DSGVO nur bei vorheriger schriftlicher Zustimmung des Auftraggebers hinzugezogen werden dürfen; eine Privilegierung des elektronischen Formats findet sich im Gesetzestext nicht. Doch auch bei der Einschaltung von Subunternehmen scheint sich die Ansicht durchzusetzen, dass das elektronische Format für eine entsprechende Genehmigung ausreichend sein soll. So sehen es jedenfalls das Bayrische Landesamt für Datenschutzaufsicht und das ULD Schleswig-Holstein.
Anforderungen an das elektronische Format
Doch welche Anforderungen werden an dieses elektronische Format überhaupt gestellt?
Im Rahmen des BDSG wurde die strenge gesetzliche Schriftform des Bürgerlichen Gesetzbuchs herangezogen, die als elektronische Form nur durch eine qualifizierte elektronische Signatur ersetzt werden kann, § 126a BGB. Wurde ein Auftrags(daten)verarbeitungsvertrag nicht schriftlich oder per qualifizierter elektronischer Signatur geschlossen, war er nichtig. Es stellt sich nun die Frage, ob die DSGVO eine elektronische Form i.S.d § 126a BGB – also eine qualifizierte elektronische Signatur – verlangt oder eine andere elektronische Form ausreichend ist.
Bei Begriffen einer EU-Verordnung darf, anders als bei den Begriffen des BDSG, keine Auslegung allein anhand der jeweiligen nationalen Rechtsordnung erfolgen. Vielmehr ist wegen des Grundsatzes der praktischen Wirksamkeit und wegen des Vorrangs des europäischen Rechts eine eigenständige Auslegung anzuwenden.
Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.
Umsetzung in der Praxis
Die Textform ist bisher vor allem aus dem Bereich des E-Commerce bekannt. Denn Unternehmen können Widerrufsbelehrungen regelmäßig in Textform übermitteln. Dabei entspricht es gängiger Rechtsprechung, dass beispielsweise eine einfache E-Mail oder die Ausspielung einer HTML-Seite zur Wahrung dieser Form nicht ausreichen sollen. Vielmehr ist dem Empfänger die Erklärung in einem dauerhaften Format zu übermitteln bzw. zum Download bereitzustellen. Da dieses Format geeignet sein muss, die Erklärung unverändert wiederzugeben, handelt es sich regelmäßig um eine pdf-Datei.
Auch beim elektronischen Abschluss von Verträgen zur Auftragsverarbeitung ist zukünftig darauf zu achten, dass diese entsprechend den dargestellten Maßstäben abgeschlossen werden, so z.B. durch Erklärungen in Form einer pdf-Datei unter Benennung der Vertragsparteien. Es ist jedenfalls davon auszugehen, dass der AV-Vertragsschlusse per einfacher E-Mail oder im Rahmen von nicht geschützten Dokumenten keine Wirksamkeit nach der DSGVO begründet.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Dr. Malte Kröger