Bislang müssen Verträge zur Auftragsdatenverarbeitung bekanntermaßen gemäß § 11 Abs. 2 S. 2 BDSG schriftlich geschlossen werden. „Schriftlich“ bedeutet nach § 126 Abs. 1 BGB, dass eine eigenhändige Unterschrift der beiden Vertragsparteien benötigt wird.
Die Datenschutzgrundverordnung (DSGVO) erlaubt hingegen in Art. 28 Abs. 9 DSGVO neben der Schriftform auch, dass der Vertrag zur Auftragsverarbeitung (ADV-Vertrag) in einem „elektronischen Format“ erfolgen kann. Doch was ist unter diesem elektronischen Format zu verstehen? Die Meinungen hierzu gehen auseinander. Eine Definition des Begriffs enthält die DSGVO nicht.
Textform bzw. einfache elektronische Signatur
Denkbar ist, dass mit „elektronischem Format“ ein ADV-Vertrag gemeint ist, der z.B. in einem Word- oder PDF-Format abgebildet wird, solange darin eingescannte Unterschriften enthalten sind.[1] Dies entspräche der Textform im Sinne des § 126b BGB. Eine eigenhändige Unterschrift bzw. eine qualifizierte elektronische Signatur wäre dann nicht erforderlich. Diese Meinung wird von einigen Datenschützern vertreten, teilweise ohne nähere Begründung, teilweise unter Bezug auf die bisherige Gesetzeslage. Die Textform sei ausreichend, da bereits nach der Datenschutzrichtlinie die „andere Form“ gegenüber der Schriftform möglich war (vgl. Art. 17 Abs. 4 der Richtlinie 95/46/EG).
Der Begriff „elektronisches Format“ sei auch nicht mit der im § 126a BGB geregelten “elektronischen Form“ gleichzusetzen. Denn die unmittelbare Geltung der DSGVO sperrt einen Rückgriff auf nationale Formvorschriften.
Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz versteht den Begriff „elektronisches Format“ ähnlich wie die Textform in § 126b BGB. Ausreichend für das elektronische Format sei jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann.[2] Damit ist dann wahrscheinlich – wie oben beschrieben – ein Word- oder PDF-Format gemeint.
Kirchliches Datenschutzrecht
Im neu beschlossenen kirchlichen Datenschutzgesetz der katholischen Kirche ist in § 29 Absatz 9 Satz 2 KDG klarstellend geregelt, dass für ADV-Verträge im „elektronischem Format“ die §§ 126 ff. BGB maßgebend sind (wir berichteten). Es wird jedoch auch hier nicht von der elektronischen Form, sondern von einem elektronischen Format gesprochen. Fraglich ist, wie der Verweis auf die §§ 126 ff. BGB zu verstehen ist. Die §§ 126 BGB regeln neben der Schriftform (§ 126 BGB) auch die elektronische Form (§ 126a BGB) und die Textform (§ 126b BGB). Versteht man den Verweis auf die §§ 126 BGB als vollumfänglich, wäre neben der Schriftform und der elektronischen Signatur auch eine eingescannte Unterschrift möglich (Textform). Nach Auskunft einer katholischen Aufsichtsbehörde soll sich der Verweis jedoch nur auf die §§ 126 und 126a BGB beziehen. Die Textform nach § 126b BGB sei also nicht ausreichend.
Der ausdrückliche Verweis auf die §§ 126 ff. BGB und damit auch auf die Textform fehlt jedoch in der DSGVO. Deshalb lässt sich nicht ableiten, ob die eingescannte Unterschrift nach der DSGVO ausreichend wäre. Ein Rückschluss vom KDG auf die DSGVO ist auch deshalb schon nicht möglich, da das KDG dogmatisch nicht vor der DSGVO anwendbar ist. Das KDG gilt zudem nur im katholischen Kirchenrecht. Im ebenfalls neu beschlossenen Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland ist in § 30 Abs. 3 S. 2 DSG-EKD hingegen weiterhin nur von der Schriftform die Rede.
