Die Datenschutzgrundverordnung (DSGVO) ist trotz einer umfangreichen Regelung mit zahlreichen Begriffsbestimmungen (vgl. Art. 4 DSGVO) an vielen Stellen gleichwohl sprachlich unscharf. Diese Ungenauigkeiten erschweren es den Unternehmen, welche die gesetzlichen Vorgaben einhalten sollen, ihren Pflichten ordnungsgemäß nachzukommen.
Meint „schriftlich“ Schriftform?
Eine dieser Ungenauigkeiten findet sich zum Beispiel in Art. 28 Abs. 2 S. 1 DSGVO. In dieser Vorschrift geht es zunächst unter anderem um die Genehmigung, weitere Auftragsverarbeiter einsetzen zu dürfen. Nach dem Wortlaut ist diese Genehmigung „schriftlich“ zu erteilen. Aus der Verwendung dieser Begrifflichkeit ergibt sich die Unsicherheit für die Unternehmen, ob hiermit tatsächlich auch die (strenge) Schriftform im Sinne von § 126 BGB gemeint ist, also eine handschriftliche Unterschrift erforderlich ist. Diese Frage hat für viele Unternehmen deswegen praktische Bedeutung, da die Kommunikation zunehmend elektronisch erfolgt und die Form des § 126 BGB die Prozesse deutlich erschweren würde. Und tatsächlich gibt es Stimmen in der Literatur, die von einer Schriftform im Sinne von § 126 BGB ausgehen.
Der reine Wortlaut
Hintergrund dieser Auffassung dürfte wohl sein, dass der Wortlaut von Art. 28 Abs. 2 S. 1 DSGVO an dieser Stelle zunächst ausdrücklich von „schriftlich“ spricht, ohne die Tür für die elektronische oder eine andere Form zugleich ebenfalls zu öffnen. Daher wird die Auffassung vertreten, dass die Genehmigung zum Einsatz eines weiteren Auftragsverarbeiters ausschließlich schriftlich im Sinne von § 126 Abs. 1 BGB erfolgen könne. Begründet wird diese Auffassung zudem mit dem Wortlaut aus Art. 28 Abs. 9 DSGVO, wonach die Genehmigung gerade nicht von der elektronischen Form nach Art. 28 Abs. 9 DSGVO erfasst ist (vgl. Martini, in: Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 28, Rn. 62).
Was ist mit der Systematik?
Gegen diese Auffassung sprechen aber gewichtige Gegenargumente, sodass man im Ergebnis davon ausgehen dürfte, dass schon die Textform für die Genehmigung ausreicht und jedenfalls aber selbst dann, wenn „echte“ gesetzliche Schriftform erforderlich wäre, diese bei Verwendung einer qualifizierte elektronischen Signatur auch vorläge.
Bereits nach Art. 28 Abs. 3 lit. d) muss die Haupt-Auftragsverarbeitungsvereinbarung („AVV“) die Bedingungen nach Art. 28 Abs. 2 DSGVO an die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters enthalten. In der AVV müssen diese Bedingungen also bereits geregelt werden (vgl. Hartung, in: Kühling/Buchner, DSGVO, 2. Aufl. 2018, Art. 28, Rn. 73). Wenn aber die AVV nach Art. 28 Abs. 9 DSGVO in einem elektronischen Format verfasst werden kann und die Bedingungen über den Einsatz von weiteren Auftragsverarbeitern regeln muss, ergibt es keinen Sinn, für die Genehmigung eine andere Form zu verlangen (vgl. Hartung, in: Kühling/Buchner, DSGVO, 2. Aufl. 2018, Art. 28, Rn. 97; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 28, Rn. 47). Würde man also für die Genehmigung ausschließlich Schriftform verlangen, würden an diese höhere Anforderungen gestellt als an die eigentliche AVV (vgl. Hartung, a.a.O.).
Wie wird „schriftlich“ innerhalb der DSGVO sonst verwendet?
Der Begriff „schriftlich“ im Rahmen der DSGVO wird an verschiedenen Stellen verwendet und meint dabei jedoch nicht zwangsläufig „Schriftform“ im Sinne von § 126 BGB. So galt für die Einwilligung nach § 4a Abs. 1 S. 3 BDSG a.F. in die Datenverarbeitung ausdrücklich die Schriftform. Dieses strenge Schriftformerfordernis wurde in Art. 7 Abs. 2 DSGVO aufgehoben und durch die Wendung „schriftliche Erklärung“ ersetzt. Insoweit gilt allerdings, dass hiermit nach Erwägungsgrund 32 auch die elektronische Form gemeint ist (vgl. Stemmer, in: Wolff/Brink, BeckOK, 24. Ed. 2018, Art. 7, Rn. 80; Schulz, in: Gola, DSGVO, 2. Aufl. 2018, Art. 7, Rn. 41). Auch wenn die DSGVO mit Blick auf die Form bei der Erteilung der Genehmigung in ihren Erwägungsgründen schweigt, ist nichts dafür ersichtlich, dass für die Erteilung einer Genehmigung zur Beauftragung eines weiteren Auftragsverarbeiters eine strengere Form vorgesehen sein soll, als bei der Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten. Aus systematischen Gründen wird man also davon ausgehen können, dass die Genehmigung in Art. 28 Abs. 2 DSGVO nicht der strengen Schriftform des § 126 BGB unterliegt.
Kann die qualifizierte elektronische Signatur helfen?
Selbst wenn hier aber tatsächlich doch „echte“ Schriftform im Sinne von § 126 BGB gemeint sein sollte, so ordnet zunächst § 126 Abs. 3 BGB an, dass die schriftliche Form durch die elektronische Form (damit dann die elektronische Form nach BGB !) ersetzt werden kann, wenn sich nicht aus dem Gesetz ein anderes ergibt.
Ein solches ausdrückliches Verbot kennt Art. 28 Abs. 2 DSGVO allerdings nicht und lässt sich nicht über einen Umkehrschluss aus Art. 28 Abs. 9 DSGVO herleiten. Sofern also überhaupt gesetzliche Schriftform im Sinne von § 126 Abs. 1 BGB gemeint sein sollte, kann diese durch die elektronische Form nach BGB ersetzt werden. Hierfür muss nach § 126a BGB eine qualifizierte elektronische Signatur verwendet werden. Hieran hat auch die eIDAS-Verordnung der EU nichts Gravierendes geändert – im Gegenteil, denn nach Art. 25 Abs. 3 eIDAS-VO wird eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedsstaat ausgestellten qualifizierten Zertifikat beruht, in allen anderen Mitgliedsstaaten als qualifizierte elektronische Signatur anerkannt. Und nach Art. 25 Abs. 2 eIDAS-VO hat eine qualifizierte elektronische Signatur die gleiche Rechtswirkung, wie eine handschriftliche Unterschrift.
Recht Digital 