Auftragsverarbeitung: So schließen Sie einen Vertrag zur AVV richtig ab

Viele unserer Mandanten sind Auftragsverarbeiter (hier die Basics zum Thema). Sie fragen sich, wie sie ihre Kunden dazu bekommen, mit ihnen Vereinbarungen zur Auftragsverarbeitung (AVV) abzuschließen. Mit dieser Frage befassen wir uns in diesem Beitrag.

Die Mindestinhalte einer Vereinbarung zur Auftragsverarbeitung

Bevor wir in die Tiefe gehen, hier zunächst ein paar Grundlagen zu den Mindestinhalten einer AVV.

Vorgaben der Art. 28, 32 DSGVO

Die Vereinbarung zur Auftragsverarbeitung muss gemäß der DSGVO genaue Angaben zu folgenden Punkten enthalten:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung;
  • Art der personenbezogenen Daten (zum Beispiel Adressen, Bankverbindungen);
  • Kategorien der betroffenen Personen (zum Beispiel Kunden, Nutzer);
  • Rechte und Pflichten des Verantwortlichen.

Umgang mit TOMs von Unterauftragnehmern

Die AV-Vereinbarung muss auch die so genannten Technischen und Organisatorischen Maßnahmen (TOM) des Auftragnehmers enthalten, also zum Beispiel Ihre Verschlüsselungs- und Datensicherungspraktiken aufführen. Sollten Sie sich eines Subunternehmers bedienen, müssen Sie auch die TOMs dieses Unterauftragnehmers im Zusammenhang mit Ihren eigenen TOMs in die AVV einbinden, sofern der Subunternehmer als Ihr Auftragsverarbeiter agiert. (Selbstverständlich müssen in diesem Fall auch eine Vereinbarung zur Auftragsverarbeitung mit dem Subunternehmer geschlossen werden.)

Der Grund, warum Sie die TOMs der Subunternehmer in Ihre eigenen TOMs einbeziehen müssen, liegt darin, dass die Datenverarbeitung durch nachgelagerte Auftragsverarbeiter datenschutzrechtlich dem Haupt-Auftragsverarbeiter zugerechnet wird. Es gibt zwei Möglichkeiten, die Subunternehmer-TOMs in die eigenen einzubeziehen. Entweder fügen Sie die TOMs der Subunternehmer den eigenen TOMs als separate Dokumente bei oder Sie führen die beiden TOMs in ei-nem einzigen Dokument zusammen. Erstere Lösung hat sich inzwischen als übliche Marktpraxis durchgesetzt.

Die Form des Vertragsschlusses

Art. 28 DSGVO erlaubt es den Vertragsparteien, die AVV entweder schriftlich oder elektronisch abzuschließen. In der Praxis ist die Wahl der richtigen Form beim Abschluss einer Vereinbarung zur Auftragsverarbeitung mit einigen Problemen verbunden.

Der “klassische” (Offline-)Weg

Der klassische Offline-Vertragsschluss, also auf Papier, ist natürlich immer möglich. Dazu muss der Vertrag komplett ausgefüllt und abschließend von beiden Vertragsparteien auf einem Dokument unterschrieben werden.

Im digitalen Zeitalter stellt sich allerdings die Frage, ob man den unterschriebenen Offline-Vertrag einfach einscannen und per E-Mail zum Vertragspartner schicken kann. Oder bedarf es hier einer zusätzlichen Authentifizierung? Im Rahmen einer Anfrage, die das Europäische Parlament an die EU-Kommission gerichtet hatte, kam heraus, dass eine elektronische Signatur nicht erforderlich sei. Daraus kann man schließen, dass der Austausch eingescannter Verträge per E-Mail auch ohne zusätzliche Authentifizierungs-Methode zulässig ist.

Problem: der “Blanko”-Vertrag

Teilweise erhält der Kunde per E-Mail oder im Rahmen eines Online-Vertragsschlusses ein Vertragsdokument im PDF-Format, das keine individuellen Angaben enthält, also keine Daten des Kunden. Unter Juristen ist umstritten, ob ein Abschluss der Vereinbarung zur Auftragsverarbeitung mit Hilfe eines solchen „Blanko“-Vertrages zulässig ist.