Qualifizierte elektronische Signatur
Für die qualifizierte elektronische Signatur bei einem ADV-Vertrag spricht, dass die Worte „Form“ und „Format“ gleichzusetzen sind. Im Vergleich zur Datenschutzrichtlinie wurden nicht die Worte „schriftlich oder in einer anderen Form“ gewählt , sondern „schriftlich […], was auch in einem elektronischen Format erfolgen kann“. Wohl aufgrund der Aufnahme des Wortes „elektronisch“ spräche dies eher für eine qualifizierte elektronische Signatur. Nach der Datenschutzrichtlinie war für die Beweissicherung daher die Textform ausreichend. Der europäische Gesetzgeber hat in der DSGVO jedoch bewusst auf die weite Formulierung der Datenschutzrichtlinie verzichtet. Daraus lasse sich ableiten, dass der Gesetzgeber nicht nur Beweiszwecke, sondern auch Dokumentations- und Authentizitätssicherungszwecke verfolgen möchte; es komme entscheidend auf den Nachweis der Echtheit an. Während der Beweis der erteilten Weisung (Art. Abs. 3 lit. a DSGVO) in irgendeiner Form erbracht werden könne, würden die gesteigerten Anforderungen in Art. 28 Abs. 9 DSGVO dafürsprechen, dass auch die Authentizität sichergestellt werden soll, nämlich mit einer qualifizierten elektronischen Signatur.[3]
Ein Abstellen auf die deutsche Norm der elektronischen Form (§ 126a BGB) ist nach der Gegenmeinung jedoch nicht möglich, da § 126a BGB nicht auf einer europäischen Norm beruhe.[4] Eine Auslegung nach der jeweiligen nationalen Rechtsordnung ist danach unzulässig. Stattdessen sei nach dem Grundsatz des effet utile eine europäische Auslegung vorzunehmen.[5]
In Art. 15 Abs. 3 DSGVO und in Art. 30 Abs. 3 DSGVO, die beide von einem elektronischen Format sprechen, geht es lediglich um die erleichterte Speicherung oder Herausgabe von Informationen und nicht um den erhöhten Beweiswert, der durch eine qualifizierte elektronische Signatur erreicht wird.[6] Daraus lässt sich schließen, dass auch Art. 28 Abs. 9 keine qualifizierte elektronische Signatur voraussetzt.
Das Erfordernis einer qualifizierten elektronischen Signatur wird auch aufgrund eines Vergleichs mit Richtlinien abgelehnt: Aus der deutschen Fassung der Signatur-Richtlinie (Art. 2 Nr. 1) wird die Bezeichnung „elektronische Form“ benutzt und gerade nicht „elektronisches Format“. In der Richtlinie über das elektronische Rechnungswesen wird der Begriff „elektronisches Format“ verwendet, aber keine qualifiziert elektronische Signatur verlangt. Art. 28 Abs. 9 DSGVO komme damit nur eine Warnfunktion zu.[7]
Ebenso lehnen verschiedene Berufsverbände und Gesellschaften ein Abstellen auf die elektronische Signatur ab. Dies wird damit begründet, dass gemäß den Erwägungsgründen 32 und 58 eine entsprechende Dokumentation hinsichtlich des elektronischen Formats genügt. Diese Erwägungsgründe erwähnen als Beispiele das Anklicken eines Kästchens und eine Webseite. Der Hinweis auf eine qualifizierte elektronische Signatur fehlt.[8]
Signatur mittels PGP und S/MIME
Sofern die Ansicht vertreten wird, dass die reine Textform für ADV-Verträge einerseits nicht ausreicht, andererseits aber eine qualifizierte elektronische Signatur nicht erforderlich sei, stellt sich die Frage, was übrig bleibt. Irgendeine „einfache“ Signatur? In der Praxis kann es an dieser Stelle empfehlenswert sein, eine Signatur mittels PGP oder S/MIME zu nutzen. Hierdurch kann sowohl die Authentizität der Vertragspartner als auch die Integrität (Unveränderbarkeit) des ADV-Vertrages sichergestellt werden. Ob dieser Standard jedoch letztlich auch von Aufsichtsbehörden als elektronisches Format i.S.d. Art. 28 Abs. 9 DSGVO eingestuft wird, bleibt abzuwarten.
Fazit
Was unter dem „elektronischen Format“ in Art. 28 Abs. 9 DSGVO zu verstehen ist, ist noch nicht abschließend geklärt. Es bleibt zu hoffen, dass sich hier in nächster Zeit eine herrschende Meinung herauskristallisiert, damit die Verantwortlichen und Auftragsverarbeiter sicher wissen, in welcher Form ADV-Verträge zu schließen sein werden. Wer ganz sichergehen möchte, sollte ADV-Verträge vorerst also auch weiterhin schriftlich abschließen.
[1] „Elektronische Signatur mit und ohne Zertifikat“, Beitrag der Signature Perfect KG, http://www.signature-perfect.de/docs/Leitfaden_Elektronische_Signatur.pdf S. 12.
[2]https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/faq/ unter „Was ist neu bei der Auftrags(daten)verarbeitung.
[3] vgl. zu alledem BeckOK DatenschutzR/Spoerr DSGVO Art. 28 Rn. 101 ff.; Paal/Pauly, Datenschutz-Grundverordnung, DSGVO Art. 28 Rn. 75.
[4] vgl. dazu Ehmann/Selmayr/Bertermann EU-DSGVO Art. 28 Rn. 9; Plath/Plath, BDSG/DSGVO, Art. 28 Rn. 17.
[5] Kühling/Buchner/Hartung DSGVO Art. 28 Rn. 95.
[6] ebd.
[7] Kühling/Buchner/Hartung DSGVO Art. 28 Rn. 96.
[8] „Umgang mit Altverträgen bzgl. Auftragsverarbeitung („ADV-Verträge“)“ vom 14.06.2017.