Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat sich in seinem am 13.05.2020 veröffentlichten 48. Tätigkeitsbericht mit der Frage beschäftigt, in welcher Form ein Vertrag über Auftragsverarbeitung abgeschlossen werden muss.
In Art. 28 Abs.9 DSGVO ist festgelegt: „Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“
Hierbei stellt sich die Frage was „schriftlich“ bzw. „in einem elektronischen Format“ bedeutet.
Der HBDI legt dar, dass aus seiner Sicht das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO nicht identisch mit der Schriftform nach § 126 BGB ist. Es muss demnach nicht wie in § 126 BGB eine vom Aussteller eigenhändig unterschriebene Urkunde erstellt werden. Der Sinn der Schriftform des Art. 28 DSGVO soll nach Ansicht des HBDI sicherstellen, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des Auftragsverarbeitungsvertrages oder einer Verpflichtungserklärung zu informieren. Die Schriftform nach § 126 BGB erfüllt nach Ansicht des HBDI diese Informationsfunktion.
Allerdings genüge der Austausch von Computerfaxen oder E-Mails mit oder ohne PDF-Anhang dem Schriftformerfordernis des Art. 28 Abs. 9 DSGVO. Der Auftragsverarbeiter könne auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben (vgl. entsprechend für die Abgabe einer Einwilligungserklärung EG. 32DSGVO). In diesem Fall müsse sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann.
Die DSGVO verlange nicht, dass ein Download tatsächlich erfolgt. Im Gegensatz zur Textform nach § 126 b BGB. Diese sei bei Erklärungen auf Webseiten nur gewahrt, wenn der Empfänger die Erklärung ausdruckt oder auf einem Datenträger speichert.
Zusätzlich führt der HBDI aus, dass die systematische Betrachtung der DSGVO die Auffassung stütze, dass mit dem „elektronischen Format“ in Art. 28 Abs. 9 DSGVO nicht ein nach § 126 a BGB elektronisch signiertes Dokument gemeint sein könne, da sich in Art. 30 Abs. 3 DSGVO für das Führen des Verarbeitungsverzeichnisses eine wortgleiche Schriftformregelung finde. Es sei jedoch kein Grund ersichtlich, weshalb ein Verzeichnis von Verarbeitungstätigkeiten mit einer qualifizierten elektronischen Signatur versehen werden sollte. Auch gebe es keine Anhaltspunkte, dass der Unionsgesetzgeber den Begriff „elektronisches Format“ in den beiden Regelungen mit unterschiedlichem Inhalt verwendet habe.
Quelle:
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2019_48_TB.pdf