Für große Unsicherheit sorgt nach wie vor die Frage, welche Voraussetzungen der Abschluss eines Auftragsverarbeitungsvertrages im Sinne des Art. 28 DSGVO in elektronischer Form erfüllen muss. Nach Art. 28 Abs. 9 DSGVO ist ein Vertrag zur Auftragsverarbeitung schriftlich abzuschließen, wobei ein elektronisches Format ausreichend ist. Das elektronische Format genügt dem europäischen Gesetzgeber demnach, die nach der DSGVO geforderte Transparenz- und Rechenschaftspflicht zu erfüllen.
Was ist ein elektronisches Format?
Wirft man einen Blick in das nationale Recht, muss festgestellt werden, dass es im deutschen Recht nicht nur ein elektronisches Format gibt. Neben der „qualifizierten elektronischen Signatur“ (§ 126a BGB) und der Textform (§ 126b BGB), ist im deutschen Recht inzwischen auch der formlose Abschluss von Verträgen per Mausklick anerkannt.
Bei der Auslegung von Begriffen der DSGVO darf die nationale Rechtsordnung wegen des Grundsatzes der praktischen Wirksamkeit und des Vorrangs des europäischen Rechts allerdings nicht alleiniger Maßstab sein. Vielmehr ist europäisches Recht grundsätzlich europarechtsautonom auszulegen.
Wie der Begriff des „elektronischen Formats“ konkret auszulegen ist, wird in der Praxis derzeit unterschiedlich bewertet, da diesbezüglich noch keine höchstrichterliche Rechtsprechung existiert. Sicher ist jedoch, dass die gewählte Form die Authentizität des Dokuments belegen muss.
In der Praxis wird der Auftragsverarbeitungsvertrag unter Verzicht auf die Textform mittlerweile oftmals direkt auf der Website des Anbieters elektronisch durch eine entsprechende Bestätigung per Mausklick geschlossen. Im Anschluss daran kann der Vertragspartner den abgeschlossenen Vertrag dann entweder selbst herunterladen oder er wird ihm per Mail zugesendet. Neben ihren praktischen Vorzügen, ist diese Lösung derzeit auch rechtlich vertretbar. Denn nach Erwägungsgrund 58 Satz 2 zur DGSVO reicht es für die Einhaltung der „elektronischen Form“ aus, dass Informationen auf einer Webseite zur Verfügung gestellt werden. Obwohl dieser Erwägungsgrund nicht den Begriff des „elektronischen Formats“ verwendet, sondern von einer „elektronischen Form“ spricht, sind die Begriffe vor dem Hintergrund des Gesamtregelungsgefüges der DSGVO einheitlich auszulegen.
Auftragsverarbeitungsvertrag als AGB-Anhang?
Einen gewissen praktischen Charme bei Online-Vertragsabschlüssen bietet die Variante, den Auftragsverarbeitungsvertrag als Anhang den eigenen Allgemeinen Geschäftsbedingungen (AGB) beizufügen und so den Abschluss des Auftragsverarbeitungsvertrags in elektronischer Form herbeizuführen. Bei diesem Vorgehen sollte allerdings auf Folgendes geachtet werden:
- In den AGB, denen der Auftragsverarbeitungsvertrag beigefügt ist, sollte eine namentliche Nennung der Vertragsparteien erfolgen. Dies kann entweder unmittelbar im Auftragsverarbeitungsvertrag oder in den AGB erfolgen.
- Der Auftragsverarbeitungsvertrag muss deutlich in die AGB einbezogen werden und der Vertragspartner muss seine ausdrückliche (gesonderte) Zustimmung zum Auftragsverarbeitungsvertrag geben. Die Zustimmungserklärung kann zum Beispiel durch das Anklicken einer entsprechenden Checkbox im Rahmen des Vertragsabschlusses, per E-Mail oder auf andere unmissverständliche Weise erfolgen. Wichtig ist nur, dass die Zustimmung ausreichend dokumentiert wird.
- Nach Erteilung der Zustimmung zum Auftragsverarbeitungsvertrag bzw. nach Abschluss des Hauptvertrages sollte dem Vertragspartner die Möglichkeit eingeräumt werden, den abgeschlossenen Auftragsverarbeitungsvertrag als Pdf-Datei herunterzuladen. Alternativ kann der Auftragsverarbeitungsvertrag dem Vertragspartner auch per Mail zugesendet werden.
Weiterer interessanter Artikel: Im Visier der Datenschützer: Online-Dienste und E-Commerce