Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Auftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?

23. März 2019

Die Umsetzung der gesetzlichen Forderung aus Art. 28 Abs. 3 DS-GVO hinsichtlich des Abschlusses eines Auftragsverarbeitungsvertrags (AV-Vertrag), stellt die Beteiligten – Auftraggeber und Auftragnehmer gleichermaßen – häufig vor große Herausforderungen. Insbesondere kommt es in der Praxis nicht selten vor, dass ein Vertragsentwurf an den Geschäftspartner übersandt, dieser jedoch auch auf mehrere Nachfragen hin, nicht unterschrieben zurückgesandt wird. Was ist in einem solchen Fall zu tun? Die Geschäftsbeziehung aufgrund des nicht vorhandenen Vertrags zur Auftragsverarbeitung und der daher drohenden Bußgelder beenden und sich nach einem neuen Auftragsverarbeiter bzw. einem neuen Auftraggeber umschauen, der kooperativer ist? Oder die Geschäftsbeziehung aufrecht erhalten und weiterhin „auf dem Pulverfass tanzen“? Gibt es keine eleganteren Lösungen?

Ein Lösungsansatz über die Grundsätze des sog. kaufmännischen Bestätigungsschreibens

Es gibt Überlegungen (Datakontext NewsBox 02/19, S.3), auf die vorliegende Situation die Grundsätze des sog. kaufmännischen Bestätigungsschreibens anzuwenden und einen Vertragsschluss anzunehmen, wenn der Geschäftspartner innerhalb einer ihm zur Antwort gesetzten Frist einem Vertragsentwurf nicht widerspricht.  Das bedeutet, dass schlichtes Nichthandeln des Geschäftspartners zum Vertragsschluss führen sollte.

Was halten die Aufsichtsbehörden von einem solchen Lösungsansatz?

Bisher hat sich, soweit uns bekannt, nur das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zu dieser Lösungsalternative geäußert. Das BayLDA hält die Grundsätze des kaufmännischen Bestätigungsschreibens in der vorliegenden Situation für anwendbar, betont jedoch, dass die datenschutzrechtliche Frage, ob ein AV-Vertrag geschlossen wurde, eng mit der zivilrechtlichen und handelsrechtlichen Frage verbunden wäre, ob ein wirksamer Vertragsschluss vorliegen würde. Dazu müssten insbesondere alle Voraussetzungen eines kaufmännischen Bestätigungsschreibens erfüllt sein. Dies wären folgende:

  • Kaufmanneigenschaft des Empfängers des Bestätigungsschreibens oder dessen Teilnahme am Geschäftsleben in größerem Umfang. Nicht erforderlich ist die Kaufmanneigenschaft auf der Seite des Absenders, jedoch muss er wie ein Kaufmann am Wirtschaftsverkehr teilnehmen,
  • Vorangegangene Vertragsverhandlungen,
  • das kaufmännische Bestätigungsschreiben muss dem Empfänger alsbald nach vorausgegangenen Vertragsverhandlungen zugehen,
  • Bestätigung des Vertragsschlusses unter Wiedergabe des Vertragsinhalts,
  • Inhaltliche Übereinstimmung des Bestätigungsschreibens mit den tatsächlich verhandelten Punkten,
  • kein unverzüglicher Widerspruch des Empfängers.

Die Behörde weist darauf hin, dass nur, soweit all die aufgezählten Voraussetzungen erfüllt sind, von einem wirksamen Vertragsschluss auszugehen wäre. Dabei würde der Nachweis eines wirksamen Vertragsschlusses den Beteiligten obliegen.

Ist diese Lösung praktikabel?

Wenn man sich die einzelnen Voraussetzungen für ein kaufmännisches Bestätigungsschreiben anschaut, stellt man schnell fest, dass es in der eingangs beschriebenen Situation aus mehreren Gründen problematisch sein wird, diese Voraussetzungen zu erfüllen. Zu einem ist schon die Voraussetzung „Vorausgegangene Vertragsverhandlungen“ problematisch, da über einen Auftragsverarbeitungsvertrag in der vorliegenden Form in den Fällen, in denen ein Vertragspartner einfach nicht reagiert, in der Regel auch nicht verhandelt wurde. Eine solche Verhandlung fand eher hinsichtlich des Leistungsvertrags statt (oft auch als Hauptvertrag bezeichnet), in dem die eigentliche Leistung geregelt ist. Möglicherweise wurde bereits unter der Geltung des BDSG aF ein Auftrags(daten)verarbeitungsvertrag geschlossen, der durch einen neuen AV-Vertrag auf die Voraussetzungen des Art. 28 DS-GVO angepasst werden soll. Doch selbst dann gäbe es ein Problem, da der Vertragsentwurf („Bestätigungsschreiben“) den Geschäftspartner nicht alsbald nach vorausgegangenen Vertragsverhandlungen erreichen dürfte. Auch die „Bestätigung des Vertragsschlusses unter Wiedergabe des Vertragsinhalts“ sowie die inhaltliche Übereinstimmung des Bestätigungsschreibens mit den tatsächlich verhandelten Punkten dürften häufig nicht vorliegen. Schließlich ist ein AV-Vertrag ein komplexes Regelwerk, welches insbesondere Regelungen zum Beispiel zu den technischen und organisatorischen Maßnahmen enthält. Und deren Vorliegen muss vom Vertragspartner bestätigt werden und eben nicht einfach angenommen werden. Letztlich würde der Geschäftspartner, welcher das kaufmännische Bestätigungsschreiben versendet, hier gegebenenfalls seinen Sorgfaltspflichten aus Art. 28 DS-GVO nicht nachkommen.

Fazit

Aus unserer Sicht ist das kaufmännische Bestätigungsschreiben als Lösungsalternative nicht praktikabel und zu stark mit dem Risiko behaftet, dass den Beteiligten der Nachweis eines Vertragsschlusses nicht gelingen wird. Im Ergebnis hilft der Lösungsansatz über das kaufmännische Bestätigungsschreiben vermutlich regelmäßig nicht weiter.


Zielführender und auch sicherer wäre es, sich nicht lediglich auf die schriftliche (Nicht-)Korrespondenz zu verlassen, sondern auch mal zum Telefonhörer zu greifen und den Geschäftspartner zu fragen, wie man eine Einigung erreicht. Nach unserer Erfahrung ist eine solche in der Regel auch möglich, wenn die eventuell vorhandenen Problempunkte beseitigt sind. Ist dies auch dann nicht möglich, sollte man sich allerdings tatsächlich fragen, ob ein anderer Geschäftspartner nicht die bessere Wahl wäre. Immerhin ist der Abschluss eines AV-Vertrags verpflichtend und wenn bereits die Vereinbarung dieses AV-Vertrags nicht gelingt, wie mag erst die Zusammenarbeit aussehen, wenn es mit der eigentlichen Leistung Probleme gibt? 

Benötigen Sie Unterstützung beim Abschluss oder bei der Gestaltung eines Vertrags zur Auftragsverarbeitung? Kontaktieren Sie uns, wir helfen Ihnen gerne!