Die kleine Reihe: Auftragsverarbeitung Teil 2 Vertragsschluss
In Teil 1 unserer Reihe „Auftragsverarbeitung“ haben wir uns mit der Frage beschäftigt, was bei der Auswahl eines neuen Auftragsverarbeiters zu beachten ist. Im zweiten Teil geht es nun um die Themen Vertragsgestaltung, Vertragsschluss und Vertragskontrolle.
Vertragsschluss – Welche Punkte müssen geregelt werden?
Art. 28 DSGVO schreibt einen Vertrag mit dem Auftragsverarbeiter (AV-Vertrag) vor. Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. In dem Vertrag müssen mindestens der Gegenstand und die Dauer sowie Art und Zweck der Verarbeitung festgelegt werden. Zudem sind die in Art. 28 Abs. 3 Satz DSGVO beschrieben Rechte und Pflichten in dem Vertrag zu regeln. Dazu gehört u.a. eine Festlegung dazu, dass die Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen erfolgen darf, der Auftragsverarbeiter verpflichtet ist, den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützten und alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen hat.
Praxistipp: All dies sind die sog. Mindestinhalte, die in jedem AV-Vertrag geregelt sein müssen.
Was ist bei Einsatz von Unterauftragnehmern zu beachten?
Grundsätzlich sind Auftragsverarbeiter zur eigenhändigen Leistungserbringung verpflichtet. Ihr dürft daher nur unter besonderen Voraussetzungen die Datenverarbeitung an Dritte weiterreichen. So soll verhindert werden, dass das Datenschutzniveau, das zwischen Verantwortlichem und Auftragsverarbeiter vereinbart wurde, durch das Weiterreichen der Datenverarbeitung unterlaufen wird. Den Einsatz von Unterauftragnehmern (sog. „weitere Auftragsverarbeiter“) regeln die Art. 28 Abs. 2 und 4 DSGVO. Nach Art. 28 Abs. 3 S. 2 lit. d DSGVO wiederum sind die dort genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters in dem AV-Vertrag zu regeln.
Praxistipp: Dies gilt nicht, wenn der oder die Dritten keine Auftragsverarbeiter sind, sondern nur sonstige Hilfstätigkeiten erbringen.
Kontrollen bei Unterauftragnehmern?
Nicht abschließend geklärt ist die Frage, ob der Verantwortliche ein direktes Prüfrecht bei den Unterauftragnehmern hat (sog. Durchgriffsprüfrecht). Art. 28 Abs. 4 S. 1 DSGVO sieht vor, dass dem oder den Unterauftragnehmern dieselben Datenschutzpflichten auferlegt werden müssen wie im Vertrag zwischen Verantwortlichen und Auftragsverarbeiter vereinbart. Die DSGVO lässt jedoch offen, ob damit auch das Recht zu direkten Kontrollen einhergeht.
Gegen ein solches (direktes) Durchgriffsprüfrecht spricht aber, dass der Verantwortliche durch die Haftungsregelung in Art. 28 Abs. 4 S. 2 DSGVO sich bei Verstößen von Unterauftragnehmern immer bei dem Auftragsverarbeiter schadlos halten kann. Ein Kontrollrecht braucht er dann konsequenterweise nicht, weil eben der Auftragsverarbeiter (und nicht der Verantwortliche) für Verstöße entlang der Kette von Unterauftragnehmern haftet.
Praxistipp: Das entspricht auch den Empfehlungen der deutschen Aufsichtsbehörden zu Cloud Computing (Orientierungshilfe – Cloud Computing, PDF). Die Empfehlungen beziehen sich zwar auf die alte Rechtslage vor Gültigkeit der DSGVO, können aber gleichwohl als Begründung herangezogen werden.
Die Form des Vertragsschlusses
Ganz am Anfang dieses Beitrags ist zu lesen, dass der AV-Vertrag schriftlich abzufassen ist, was jedoch auch in einem elektronischen Format erfolgen kann.
Der klassische Vertragsschluss auf Papier ist nach wie vor möglich und üblich. Dazu muss der Vertrag komplett ausgefüllt und abschließend von beiden Vertragsparteien auf einem Dokument unterschrieben werden.
Neben diesem Offline-Weg erlaubt die DSGVO, AV-Verträge in einem „elektronischen Format“ abzuschließen. Was damit gemeint ist, hat die EU-Kommission (auf Anfrage des EU-Parlaments) beantwortet. Konkret wurde gefragt, ob es zulässig ist, wenn
- der Verantwortlich innerhalb eines elektronischen Accounts des Auftragsverarbeiters eine Checkbox anklickt, die angibt, dass der Verantwortliche damit den Vertragsbedingungen und den Datenschutzbestimmungen des Auftragsverarbeiters gemäß der DSGVO zustimmt,
- der Vertrag ab dem Zeitpunkt der Zahlung für die Dienstleistung gilt und
- keine Unterschrift vorliegt, weder physisch noch elektronisch.
Die Kommission stellte zunächst klar, dass es nicht notwendig ist, Verträge mit einer elektronischen Signatur zu versehen. Elektronische Signaturen seien nur eine von mehreren Möglichkeiten. Andere Formen des elektronischen Vertragsschlusses sind daher möglich, z. B. Austausch eingescannter Verträge per E-Mail auch ohne zusätzliche Authentifizierungs-Methode.
Zumindest Vorsicht ist bei einem „Blanko“-Vertrag geboten, also z. B. bei einem Vertragsdokument im PDF-Format, das keine individuellen Angaben (Daten des Kunden) enthält. Bei solchen AV-Verträgen ist unter Juristen umstritten, ob es sich um einen Abschluss im „elektronischen Format“ handelt. Gut vertretbar ist die Auffassung, dass die Übersendung des AV-Vertrags als PDF-Datei auch in blanko möglich ist. Denn: Die Erklärung(en) der Partei(en) sind dauerhaft auf einem Datenträger gespeichert und sie sind vor nachträglichen Änderungen geschützt. Das reicht aus.
Praxistipp: Es genügt hingegen nicht, wenn der Vertragstext nur auf einer Webseite abrufbar ist.
Vereinbarung zur Auftragsverarbeitung als AGB-Anhang?
Zum Schluss widmen wir uns der Frage, ob es erlaubt ist, den AV-Vertrag den AGB des Auftragsverarbeiters als Anhang beizufügen, die wiederum den Anhang zu einem Angebot bilden. Die Antwort ist: ja. Jedoch sind Besonderheiten zu beachten:
Zunächst ist es erforderlich, dass in den Vertragsdokumenten, denen der AV-Vertrag beigefügt ist, eine Nennung der Vertragsparteien erfolgt.
Weiter ist zu beachten, dass es sich bei den AGB um ein Dokument handelt, das wegen der gesetzlichen Erleichterungen an die Einbeziehung in einen Vertrag auch dann Vertragsbestandteil werden kann, wenn der Empfänger sie nicht aktiv zur Kenntnis nimmt. Diese Erleichterungen gelten für den AV-Vertrag nicht. Für den AV-Vertrag ist eine deutliche Einbeziehung notwendig, außerdem muss der Kunde seine ausdrückliche Zustimmung zum AV-Vertrag geben.
Praxistipp: Räumlich gesehen lässt sich der AV-Vertrag den AGB als „Annex“ hinzufügen, solange eine gesonderte Zustimmung zum AV-Vertrag einholt wird.
Aufgrund der Komplexität der Thematik wird zur besseren Verständlichkeit in dieser „Kleinen Reihe“ nicht gegendert. Sämtliche Geschlechter sind mit gemeint.