Eine Neuerung der Datenschutz-Grundverordnung (DSGVO) ist, dass nach Art. 28 Abs. 9 DSGVO der Auftragsverarbeitungsvertrag oder das andere Rechtsinstrument im Sinne der Art. 28 Abs. 3 und 4 DSGVO, schriftlich abzufassen sind, was aber „auch in einem elektronischen Format erfolgen kann“.
Die DSGVO selbst definiert nicht, was konkret das „Rechtsinstrument“ ist oder was unter dem „elektronischen Format“ zu verstehen ist. Die Europäische Kommission hat nun, basierend auf einer Anfrage im Europäischen Parlament, im Rahmen einer Antwort in dieser Hinsicht für etwas mehr Klarheit gesorgt.
Elektronisches Format
Hinsichtlich des Begriffs „elektronisches Format“ weist die Kommission darauf hin, dass die Regeln für den Abschluss von Verträgen oder anderen Rechtsakten, auch in elektronischer Form, nicht in der DSGVO, sondern in anderen EU- und/oder nationalen Gesetzen festgelegt sind. Insbesondere die Richtlinie über den elektronischen Geschäftsverkehr (Richtlinie 2000/31/EG) sieht die Beseitigung rechtlicher Hindernisse für die Nutzung von elektronischen Verträgen vor. Zwar harmonisiere diese Richtlinie nicht die Form, in der elektronische Verträge zustande kommen können.
Im Prinzip, so die Kommission, seien automatisierte Vertragsprozesse aber zulässig und so geschlossene Verträge auch rechtmäßig. Zum Teil wird in der Kommentarliteratur vertreten, dass das „elektronische Format“ praktisch nur eine qualifizierte elektronische Signatur (§ 126a BGB) meinen könne. Dieser, meines Erachtens nicht zutreffenden Ansicht, widerspricht nun die Kommission.
“It is not necessary to append an electronic signature to contracts for them to have legal effects. E-signatures are one of several means to prove their conclusion and terms.”
Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.
Rechtsinstrument
Nach Art. 28 Abs. 3 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter entweder auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. Auch der Begriff des „Rechtsinstruments“ wird in der der DSGVO nicht näher umschrieben. Zum Teil wird davon ausgegangen, dass ein „Rechtsinstrument“ im Sinne von Gesetzen oder Rechtsverordnungen zu verstehen sei. Auch diese Sichtweise wird von der Kommission nicht gestützt.
“A legal act may be an ordinance or other type of administrative decision whereby controllers vested in public authority may stipulate the conditions for processing personal data on their behalf.”
Danach kann das Rechtsinstrument irgendeine Art von Verwaltungsentscheidung sein, mit der der Verantwortliche, hier die öffentliche Stelle, die Bedingungen für die Verarbeitung personenbezogener Daten in ihrem Namen festlegen können. Die Kommission verlangt in ihrer Antwort nicht das Vorliegen eines Gesetzes.