Müssen Auftragsdatenverarbeitungsverträge unterschrieben werden? AVV

Neuer Artikel: http://www.rakoellner.de/knowledge-base/muessen-auftragsdatenverarbeitungsvertraege-unterschrieben-werden-avv/

 

Es kommt die Frage auf, ob AVV unterschrieben werden müssen oder nicht.

Klar ist, dass eine Unterschrift beider Parteien und eine Parafierung auf jeder Seite, sowie das zusammentackern die beste Lösung ist. Dies ist im heutigen schnellen und online basierten Geschäftsleben oft nicht  durchführbar. 

Gerade dies wird bei den Microsoft Service Online Terms diskutiert. Diese werden zwischen dem Kunden und Microsoft direkt vereinbart und ändern sich einmal pro Monat. 

 

Art. 28 DSGVO

(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

  a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
  d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
  g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

[…]

(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

 

 

Konkret – Abs. 9 Art 9 DSGVO

Dieser besagt, dass es schriftlich oder auch elektronisch erfolgen kann. Die elektronische Art und weise ist genau die Herausforderung. Optimal wäre eine qualifizierte elektronische Unterschrift (mit Zertifikat) nach § 126a BGB. Diese bleibt aber oft aus, so dass es elektronisch hinreichend dokumentiert sein muss. Dies könnte durch den E-mail Verkehr oder auch durch Unterschrift erfolgen. Es ist deshalb ratsam im konkreten Einzelfall zu prüfen und auch den Rechtsbeistand einzubeziehen.

 

Microsoft Service Online Terms und die Unterschrift? 

Die Microsoft Service Online Terms (OST), wie oben in der Übersicht zu sehen, werden direkt zwischen Microsoft und dem Endkunden geschlossen. Diese sollten von dem Reseller oder Partner dem Endkunden zur Verfügung gestellt werden. Dies wird leider oft nicht von diesen gemacht und auch Microsoft schickt diese nicht mit, sondern gibt lediglich den Hinweis, dass auf der Webseite des Volumenlicensing diese in der aktuellen und allen anderen Versionen abrufbar sind.

Es ist also ein ledigliches übergeben der AVVs innerhalb der OSTs von Microsoft zum Kunden, wobei es eher ein Bereitstellen ist und der Kunde muss sich diese selber runterladen und anschauen. 

Ob eine Unterschrift zu leisten ist von beiden Parteinen oder nicht hängt auch davon ab, ob diese lediglich als Allgemeine Geschäftsbedingungen (BGB) gelten oder ob hier verhandelt wird. AGBs müssen nicht unterzeichnet werden und werden für eine Vielzahl von Verträgen genutzt. Die Microsoft Cloud Verträge könnten dementsprechend AGBs sein und die AVV innerhalb dieser gelten auch ohne Unterschrift.

So einfach ist dies dann leider auch nicht. Es gibt keinen einheitlichen Beschluss der Landesaufsichtsbehörden und auch noch kein Verfahren, so dass man sich aktuell nicht sicher sein kann, ob die OSts unterschrieben werden müssen oder nicht. 

Microsoft zeichnet die OSTs in der Regel nicht gegen. Dies ist nur mit sehr großem Druck und vielen Lizenzen möglich, hier eine aktuelle Unterschrift zu bekommen.

Schaut man sich die OSTs jedoch an, sind diese unterschrieben worden von einem Microsoft Vertreter, der laut einer kurzen Recherche bei Microsoft arbeitet und wohl die Befugnis dazu hat und hatte. Es ist sogar eine qualifizierende Unterschrift mit DocuSign. 

Nur der Kunde hat nicht unterschrieben, könnte dies tun und Microsoft diese Unterlagen zusenden. Dies wäre ein Geschäftsbrief und wenn Microsoft nicht reagiert, gelten diese Bestimmungen. 

Im Endeffekt ist eine Unterschrift digital vorhanden, man bekommt keine neuere oder andere Unterschrift von Microsoft in der Regel und laut Lizenzverträgen sind die OSTs ein Teil dieser. Ich gehe von AGBs bei den OSTs aus und diese sind unterschrieben für eine Vielzahl von Verträgen. Auch wenn die Diskussion noch nicht ausgestanden ist, sollten diese so gültig sein. Dies auch, weil es nachweisbar ist über E-Mails und Verhandlungen mit dem Reseller und Microsoft.

Interessanter ist es, wann welche Version gilt, hierzu aber später.

 

Quelle

Müssen Vereinbarungen zur Auftragsverarbeitung unterzeichnet werden?