Im Kern dreht sich der Streit um die Frage, was mit dem Begriff „elektronisches Format“ in Artikel 28 DSGVO genau gemeint ist. Von den meisten wird die Auffassung vertreten, dass das deutsche Äquivalent für „elektronisches Format“ die sog. „Textform“ im deutschen Zivilrecht (§ 126b BGB) ist. Letztere zeichnet sich durch drei wesentliche Merkmale aus:

  1. Die Erklärung ist auf einem dauerhaften Datenträger gespeichert. Es genügt also nicht, wenn sie nur auf der Website abrufbar ist.
  2. Die Erklärung ist vor nachträglichen Änderungen geschützt.
  3. Die Person des Erklärenden ist namentlich genannt.

Im Alltag begegnet einem die „Textform“ meistens als Vertragsdokumentation im PDF-Format. Die Übersendung der Vereinbarung zur Auftragsverarbeitung als PDF-Datei ist grundsätzlich auch in blanko möglich, also ohne Eintragungen von individuellen Kundendaten. Zivilrechtlich handelt es sich bei der Erklärung im PDF-Format um das Angebot zum Abschluss einer AVV mit dem Kunden. Solange aus diesem Dokument der Erklärende hervorgeht, also derjenige, der das Angebot zum AVV-Abschluss unterbreitet, ist das Textformerfordernis erfüllt.

Vereinbarung zur Auftragsverarbeitung als AGB-Anhang?

In der Praxis sind wir häufiger mit der Frage konfrontiert, ob es zulässig ist, die AVV den AGB des Auftragsverarbeiters als Anhang beizufügen. Die AGB bilden wiederum den Anhang zu einem Angebot.

Für den wirksamen Abschluss der AVV als Anhang zum Angebot oder zu den AGB ist zunächst erforderlich, dass irgendwo in den Vertragsdokumenten, denen die AVV beigefügt ist, eine Nennung der Vertragsparteien erfolgt.

Des Weiteren ist zu beachten, dass es sich bei den AGB um ein Dokument handelt, das wegen der gesetzlichen Erleichterungen an die Einbeziehung in einen Vertrag auch dann Vertragsbestandteil werden kann, wenn der Empfänger sie nicht aktiv zur Kenntnis nimmt. Diese Erleichterungen gelten für die AVV wohl nicht. Hier ist eine deutliche Einbeziehung notwendig, und der Kunde muss seine ausdrückliche Zustimmung zur AVV geben.

Räumlich gesehen kann man die AVV den AGB allerdings durchaus als „Annex“ hinzufügen, solange man sich eine gesonderte Zustimmung zur AVV einholt.

Und was passiert, wenn man die AVV dem Angebot zum Abschluss des Vertrages über die Hauptleistung beifügt? Auch hier meinen wir, dass eine separate Zustimmung zur AVV notwendig ist. Allein die Annahme des Angebotes zum Abschluss des Hauptvertrages bedeutet nicht automatisch die Annahme der AVV.

Möchten Sie Ihre AGB in laufenden Vertragsbeziehungen wirksam ändern? Hier erfahren Sie, wie’s geht!

Der Online-Vertragsschluss – wie setzt man ihn richtig um?

Was die Anforderungen an die Gestaltung der AVV anbelangt, ist zum einen zu beachten, dass alle notwendigen Inhalte enthalten sind. Zum anderen müssen die Vertragsparteien namentlich genannt sein. Letzteres kann entweder unmittelbar in der AVV erfolgen oder in der begleitenden Vertragsdokumentation.

Die Erklärung, dass der Kunde mit der AVV einverstanden ist, kann auch elektronisch erfolgen. Hier gelten im Grunde keine Besonderheiten. Möglich sind unter anderem das Anklicken einer Checkbox, die Zustimmungserklärung per E-Mail oder auf andere unmissverständliche Weise. Wichtig ist nur, dass die Zustimmung ausreichend dokumentiert wird. Besondere Vorkehrungen zur Absicherung, dass der Erklärende auch tatsächlich zur Abgabe der Zustimmungserklärung bevollmächtigt ist, müssen Sie nicht treffen.

Muss ich zur Auftragsverarbeitung dem Kunden “hinterherlaufen”?

Für den Fall, dass der Kunde keine Zustimmung zu der von Ihnen vorgelegten AVV erteilt hat und es auch sonst nicht zum Abschluss einer AVV gekommen ist, haben Sie eindeutig ein Problem.

