Auswirkungen von Covid-19 auf Auftragsverarbeitungsverträge – Schriftform und Verbot von Home-Office?

Dr. Carlo Piltz

Nach den Leitlinien von Bund und Ländern zur Beschränkung sozialer Kontakte werden die Bürger zur Eindämmung des Corona-Virus angehalten, Kontakte zu anderen Menschen auf ein absolut nötiges Minimum zu reduzieren. 

Bereits in den Wochen vor der Veröffentlichung dieser Leitlinien haben viele Unternehmen ihre Belegschaft, soweit möglich, ins Home-Office geschickt. Mit der dezentralen Arbeit der Beschäftigten gehen jedoch auch im Datenschutzrecht praktische Besonderheiten und Fragestellungen einher.

Ganz konkret kann sich die Arbeit von zu Hause auch auf den Abschluss oder die Durchführung von Verträgen zur Auftragsverarbeitung auswirken.

Müssen Verträge zur Auftragsverarbeitung zwingend handschriftlich auf einer Urkunde unterzeichnet werden?

Wie ist zu verfahren, wenn zeichnungsberechtigte Mitarbeiter im Home-Office sind, jedoch keine Möglichkeit haben, den Auftragsverarbeitungsvertrag zu drucken, zu unterzeichnen und im Original an die andere Partei auf den Weg zu bringen? Unserer Ansicht nach ist die handschriftliche Unterzeichnung nicht erforderlich. Es genügt etwa auch ein Austausch von PDF-Dokumenten per E-Mail, wenn aus dem E-Mail-Verlauf der Bindungswille und die in Bezug genommenen Dokumente klar erkennbar sind.

Nach Art. 28 Abs. 9 DSGVO ist der Vertrag zur Auftragsverarbeitung schriftlich abzufassen. Dies kann jedoch grundsätzlich auch in einem elektronischen Format erfolgen. Unklar ist jedoch, ob darüber hinaus aus Art. 28 Abs. 9 DSGVO weitere konkrete Formerfordernisse hinsichtlich des Vertragsschlusses folgen. Insoweit ist zu überlegen, ob Verträge mit Auftragsverarbeitern stets handschriftlich durch die Parteien zu unterzeichnen sind (dies entspräche der Schriftform nach dem BGB).

Dagegen spricht jedoch zum einen, dass Abs. 9 die Form auf das "Abfassen" bezieht und nicht auf die Unterzeichnung (also den Vertragsschluss) selbst. Betrachtet man zudem die weitere Verwendung der Begrifflichkeiten "schriftlich" und "elektronisc" in der DSGVO, so wird deutlich, dass der Gesetzgeber wohl nicht von einem Schriftformerfordernis ausging, wie wir es im deutschen Zivilrecht kennen. So wird in Bezug auf die Informationserteilung in Art. 12 Abs. 1 DSGVO vorgegeben, dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen kann. Insoweit ist allgemein anerkannt, dass mit schriftlich nicht die handschriftlich erstellte Datenschutzerklärung, sondern vielmehr ihr Druck auf Papier gemeint ist. Im Sinne einer einheitlichen Anwendung der Begrifflichkeiten innerhalb der DSGVO dürfte im Rahmen von Art. 28 Abs. 9 DSGVO nichts anderes gelten. Tragfähig ist diese Argumentation auch im Hinblick darauf, dass die Anordnung der Schriftform mehrere Zwecke verfolgen kann und es dem Gesetzgeber im Fall des Vertrages zur Auftragsverarbeitung in erster Linie um eine Dokumentation der Vereinbarungen zwischen den Parteien und weniger, um eine Warnfunktion hinsichtlich des Vertragsschlusses gegangen sein dürfte.

Dies bestätigt auch die Praxis. So hat sich die EU-Kommission in der Vergangenheit offen für verschiedene Formen des elektronischen Abschlusses von Auftragsverarbeitungsverträgen gezeigt. Auch nach Ansicht des BayLDA ist die Verwendung einer qualifizierten elektronische Signatur nicht zwingend (PDF), sondern nur eine der denkbaren elektronischen Möglichkeiten.

Home-Office nur nach vorheriger Zustimmung des Auftraggebers. Und nun?

Nach der Mustervereinbarung zur Auftragsverarbeitung des BfDI bedarf eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home-Office, mobiles Arbeiten) der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen, die erst nach Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilt werden kann (§ 3 Abs. 9).

In den letzten Wochen haben viele Unternehmen kurzfristig die Tätigkeiten vieler Mitarbeiter auf eine Arbeit von zu Hause umgestellt. Dies betrifft oft auch Mitarbeiter, die als Angestellte des Auftragsverarbeiters personenbezogene Daten des Auftragsgebers verarbeiten.

