Auftragsverarbeitungsverträge und Covid-19 Teil 1

Die Bundesregierung hat vor einigen Tagen die sog. „Kontaktsperre“ angeordnet. Das bedeutet nicht, dass nun niemand mehr zur Arbeit gehen darf. Home Office dürfte aber wohl in der Wirtschaft das Wort des Jahres sein. Viele Unternehmen haben ihren Mitarbeitern mobile Arbeitsgeräte besorgt oder haben erkannt, dass sie in Sachen Digitalisierung nochmal aufrüsten müssen.

Hier kommen nun die IT-Dienstleister ins Spiel, die für die Unternehmen als Auftragsverarbeiter tätig sind. In den vergangenen zwei Jahren wurden auch fleißig Auftragsverarbeitungsverträge (AVV) abgeschlossen (es sei nur am Rande erwähnt, dass diese Verpflichtung auch schon vor der Einführung der DSGVO galt).

In Bezug auf die Auftragsverarbeitungsverträge stellen sich einige Fragen, auf die wir Sie hinweisen möchten, sollten Sie nicht selbst schon längst drüber gestolpert sein.

1. Kann der Abschluss von AVV auch digital erfolgen? (Teil 1)
2. Erlaubt unser AVV überhaupt Home Office der Mitarbeiter? (Teil 2)
3. Was muss ich beachten, wenn ich die Mitarbeiter ins Home Office schicke? (Teil 3)

Diese grundlegenden Themen beantworte ich Ihnen gerne in der gebotenen Kürze.

Kann der Abschluss von Auftragsverarbeitungsverträgen auch digital erfolgen?

Diese Frage stellt sich nicht nur zu Zeiten des Covid-19, in denen man im Home Office vielleicht nicht die Möglichkeit hat, den Vertrag auszudrucken und handschriftlich unterzeichnet an den Vertragspartner zu schicken. Es wäre eine erhebliche Erleichterung, wenn man den AVV nicht handschriftlich unterschreiben muss, damit er wirksam zustande kommt.

Ein Blick ins Gesetz kann hier weiterhelfen. Dort steht nämlich in Art. 28 Abs. 9 DSGVO:

„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Die Schriftform ist im deutschen Recht, genauer: in § 126 BGB, geregelt. Dort bedeutet sie, dass eine eigenhändige Unterschrift unter den Vertrag gesetzt werden muss. In Abs. 3 ist geregelt, dass die Schriftform unter Umständen auch in elektronischer Form (§ 126a BGB) erfolgen könne. Das wiederum bedarf einer qualifizierten elektronischen Signatur. Bei einem Vertrag müssen die Parteien ein gleichlautendes Dokument auf diese Weise signieren.

Das deutsche Recht klärt mit § 126 BGB jedoch nicht das Abfassen des Vertrags (siehe Art. 28 Abs. 9 DSGVO), sondern das Zustandekommen eines Rechtsgeschäfts (vgl. § 125 BGB „Ein Rechtsgeschäft, welches der durch Gesetz vorgeschriebenen Form ermangelt, ist nichtig“).

Art. 28 Abs. 9 DSGVO (als europäisches Gesetz, welches für alle EU-Länder gilt!!) spricht hingegen nicht von dem Zustandekommen des Rechtsgeschäfts, sondern von dem Abfassen des Vertrags. Auch Sinn und Zweck der Norm sprechen dafür, dass gerade nicht zwangsläufig eine handschriftliche Unterzeichnung oder eine qualifizierte Signatur gefordert wird. Die handschriftliche Unterzeichnung ist im deutschen Recht dann vorgeschrieben, wenn es um Verträge oder Erklärungen geht, die weitreichende Folgen haben können (Kauf eines Hauses, Bürgschaft oder Testament). Dem Gesetzgeber wird es jedoch bei einem AVV primär darauf ankommen, dass eine ausreichende Dokumentation der Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter vorliegt und genau nachgelesen werden kann, wer welche Pflichten übernommen hat.

Das Europäische Parlament hat aufgrund einer Anfrage zu dieser Problematik mitgeteilt, dass eine qualifizierte, elektronische Signatur für einen AVV nicht erforderlich ist, wenn auf elektronischem Weg ein solcher Vertrag abgeschlossen werden soll.

Wichtig dürfte hier dennoch sein, dass die Vereinbarung beiden Parteien in einem fixierten Format vorliegt, also nicht nachträglich noch geändert werden kann. Hierfür dürfte bei einem schreibgeschützten PDF der Fall sein. So sieht es jedenfalls auch das Bayerische Landesamt für Datenschutzaufsicht.

Weitere Beiträge

Datenschutzrechtliche Verantwortlichkeit, AVV und AGB- Recht im Spiegel der neueren EuGH- Rechtsprechung zur Cyberkriminalität  Teil I

Inhalt: Mir geht’s in diesem Blog darum, ganz kurz die Rechtsprechung des EuGH zum Thema Schadensersatz und Cyberkriminalität darzustellen und auf die Auswirkungen dieser Rechtsprechung für die IT- Unternehmen einzugehen, die als Auftragsverarbeiter für die Auftraggeber fungieren. Insbesondere beschäftigt mich

Mehr lesen »
Nach oben scrollen