Die DSGVO schreibt vor, dass die Datenverarbeitung durch den Auftragsverarbeiter nur erfolgen darf, wenn eine wirksame AVV vorliegt. Die Pflicht zum Abschluss der AVV trifft sowohl den Auftraggeber als auch den Auftragsverarbeiter, also den Auftragnehmer. Beide müssen sich also um eine wirksame AVV kümmern.

Wenn der Auftraggeber nicht aktiv wird, muss der Auftragsverarbeiter ihm also „hinterherlaufen“, um die Grundlage für die rechtskonforme Datenverarbeitung zu schaffen.

Sollte sich der Kunde beharrlich weigern, eine AVV abzuschließen, bleibt nur eins: Die Beendigung der Zusammenarbeit. Bei deren Fortsetzung würde die Datenverarbeitung unrechtmäßig erfolgen.

Da die Verarbeitung von Daten zum Kern der Leistungen des Auftragsverarbeiters gehört, kann man das gesamte zugrunde liegende Vertragsverhältnis ohne Einhaltung einer Kündigungsfrist aus wichtigem Grund kündigen. Allerdings müssen Sie innerhalb einer angemessenen Zeitspanne kündigen, nachdem Sie von dem Scheitern der AVV erfahren haben.

Auftragsverarbeitung – wie machen es die “Großen”?

Vielleicht haben Sie sich bereits angeschaut, wie die großen IT-Konzerne ihre Vereinbarung zur Auftragsverarbeitung abschließen. Wir raten davon ab, blind das Vorgehen der Konkurrenz zu kopieren. Zur Veranschaulichung der rechtlichen Anforderungen in der Praxis stellen wir Ihnen die Ausgestaltung der Vereinbarung zur Auftragsverarbeitung bei einigen „Großen“ kurz vor – und wir verraten wir Ihnen auch, wo die rechtlichen Schwierigkeiten lauern.

1. Auftragsverarbeitung bei Google

Zunächst schauen wir uns die Anleitung zum AVV-Abschluss im Rahmen von Google Analytics an. Auf der Google-Support-Website findet man unter der Überschrift „Zusatz zur Datenverarbeitung akzeptieren“ folgende Anleitung:

“Dazu benötigen Sie die Bearbeitungsberechtigung auf Kontoebene.

  1. Melden Sie sich in Google Analytics an.
  2. Klicken Sie auf Verwaltung.
  3. Wählen Sie über das Menü in der Spalte KONTO das Konto aus, in dem Sie die Einstellungen ändern möchten. Wenn Sie viele Konten haben, können Sie das betreffende Konto über das Suchfeld finden.
  4. Klicken Sie in der Spalte KONTO auf Kontoeinstellungen.
  5. Klicken Sie unter Zusatz zur Datenverarbeitung auf Zusatz anzeigen.
  6. Lesen Sie den Zusatz durch und klicken Sie dann auf Fertig.
  7. Klicken Sie noch einmal auf Fertig, um Ihre Kontoeinstellungen zu speichern.”

Die Frage, ob diese Art des Vertragsschlusses den Erfordernissen für die Einhaltung der Textform entspricht, ist aus unserer Sicht unzweifelhaft mit einem Nein zu beantworten! Denn das Dokument, das als AVV dienen soll, ist zum einen lediglich auf der Website von Google abrufbar und damit nicht „auf einem dauerhaften Datenträger“ gespeichert. Zum anderen ist es deswegen auch nicht vor nachträglichen Änderungen geschützt. Die Unveränderbarkeit ist aber eine entscheidende Voraussetzung in § 126b BGB, um das Textformerfordernis zu erfüllen.

Obwohl die Art und Weise des AV-Vertragsschlusses bei Google nicht den Anforderungen an die Textform genügt, raten wir unseren Mandanten trotz aller rechtlichen Risiken dazu, Googles so genannten „Zusatz zur Datenverarbeitung“ zu akzeptieren. Der Grund: Viele Fragen im Zusammenhang mit der „elektronischen Form“ von AVVs sind noch nicht abschließend geklärt. Nach derzeitigem Stand herrscht zwar zumindest in Deutschland die Sichtweise vor, dass „elektronisches Format“ mit „Textform“ gleichzusetzen ist, wie wir oben erläutert haben. In Zeiten der DSGVO als EU-weite Verordnung ist die nationalstaatliche Sichtweise aber nicht allein ausschlaggebend. Es kann durchaus passieren, dass sich in der EU eine andere Deutung des Begriffes „elektronisches Format“ durchsetzt. Die aus deutscher Sicht fehlerhafte AVV von Google könnte durch eine europäische Auslegung rehabilitiert werden.

