Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO)
Ist ein elektronischer Vertragsabschluss mit der DSGVO vereinbar?
Auftragsverarbeitung und DSGVO
Nimmt die Datenverarbeitung einen zu großen Raum in einem Betrieb ein, wird die Datenverarbeitung per Auftrag an einen unternehmensfremden Dienstleister übertragen. Ein externer IT-Dienstleister oder ein Cloud-Anbieter dürfen erst tätig werden, wenn zwischen den beiden Parteien ein Vertrag abgeschlossen wurde.
§ 28 der europäischen Datenschutzverordnung sieht vor, dass in dem Vertrag die Formvorschriften zum Umgang mit personenbezogenen Daten des Auftraggebers geregelt werden. Insbesondere ist bei Vertragsabschluss darauf einzugehen, welche Daten verarbeitet werden und wie lange das Vertragsverhältnis andauern soll. Die Verantwortlichen müssen sich über ihre Rechte und Pflichten im Klaren sein. An der Weisungsgebundenheit des auftragverarbeitenden Unternehmens dürfen nicht die geringsten Zweifel bestehen. Verstößt der Auftragsverarbeiter gegen den Datenschutz, kommen die speziellen Haftungsregeln des § 82 DSGVO zur Anwendung.
Als weitere Formvorschrift bestimmt § 28 Absatz 9 DSGVO, dass der Vertrag schriftlich abgeschlossen wird. Ausdrücklich ist in dem Passus vermerkt, dass der Vertrag auch in einem elektronischen Format erfolgen kann.
Welche Voraussetzungen müssen für den elektronischen Vertrag erfüllt werden?
Für das Bundesdatenschutzgesetz galten die Regelungen des Bürgerlichen Gesetzbuches (BGB). Gemäß § 126a BGB war das elektronische Format eines Vertrages über die Auftragsverarbeitung personenbezogener Daten nur zulässig, wenn dieses mit einer elektronischen Signatur versehen wurde. So eng ist das europäische Rechtsverständnis nicht ausgelegt. Gemäß § 28 Absatz 9 der Datenschutzverordnung kann ein Vertrag auch in elektronischer Form abgeschlossen werden.
Möchte der Auftragsverarbeiter Unterauftragnehmer einschalten, so ist er daran gehalten, vorher die schriftliche Zustimmung des auftraggebenden Unternehmens einzuholen. Auch hierfür ist es ausreichend, wenn der Auftragsverarbeiter für die Genehmigung das elektronische Format wählt.
Das elektronische Format eines Vertrages ist aber dennoch an Formvorschriften geknüpft. Auch hier legt § 28 Absatz 3 DSGVO dem auftraggebenden Unternehmen die Verpflichtung auf, nur einen Auftragverarbeiter einzusetzen, der eine ausreichende Gewähr dafür gibt, dass der Datenschutz ausreichend beachtet wird. In dem elektronischen Format des Vertrages ist deshalb darauf einzugehen, dass der Auftragsverarbeiter technische Maßnahmen und organisatorische Schritte ergreift, die dem Auftraggeber eine feste Garantie geben.
Der elektronische Vertrag in der Praxis
Jeder Vertrag muss mit einer Widerrufsbelehrung versehen werden. Dies gilt nicht nur für einen Vertrag in Textform. Soll ein Vertrag auf elektronischem Weg übermittelt werden, legt die Rechtsprechung die gleichen Maßstäbe an. Zusätzlich sollte dem elektronischen Vertrag eine pdf-Datei beigefügt werden. Das unveränderbare Dokument enthält die Erklärungen der Vertragsparteien.