Hat sich der Auftragsverarbeiter nun vertraglich zu dem obigen Vorgehen verpflichtet, stellt sich die Frage, ob ein Verstoß gegen den Auftragsverarbeitungsvertrag vorliegt und wenn ja, welche Konsequenzen dieser hat.

Durch eigenmächtige, d.h. ohne vorherige Zustimmung des Auftraggebers erfolgte, Verlagerung der Datenverarbeitung ins Home-Office könnte sich der Auftragnehmer nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen aufgeschwungen haben (sog. Funktions- oder Aufgabenexzess). Fraglich ist insoweit zunächst, ob die jetzige Situation überhaupt von der Home-Office-Klausel im Mustervertrag (also ihrem Sinn und Zweck) erfasst ist. Man könnte vertreten, dass auf den (physischen) Ort der Datenverarbeitung und nicht auf den Zugriff durch die Mitarbeiter abzustellen ist. Die Klausel wäre damit nicht verletzt, wenn die Mitarbeiter des Auftragnehmers im Home-Office remote auf die Server im Unternehmen zugreifen und dort die Daten des Auftraggebers verarbeiten. Dies wird man jedoch wohl ablehnen müssen. Aus Sicht der IT-Sicherheit stellt jeder Fernzugriff auf Daten ein Risiko dar, das durch die entsprechende Klausel im Vertrag gerade adressiert werden soll. Dem Auftraggeber soll dadurch Gelegenheit verschafft werden, die technischen und organisatorischen Maßnahmen, die seine Daten bei Verarbeitung im Home-Office schützen, zu überprüfen. Die entsprechende Klausel dürfte daher anwendbar sein.

Entscheidet der Auftragnehmer eigenmächtig über die Mittel der Datenverarbeitung, ist dies per se noch kein Grund für einen Aufgabenexzess. So hat bereits die Art-29-Datenschutzgruppe in ihrem Working-Paper zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" (PDF) anerkannt, dass der Verantwortliche nicht über jedes Mittel der Verarbeitung im Detail entscheiden muss. Kritisch ist hier jedoch, dass sich im Vertrag eine ausdrückliche Regelung findet und der Auftragsverarbeiter insoweit von einer eindeutigen Weisung des Verantwortlichen im Hinblick auf den Verarbeitungsprozess abweicht. Dieses Vorgehen dürfte den von der Art-29-Datenschutzgruppe gesetzten Rahmen (vgl. Working-Paper, S. 31) wohl überschreiten.

Gleichzeitig könnte auch ein Verstoß gegen die DSGVO, konkret Art. 28 Abs. 3 lit. a DSGVO, vorliegen. Die Regelungen zum Home-Office sind zwar kein zwingender Vertragsbestandteil zwischen den Parteien entsprechend den Vorgaben nach Art. 28 Abs. 3 DSGVO. Jedoch kann es sich hier um das Hinwegsetzen über die Weisungen des Auftraggebers handeln, auch wenn die Regelung nicht gesetzlich vorgeschrieben ist.

Vor diesem Hintergrund stellt sich die Frage, wie Auftragsverarbeiter, die von der hier zitierten oder einer ähnlichen Klausel betroffen sind, vorgehen können, um schnellstmöglich wieder Compliance mit der DSGVO herzustellen. Insoweit ist zunächst zu einer genauen Prüfung der Klauseln und des Vertragswerks insgesamt zu raten. Sieht der Vertrag beispielsweise eine Regelung für höhere Gewalt oder die Möglichkeit einer nachträglichen Genehmigung vor, kann diese Alternative zur Anwendung kommen. Enthält der Vertrag keine entsprechende Regelung, kann der eventuell vorliegende Verstoß nach hiesiger Ansicht dennoch durch die nachträgliche Genehmigung geheilt werden und der Auftragsverarbeiter dadurch seine Rolle vollumfänglich zurückerlangen. Erteilt der Auftraggeber diese Genehmigung nicht, könnte dies unter den gegebenen Umständen und mit Blick auf die arbeitsrechtliche Fürsorgepflicht des Auftragsverarbeiters für seine Mitarbeiter treuwidrig und daher unzulässig sein. Insoweit ist jedoch eine Einzelfallprüfung erforderlich. Gleiches gilt für die mögliche Annahme einer Störung der Geschäftsgrundlage nach § 313 BGB, die eine Vertragsanpassung ermöglichen könnte. Hier wird die Hürde im Vergleich zu einer nachträglichen Zustimmung bzw. deren Fiktion bei Verweigerung ungleich höher sein.

[März 2020]