Der Hessische Datenschutzbeauftragte (HBDI) hat kürzlich seinen neuen, 48. Tätigkeitsbericht veröffentlicht (pdf).
Unter anderem befasst sich die Aufsichtsbehörde dort auch mit einem immer noch praxisrelevanten Thema: in welcher Form dürfen bzw. müssen Verträge zur Auftragsverarbeitung (AVV) abgeschlossen werden?
Bereits in der Vergangenheit hatte ich darauf hingewiesen, dass selbst die Europäische Kommission keine allzu hohen Anforderungen an die Form eines AVV stellt.
Art. 28 Abs. 9 DSGVO gibt vor:
„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“
Bedeutend ist also, was mit „schriftlich“ und „elektronischen Format“ gemeint ist.
Nach Ansicht des HBDI ist das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO nicht identisch mit der Schriftform nach § 126 BGB. Meines Erachtens ist diese Ansicht zutreffend. Unter anderem auch deshalb, weil es sich bei der DSGVO um EU-Recht handelt und eine europarechtsautonome Auslegung erforderlich ist. Der Verweis auf nationale Formvorschriften im Zivilrecht passt daher nicht.
Der HBDI geht davon aus, dass demnach nicht wie nach § 126 Abs. 1 BGB zwingend eine vom Aussteller eigenhändig unterschriebene Urkunde erstellt werden muss. Oder anders ausgedrückt: ein AVV muss nicht handschriftlich unterzeichnet werden.
Danach geht der HBDI auf den Sinn und Zweck der Formvorschrift in Art. 28 DSGVO ein. Mit der in der DSGVO angeordneten Schriftform soll sichergestellt werden, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des AVV oder einer einseitigen Verpflichtungserklärung zu informieren.
Diese dauerhafte Informationsfunktion erfüllt auch die Textform, wie sie in § 126b BGB geregelt ist.
Der HBDI lässt also auch solche AVV als wirksam gelten, die „nur“ das deutsche Erfordernis an die Textform erfüllen würden.
Und dann nennt der HBDI auch konkrete Beispiele, wie in der Praxis ein AVV wirksam abgeschlossen werden kann:
- Austausch von Computerfaxen
- Austausch von E-Mails mit oder ohne PDF-Anhang
Beide Varianten genügen dem Schriftformerfordernis des Art. 28 Abs. 9 DSGVO.
Zudem weist der HBDI darauf hin, dass der Auftragsverarbeiter auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben kann.
Jedoch muss dann sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann. Nach Ansicht des HBDI verlangt die DSGVO nicht, dass ein Download tatsächlich erfolgt.
Zudem geht der HBDI auch auf das Merkmal „elektronischem Format“ ein. Hiermit kann nicht ein nach § 126 a BGB elektronisch signiertes Dokument gemeint sein. Begründet wird diese Ansicht (meines Erachtens zutreffend) u.a. damit, dass sich in Art. 30 Abs. 3 DSGVO für das Führen des Verarbeitungsverzeichnisses eine wortgleiche Schriftformregelung findet.
Es ist jedoch kein Grund ersichtlich, weshalb ein Verzeichnis von Verarbeitungstätigkeiten mit einer qualifizierten elektronischen Signatur versehen werden sollte. Es gibt aber auch keine Anhaltspunkte, dass der Unionsgesetzgeber den Begriff „elektronisches Format“ in den beiden Regelungen mit unterschiedlichem Inhalt verwendet hat.