Wir haben bereits Anfang des Jahres über das elektronische Format nach § 28 Abs. 9 DSGVO berichtet. Damals war noch unklar, was genau mit dem elektronischen Format gemeint ist. Die EU-Kommission konnte jetzt ein wenig Licht ins Dunkel bringen.

Anfrage des EU-Parlaments

Im Juni hat das EU-Parlament mit einer Anfrage an die EU-Kommission den Stein ins Rollen gebracht. In dieser Anfrage wurde die Frage gestellt, was mit dem elektronischen Format gemeint sei. Konkret wurde gefragt, ob es zulässig wäre, wenn

  • der Auftragsverarbeiter innerhalb eines elektronischen Accounts mit dem Verantwortlichen eine Checkbox anklickt, die angibt, dass der Auftragsverarbeiter damit den Vertragsbedingungen und den Datenschutzbestimmungen des Verantwortlichen gemäß der DSGVO zustimmt,
  • der Vertrag ab dem Zeitpunkt der Zahlung für die Dienstleistung gilt und
  • keine Unterschrift vorliegt, weder physisch noch elektronisch.

Die Anfrage des EU-Parlaments finden Sie hier.

Antwort der EU-Kommission

Ende August hat die EU-Kommission die Anfrage beantwortet. Sie stellt zunächst klar, dass die Regeln für den Abschluss von Verträgen oder anderen Rechtsakten (entspricht den „Rechtsinstrumenten“ nach Art. 28 Abs. 3 DSGVO), auch in elektronischer Form, nicht in der DSGVO, sondern in anderen EU- und / oder nationalen Rechtsvorschriften festgelegt sind und verweist auf die E-Commerce-Richtlinie (Richtlinie 2000/31 / EG). Danach sollen rechtliche Hindernisse für die Nutzung elektronischer Verträge beseitigt werden. Zwar werde in der Richtlinie keine einheitliche Form für elektronische Verträge vorgeschrieben, automatisierte Verträge seien aber rechtmäßig.

Die eigentliche Kernaussage kommt zum Schluss: Es sei nicht notwendig, Verträge mit einer elektronischen Signatur zu versehen. Elektronische Signaturen seien eine von mehreren Möglichkeiten.

Als Alternative eines Vertrages zur Auftragsverarbeitung kommt nach Art. 28 Abs. 3 DSGVO auch ein Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten in Betracht. Mit dem Rechtsinstrument in Art. 28 DSGVO sei laut EU-Kommission eine Verordnung oder eine andere Art von Verwaltungsentscheidung gemeint, bei der die für die öffentliche Verwaltung zuständigen Behörden die Bedingungen für die Verarbeitung personenbezogener Daten in ihrem Namen festlegen können.

Die Antwort der EU-Kommission finden Sie hier.

Fazit

Konkret beantwortet die EU-Kommission nur die dritte Frage des EU-Parlaments: Da die elektronische Signatur nur eine von mehreren Möglichkeiten ist, können Verträge zur Auftragsverarbeitung auch anderweitig wirksam geschlossen werden. Andere Formen des elektronischen Vertragsschlusses sind daher möglich, z.B. eben mittels einer Checkbox, wenn zuvor eine Accountregistrierung erfolgt ist. Das dies unzulässig ist, wird von der EU-Kommission nicht gesagt. Möglich erscheint auch ein Vertrag mit eingescannten Unterschriften in einem PDF-Dokument, wenn der Vertrag der per E-Mail verschickt wird.

Bei Neuigkeiten, in welcher Form Verträge oder Rechtsinstrumente zur Auftragsverarbeitung abgeschlossen werden können, halten wir Sie weiterhin auf dem Laufenden.