Aus­wir­kun­gen von Covid-19 auf Auf­trags­ver­ar­bei­tungs­ver­trä­ge – Schrift­form und Ver­bot von Home-Office?

Nach den Leit­li­ni­en von Bund und Län­dern zur Beschrän­kung sozia­ler Kon­tak­te wer­den die Bür­ger zur Ein­däm­mung des Corona-Virus ange­hal­ten, Kon­tak­te zu ande­ren Men­schen auf ein abso­lut nöti­ges Mini­mum zu reduzieren. 

Bereits in den Wochen vor der Ver­öf­fent­li­chung die­ser Leit­li­ni­en haben vie­le Unter­neh­men ihre Beleg­schaft, soweit mög­lich, ins Home-Office geschickt. Mit der dezen­tra­len Arbeit der Beschäf­tig­ten gehen jedoch auch im Daten­schutz­recht prak­ti­sche Beson­der­hei­ten und Fra­ge­stel­lun­gen einher.

Ganz kon­kret kann sich die Arbeit von zu Hau­se auch auf den Abschluss oder die Durch­füh­rung von Ver­trä­gen zur Auf­trags­ver­ar­bei­tung auswirken.

Müs­sen Ver­trä­ge zur Auf­trags­ver­ar­bei­tung zwin­gend hand­schrift­lich auf einer Urkun­de unter­zeich­net werden?

Wie ist zu ver­fah­ren, wenn zeich­nungs­be­rech­tig­te Mit­ar­bei­ter im Home-Office sind, jedoch kei­ne Mög­lich­keit haben, den Auf­trags­ver­ar­bei­tungs­ver­trag zu dru­cken, zu unter­zeich­nen und im Ori­gi­nal an die ande­re Par­tei auf den Weg zu brin­gen? Unse­rer Ansicht nach ist die hand­schrift­li­che Unter­zeich­nung nicht erfor­der­lich. Es genügt etwa auch ein Aus­tausch von PDF-Dokumenten per E‑Mail, wenn aus dem E‑Mail-Verlauf der Bin­dungs­wil­le und die in Bezug genom­me­nen Doku­men­te klar erkenn­bar sind.

Nach Art. 28 Abs. 9 DSGVO ist der Ver­trag zur Auf­trags­ver­ar­bei­tung schrift­lich abzu­fas­sen. Dies kann jedoch grund­sätz­lich auch in einem elek­tro­ni­schen For­mat erfol­gen. Unklar ist jedoch, ob dar­über hin­aus aus Art. 28 Abs. 9 DSGVO wei­te­re kon­kre­te Form­erfor­der­nis­se hin­sicht­lich des Ver­trags­schlus­ses fol­gen. Inso­weit ist zu über­le­gen, ob Ver­trä­ge mit Auf­trags­ver­ar­bei­tern stets hand­schrift­lich durch die Par­tei­en zu unter­zeich­nen sind (dies ent­sprä­che der Schrift­form nach dem BGB).

Dage­gen spricht jedoch zum einen, dass Abs. 9 die Form auf das “Abfas­sen” bezieht und nicht auf die Unter­zeich­nung (also den Ver­trags­schluss) selbst. Betrach­tet man zudem die wei­te­re Ver­wen­dung der Begriff­lich­kei­ten “schrift­lich” und “elek­tro­nisc” in der DSGVO, so wird deut­lich, dass der Gesetz­ge­ber wohl nicht von einem Schrift­form­erfor­der­nis aus­ging, wie wir es im deut­schen Zivil­recht ken­nen. So wird in Bezug auf die Infor­ma­ti­ons­er­tei­lung in Art. 12 Abs. 1 DSGVO vor­ge­ge­ben, dass die Über­mitt­lung der Infor­ma­tio­nen schrift­lich oder in ande­rer Form, gege­be­nen­falls auch elek­tro­nisch, erfol­gen kann. Inso­weit ist all­ge­mein aner­kannt, dass mit schrift­lich nicht die hand­schrift­lich erstell­te Daten­schutz­er­klä­rung, son­dern viel­mehr ihr Druck auf Papier gemeint ist. Im Sin­ne einer ein­heit­li­chen Anwen­dung der Begriff­lich­kei­ten inner­halb der DSGVO dürf­te im Rah­men von Art. 28 Abs. 9 DSGVO nichts ande­res gel­ten. Trag­fä­hig ist die­se Argu­men­ta­ti­on auch im Hin­blick dar­auf, dass die Anord­nung der Schrift­form meh­re­re Zwe­cke ver­fol­gen kann und es dem Gesetz­ge­ber im Fall des Ver­tra­ges zur Auf­trags­ver­ar­bei­tung in ers­ter Linie um eine Doku­men­ta­ti­on der Ver­ein­ba­run­gen zwi­schen den Par­tei­en und weni­ger, um eine Warn­funk­ti­on hin­sicht­lich des Ver­trags­schlus­ses gegan­gen sein dürfte.

