Schriftformerfordernis beim Auftragsverarbeitungsvertrag?

Fragen & Antworten

Häufiger kommen Fragen von Datenschutz-Coaching-Mitgliedern, die sich auf die erforderliche „Form“ des Abschlusses von Auftragsverarbeitungsverträgen beziehen. Dazu gehört auch diese Frage:

Unternehmen mit einer Vielzahl von Kunden, stellen einen Auftragsverarbeitungsvertrag als Download bereit, der zum Teil bereits unterschrieben ist oder überhaupt keine Unterschrift enthält. Im eigenen Account steht dann nur, dass der Vertrag (mit Datum) abgeschlossen wurde.

Benötigt ein Auftragsverarbeitungsvertrag keine Unterschrift der Vertragspartner, wenn ein Nachweis vorhanden ist, dass der Auftragnehmer nachweisen kann, dass der Auftraggeber diesen erhalten hat (z.B. durch einen Download)?

Wie verhält es sich, wenn die Unterschrift digital in den Vertrag eingesetzt wird (eingescannte Unterschrift des Verantwortlichen), um der Vielzahl an Verträgen “Herr” zu werden. Hat solch eine Unterschrift Bestand in dem Auftragsverarbeitungsvertrag oder muss diese persönlich erfolgen?

Meine Antwort

Die Frage, in welcher Form ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, wird juristisch (immer noch) kontrovers diskutiert. Hintergrund dafür ist, dass Art. 28 DSGVO keine ganz konkreten Vorgaben für die erforderliche „Form“ eines Auftragsverarbeitungsvertrages macht und zudem in den EU-Mitgliedsstaaten unterschiedliche Vorstellungen darüber herrschen, was erforderlich oder geboten ist.

Nach Art. 28 Abs. 9 DSGVO ist der Auftragsverarbeitungsvertrag

„schriftlich“ abzufassen, was auch in einem elektronischen Format erfolgen kann.

Für deutsche Juristen ist das keine gute Eingrenzung, denn im deutschen Recht unterscheiden wir deutlich zwischen „Schriftform“ und „elektronischen“ Formaten, die in unterschiedlicher Form vorkommen können. Von der „qualifizierten elektronischen Signatur“, die sich in der breiten Masse nicht durchsetzen konnte, über die „Textform“ (§ 126b BGB) in der Gestalt der Rechtsprechung des BGH bis hin zum formlosen Abschluss von Verträgen per Mausklick ist alles denkbar.

Die Frage ist nur, was sich der europäische Gesetzgeber bei o.g. Formulierung gedacht hat. Europäisches Recht ist grundsätzlich europarechtsautonom auszulegen. Das bedeutet, dass wir deutsche Juristen uns – so schwer es auch fällt – von unseren deutschen Vorstellungen zu Formanforderungen verabschieden müssen. Stattdessen müssen wir die Lösung im europäischen Recht suchen bzw. finden.

Da es aber im europäischen Recht keine einheitlichen Anforderungen zu bestimmten Formen des Vertragsschlusses gibt, muss man die Regelung in Art. 28 Abs. 9 DSGVO „auslegen“.

Und bei dieser Auslegung sind sich die Juristen (gerade in Deutschland) auch wieder nicht einig.

Die einen halten es für ausreichend, dass sich die Vertragsparteien übereinstimmend bewusst darüber werden, dass der Vertrag geschlossen wird (z.B. über das Akzeptieren per „Checkbox“ oder Klick auf einen „Button“.
So könnte ein Auftragsverarbeitungsvertrag z.B. auch über AGB wirksam in ein Vertragsverhältnis einbezogen werden.

Andere wiederum halten zumindest die „Textform“ für erforderlich. Das würde nach der Rechtsprechung des BGH sinngemäß bedeuten, dass sich die Willenserklärungen, die zum Schluss des Vertrages führen, auf dem Endgerät des jeweiligen Vertragspartners in Bits & Bytes verkörpern müssen. Also z.B. in einer E-Mail. Eine Anzeige im Browser reicht dem BGH nicht aus.
So könnte also eine E-Mail-Kommunikation wie „Willst du den anliegenden Auftragsverarbeitungsvertrag mit mir schließen?“ und die darauf resultierende Antwort-E-Mail „Ja, ich will.“ zu einem wirksamen Schluss des Auftragsverarbeitungsvertrages führen.

Genau genommen ist hier ein Konsens nicht wirklich sichtbar.

Mittlerweile ist es in der Praxis vollkommen üblich, dass Auftragsverarbeitungsvertrag auf der Website des Anbieters elektronisch geschlossen werden. Wir bestätigen per „Klick“ den Abschluss des Vertrages und können diesen im Anschluss herunterladen oder er wird uns zugesendet.

Genügt diese Anforderung nun dem elektronischen Format, von dem in Art. 28 Abs. 9 DSGVO die Rede ist?

Ich meine: Ja.

Denn nach Erwägungsgrund 58 ist es z.B. für die Einhaltung einer „elektronischen Form“ ausreichend, dass Informationen auf einer Internetseite bereitgehalten werden. Auch wenn hier nicht von einem „elektronischen Format“, sondern von einer „elektronischen Form“ die Rede ist, spricht das Gesamtregelungsgefüge der DSGVO hier für eine einheitliche Betrachtung (vgl. auch Kremer in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., Artikel 27 Rn. 35).

Daher meine ich, dass die Textform i.S.d. § 126b BGB nicht erforderlich ist. Vielmehr reicht die Anzeige der Informationen auf der Website in Kombination mit einer bewussten Handlung des Vertragspartners aus, um einen wirksamen Schluss eines Auftragsverarbeitungsvertrages herbeizuführen.

Wer es sicherer haben möchte, der sollte zumindest die „Textform“ einhalten. Denn hier geht die h.M. in der juristischen Literatur davon aus, dass diese den Anforderungen des Art. 28 Abs. 9 DSGVO genügt.

Um also auf die o.g. Frage zu antworten:

  • Für den wirksamen Schluss eines Auftragsverarbeitungsvertrages ist eine Unterschrift der Vertragsparteien nicht zwingend erforderlich.
  • Ein reiner Download des Auftragsverarbeitungsvertrages führt nicht zu einem Vertragsschluss, wenn vor dem Download nicht vom Anbieter deutlich gemacht wird, dass hier ein Angebot zum Abschluss eines Auftragsverarbeitungsvertrages gemacht wird, dass der Vertragspartner in einer bestimmten Art und Weise durch eine bewusste Handlunge annehmen kann. Das kann z.B. das Markieren einer Checkbox sein. Wichtig ist aber auch, dass vor dieser Handlung die Möglichkeit der Kenntnisnahme des Inhalts des Auftragsverarbeitungsvertrages besteht. Man möchte ja nicht die Katze im Sack kaufen bzw. „blind“ Verträge schließen.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.