Der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) ist mittlerweile Alltag geworden und werden solche Formulare schon quasi reflexartig dem zugrundeliegenden Hauptvertrag beigelegt. Genauso routiniert kommt es dann vor, dass diese AVVs im Anschluss ausgedruckt, sodann klassische handschriftlich unterschrieben und im Anschluss daran eingescannt und retourniert werden. Dieses Vorgehen ist vieles: aufwändig, fehleranfällig, sinnlose Umweltbelastung und - nach der durchaus richtigen - Erkenntnis des Hessischen Datenschutzbeauftragten: unnötig!

Wie war das mit Digitalisierung?

Doch zuerst zur Frage warum Unternehmen in Zeiten der Digitalisierung gerne mal einen auf "old school" machen: Die Antwort ist auf eine etwas unglückliche Interpretation des Art 28 DSGVO zurückzuführen. Dieser sieht vor, dass eine AVV "schriftlich" abgeschlossen werden muss und in Deutschland "Schriftlichkeit" vor allem eines heißt: klassische Unterschrift! So gibt es apodiktisch das Bürgerliche Gesetzbuch (BGB) im § 126 vor.

Sidenote: freilich hat man bereits vor Jahren im BGB auch an die digitale Signatur gedacht und diese - sofern sie qualifiziert ist - der Schriftform gleichgestellt. Der Haken ist jedoch: eine solche qualifizierte digitale Signatur ist in den meisten Fällen noch viel unkomfortabler als das auch mühsame - aber dafür gewohnte - Ausdrucken und Einscannen...

Aus diesem Grund werden in Deutschland vielfach nur handschriftlich signierte AVVs akzeptiert. Klingt komisch... is aber so!

Was sagt die Hessische Datenschutzbehörde dazu?

Der Hessische Datenschutzbeauftragte verkündet in seinem 48. Tätigkeitsbericht eine frohe Botschaft:
Nach dessen Ansicht reicht für AVVs auch die bloße Textform nach § 126b BGB. Im Klartext heißt dies, dass jede Schriftform ausreicht und konkret werden in diesem Zusammenhang auch E-Mails oder PDF-Dateien angesprochen. Darüber hinaus ist es auch zulässig, dass eine AVV lediglich zur in Form eines Downloads zur Verfügung steht, sodass man die Möglichkeit gehabt hat sich deren Inhalt dauerhaft zu speichern.

Begründung des Hessischen Datenschutzbeauftragten

Die Anforderungen an die Schriftlichkeit nach Art 28 DSGVO dürfen nicht überspannt werden. Art 28 DSGVO hat vor allem das Ziel vor Augen, dass alle Parteien sich dauerhaft und zuverlässig über den Inhalt der AVV informieren können. Hierfür ist nach der - völlig korrekten - Ansicht des Hessischen Datenschutzbeauftragten keine Unterschrift in Form einer handschriftlichen oder qualifizierten elektronischen Signatur notwendig.

Sidenote: Erstaunlicherweise stellte sich die Frage der klassischen Unterschrift hierzulande in Österreich nie. Dies liegt allerdings, daran, dass das Allgemeine Bürgerliche Gesetzbuch (ABGB) die Unterschrift seit jeher nur für wenige Vertragstypen zwingend vorsah.

Fazit

Schluss mit dem Baummorden und digitalisert euch endlich! AVVs sind durchaus in der Lage eine rein digitale Existenz zu führen. Belassen wir es dabei !