Dies bestä­tigt auch die Pra­xis. So hat sich die EU-Kommission in der Ver­gan­gen­heit offen für ver­schie­de­ne For­men des elek­tro­ni­schen Abschlus­ses von Auf­trags­ver­ar­bei­tungs­ver­trä­gen gezeigt. Auch nach Ansicht des BayL­DA ist die Ver­wen­dung einer qua­li­fi­zier­ten elek­tro­ni­sche Signa­tur nicht zwin­gend (PDF), son­dern nur eine der denk­ba­ren elek­tro­ni­schen Möglichkeiten.

Home-Office nur nach vor­he­ri­ger Zustim­mung des Auf­trag­ge­bers. Und nun?

Nach der Mus­ter­ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung des BfDI bedarf eine Ver­ar­bei­tung von Daten außer­halb der Betriebs­räu­me des Auf­trags­ver­ar­bei­ters (z.B. Tele­ar­beit, Heim­ar­beit, Home-Office, mobi­les Arbei­ten) der vor­he­ri­gen aus­drück­li­chen schrift­li­chen Zustim­mung des Ver­ant­wort­li­chen, die erst nach Fest­le­gung ange­mes­se­ner tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men für die Ver­ar­bei­tungs­si­tua­ti­on erteilt wer­den kann (§ 3 Abs. 9).

In den letz­ten Wochen haben vie­le Unter­neh­men kurz­fris­tig die Tätig­kei­ten vie­ler Mit­ar­bei­ter auf eine Arbeit von zu Hau­se umge­stellt. Dies betrifft oft auch Mit­ar­bei­ter, die als Ange­stell­te des Auf­trags­ver­ar­bei­ters per­so­nen­be­zo­ge­ne Daten des Auf­trags­ge­bers verarbeiten.

Hat sich der Auf­trags­ver­ar­bei­ter nun ver­trag­lich zu dem obi­gen Vor­ge­hen ver­pflich­tet, stellt sich die Fra­ge, ob ein Ver­stoß gegen den Auf­trags­ver­ar­bei­tungs­ver­trag vor­liegt und wenn ja, wel­che Kon­se­quen­zen die­ser hat.

Durch eigen­mäch­ti­ge, d.h. ohne vor­he­ri­ge Zustim­mung des Auf­trag­ge­bers erfolg­te, Ver­la­ge­rung der Daten­ver­ar­bei­tung ins Home-Office könn­te sich der Auf­trag­neh­mer nach Art. 28 Abs. 10 DSGVO selbst zum Ver­ant­wort­li­chen auf­ge­schwun­gen haben (sog. Funktions- oder Auf­ga­ben­ex­zess). Frag­lich ist inso­weit zunächst, ob die jet­zi­ge Situa­ti­on über­haupt von der Home-Office-Klausel im Mus­ter­ver­trag (also ihrem Sinn und Zweck) erfasst ist. Man könn­te ver­tre­ten, dass auf den (phy­si­schen) Ort der Daten­ver­ar­bei­tung und nicht auf den Zugriff durch die Mit­ar­bei­ter abzu­stel­len ist. Die Klau­sel wäre damit nicht ver­letzt, wenn die Mit­ar­bei­ter des Auf­trag­neh­mers im Home-Office remo­te auf die Ser­ver im Unter­neh­men zugrei­fen und dort die Daten des Auf­trag­ge­bers ver­ar­bei­ten. Dies wird man jedoch wohl ableh­nen müs­sen. Aus Sicht der IT-Sicherheit stellt jeder Fern­zu­griff auf Daten ein Risi­ko dar, das durch die ent­spre­chen­de Klau­sel im Ver­trag gera­de adres­siert wer­den soll. Dem Auf­trag­ge­ber soll dadurch Gele­gen­heit ver­schafft wer­den, die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, die sei­ne Daten bei Ver­ar­bei­tung im Home-Office schüt­zen, zu über­prü­fen. Die ent­spre­chen­de Klau­sel dürf­te daher anwend­bar sein.