Hier vertreten wir also den pragmatischen Grundsatz: Besser eine „schlechte“ AVV als gar keine!

2. Auftragsverarbeitung bei AWS

Das Unternehmen Amazon Web Services (AWS) fügt die AVV den so genannten AWS-AGB („Service Terms“) als Blanko-Erklärung bei. Auf den ersten Blick könnte man also den Eindruck gewinnen, dass es sich hier um eine in die AGB integrierte AVV handelt. Das würde allerdings nicht funktionieren, denn wir meinen, in diesen Fällen bedarf es stets einer separaten Zustimmung zur AVV.

Bei genauerem Hinsehen wird die Sache klarer: Schaut man sich Ziffer 1 der AWS-AVV an, wird ersichtlich, dass die den AGB beigefügte Blanko-AVV vom AWS-Kunden erst noch um einige Angaben ergänzt werden muss. Außerdem muss die AVV unterschrieben werden. Anschließend muss das Dokument als Scan an AWS zurückgesandt werden. Dann – und erst dann – hat man mit AWS eine AVV geschlossen. Dieser Weg erfüllt alle Anforderungen an die Textform und ist grundsätzlich ideal, um auf einfache Weise eine wirksame AVV abzuschließen.

3. Auftragsverarbeitung bei Microsoft

Bei Microsoft-Diensten wie Azure oder Office 365 ist die AVV tatsächlich als Anlage Bestandteil der AGB. Microsoft nennt seine AGB „Bestimmungen für Onlinedienste“ oder auch „OST – Online Service Terms“. Als Kunde akzeptiert man die AGB (und damit theoretisch auch die AVV) bereits bei der Registrierung. Bei den datenschutzrechtlichen Bestimmungen im Rahmen der OST handelt es sich somit wie bei AWS quasi um eine Blanko-AVV. Aus Kundensicht ist gegen eine solche Blanko-AVV nichts einzuwenden.

Aus der Sicht von Microsoft ist das Ganze allerdings nicht rechtssicher, da nach unserer Meinung (siehe oben) bei Hinzufügung der AVV als „Anlage“ oder „Annex“ zu den AGB eine separate Zustimmung des Kunden zur AVV nötig ist, damit diese wirksam wird. Microsoft könnte den Kunden also nicht darauf festnageln, dass er der AVV durch die Akzeptanz der AGB zugestimmt hat. Andersherum kann sich Microsoft aber nicht darauf berufen, der AVV-Abschluss sei unwirksam, sofern der Kunde diesen Abschluss gewollt hat. Würde sich Microsoft auf die Unwirksamkeit mangels separater Zustimmung des Kunden zu der AVV berufen, würde man darin ein rechtsmissbräuchliches, weil widersprüchliches Verhalten durch Microsoft sehen. Denn es ist Microsofts Schuld, keine separate Zustimmung vom Kunden eingeholt zu haben. Folglich kann Microsoft hinterher auch nicht sagen, dass deswegen die Vereinbarung zur Auftragsverarbeitung unwirksam seien.

Wir nehmen’s genau mit Ihrer AVV!

Falls Sie unsicher sind, ob mit Ihrer Vereinbarung zur Auftragsverarbeitung alles in Ordnung oder ob Luft nach oben ist: Beauftragen Sie uns mit einem IT-Vertragscheck. Auf unserer Produktseite erfahren Sie, welche Leistungen wir im Zusammenhang mit AVV für Sie erbringen und was Sie das kostet.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Redaktionelle Anmerkung: Herzlichen Dank an unseren Kollegen Johannes Habermalz für die Mitwirkung an diesem Beitrag. Der Beitrag wurde erstmals am 28. Juni 2019 veröffentlicht und zuletzt am 13. Juni 2020 inhaltlich überarbeitet.


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: