Geschrieben am 28.11.2023 von:
Dominik Piroth
Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Der Abschluss von Auftragsverarbeitungsverträgen (kurz: AVV) ist heutzutage nicht mehr wegzudenken und wesentlicher Bestandteil eines soliden Auftragsmanagements. Aber wie können diese Verträge in der Praxis abgeschlossen werden? Genügt ein Download von einer Webseite? Wie sieht es mit digitalen Signaturen aus?
Global Player wie Google stellen eine Download-Version auf ihrer Webseite bereit, die von Kundinnen und Kunden bzw. Auftraggebern herunterladen werden kann. Aber entspricht das den Anforderungen und Formerfordernissen der DS-GVO? Ein Download ist aus praktischer Sicht – gerade bei einem großen Kundenstamm – von Vorteil. Man spart sich mehr oder weniger den „Bürokratiekram“ und auch Diskussionen über Vertragsinhalte. Doch geht das so einfach? Ist das zulässig? Gesetzlich gibt es keine Vorschrift, wie ein AVV zustande kommen muss. Die Vorgaben lassen sich aus Art. 28 DS-GVO ableiten. Dieser besagt, dass der AVV schriftlich zu verfassen ist, dies jedoch auch im „elektronischen Format“ möglich ist. Doch was ist ein „elektronisches Format“? Dies lässt sich nur ableiten. Da es keine Definition des Begriffs gibt, ist beispielsweise auch somit eine qualifizierte elektronische Signatur beider Vertragsparteien nicht notwendig (so auch das Europäische Parlament und Bayerische Landesamt für Datenschutzaufsicht). Die Vertragsform muss lediglich die Authentizität des Dokuments belegen. Nach §§ 126-126b BGB, die die vertraglichen Schriftformen regeln, muss eine lesbare Erklärung auf einem dauerhaften Datenträger abgegeben werden, der geeignet ist, diese unverändert wiederzugeben. Die Vorgaben des Art. 28 DS-GVO sollen sicherstellen, dass Beteiligte die Möglichkeit haben, sich dauerhaft über den Inhalt oder einseitige Verpflichtungserklärungen zu informieren. Dazu muss die Echtheit der vertraglichen Verpflichtungen garantiert sein. Die Form des AVV dokumentiert schließlich die Erklärung der Parteien zu ihren Verpflichtungen. Folglich stellt auch das elektronische Format eine wirksame Schriftform dar.
Aber Achtung: Der Download allein reicht nicht aus, um einen AVV wirksam abzuschließen. Der Auftraggeber muss bestätigen, dass er den vertraglichen Inhalten zustimmt, z. B. durch das Ankreuzen eines Markierungsfeldes oder einer Zustimmung per E-Mail. Auch dieser Vorgang muss ausreichend dokumentiert werden. Folgendes ist auch denkbar: Der Download des AVV auf der Webseite, wobei der Auftraggeber Angaben ergänzt, den AVV unterzeichnet und als Scan an den Auftragnehmer zurückschickt. Alle Formerfordernisse sind somit erfüllt und ein wirksamer AVV geschlossen. Es gibt viele Möglichkeiten, den AVV abzuschließen, wichtig ist jedoch die Abgabe einer eindeutigen, inhaltlichen und separaten Zustimmung des Auftraggebers oder der Auftraggeberin (z. B. per Mausklick).
Aber wie ist das mit Nachweis der datenschutzrechtlichen Rechenschaftspflicht und der damit zusammenhängen Dokumentation des abgeschlossenen AVV? Im Falle des Downloads des AVV auf der Webseite kann der*die Auftragsverarbeiter den Prozess so ausgestalten, dass beide Vertragsparteien im Anschluss den geschlossenen AVV (als beispielsweise schreibgeschützte PDF-Datei) per E-Mail zur Dokumentation erhalten. Beide Vertragsparteien können somit einen wirksam abgeschlossenen AVV jederzeit nachweisen.
Du bist unsicher beim Abschluss deiner Auftragsverarbeitungsverträge – kein Problem, melde Dich einfach bei uns und unsere Expertinnen und Experten helfen dir weiter! Komm einfach auf uns zu!