Ent­schei­det der Auf­trag­neh­mer eigen­mäch­tig über die Mit­tel der Daten­ver­ar­bei­tung, ist dies per se noch kein Grund für einen Auf­ga­ben­ex­zess. So hat bereits die Art-29-Datenschutzgruppe in ihrem Working-Paper zu den Begrif­fen “für die Ver­ar­bei­tung Ver­ant­wort­li­cher” und “Auf­trags­ver­ar­bei­ter” (PDF) aner­kannt, dass der Ver­ant­wort­li­che nicht über jedes Mit­tel der Ver­ar­bei­tung im Detail ent­schei­den muss. Kri­tisch ist hier jedoch, dass sich im Ver­trag eine aus­drück­li­che Rege­lung fin­det und der Auf­trags­ver­ar­bei­ter inso­weit von einer ein­deu­ti­gen Wei­sung des Ver­ant­wort­li­chen im Hin­blick auf den Ver­ar­bei­tungs­pro­zess abweicht. Die­ses Vor­ge­hen dürf­te den von der Art-29-Datenschutzgruppe gesetz­ten Rah­men (vgl. Working-Paper, S. 31) wohl überschreiten.

Gleich­zei­tig könn­te auch ein Ver­stoß gegen die DSGVO, kon­kret Art. 28 Abs. 3 lit. a DSGVO, vor­lie­gen. Die Rege­lun­gen zum Home-Office sind zwar kein zwin­gen­der Ver­trags­be­stand­teil zwi­schen den Par­tei­en ent­spre­chend den Vor­ga­ben nach Art. 28 Abs. 3 DSGVO. Jedoch kann es sich hier um das Hin­weg­set­zen über die Wei­sun­gen des Auf­trag­ge­bers han­deln, auch wenn die Rege­lung nicht gesetz­lich vor­ge­schrie­ben ist.

Vor die­sem Hin­ter­grund stellt sich die Fra­ge, wie Auf­trags­ver­ar­bei­ter, die von der hier zitier­ten oder einer ähn­li­chen Klau­sel betrof­fen sind, vor­ge­hen kön­nen, um schnellst­mög­lich wie­der Com­pli­ance mit der DSGVO her­zu­stel­len. Inso­weit ist zunächst zu einer genau­en Prü­fung der Klau­seln und des Ver­trags­werks ins­ge­samt zu raten. Sieht der Ver­trag bei­spiels­wei­se eine Rege­lung für höhe­re Gewalt oder die Mög­lich­keit einer nach­träg­li­chen Geneh­mi­gung vor, kann die­se Alter­na­ti­ve zur Anwen­dung kom­men. Ent­hält der Ver­trag kei­ne ent­spre­chen­de Rege­lung, kann der even­tu­ell vor­lie­gen­de Ver­stoß nach hie­si­ger Ansicht den­noch durch die nach­träg­li­che Geneh­mi­gung geheilt wer­den und der Auf­trags­ver­ar­bei­ter dadurch sei­ne Rol­le voll­um­fäng­lich zurück­er­lan­gen. Erteilt der Auf­trag­ge­ber die­se Geneh­mi­gung nicht, könn­te dies unter den gege­be­nen Umstän­den und mit Blick auf die arbeits­recht­li­che Für­sor­ge­pflicht des Auf­trags­ver­ar­bei­ters für sei­ne Mit­ar­bei­ter treu­wid­rig und daher unzu­läs­sig sein. Inso­weit ist jedoch eine Ein­zel­fall­prü­fung erfor­der­lich. Glei­ches gilt für die mög­li­che Annah­me einer Stö­rung der Geschäfts­grund­la­ge nach § 313 BGB, die eine Ver­trags­an­pas­sung ermög­li­chen könn­te. Hier wird die Hür­de im Ver­gleich zu einer nach­träg­li­chen Zustim­mung bzw. deren Fik­ti­on bei Ver­wei­ge­rung ungleich höher sein.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.