Ich bin mir bewusst, dass die Form nach der ein AV-Vertrag abgeschlossen wird, noch sehr umstritten ist. Art. 28 Abs. 9 DSGVO sagt ja schriftlich (kann auch elektronisch sein). Damit sollte ja im einfachsten Fall ausreichend sein, wenn die AGB einen Passus enthalten, dass ein AV-Vertrag (am besten mit Link) Bestandteil des Vertrags ist.
Da ich persönlich nicht viel von dieser Lösung halte, würde ich gern einen (sehr praktischen) Anwendungsfall skizzieren. Firma A bietet eine SaaS-Dienstleistung im B2B-Bereich an, bei welcher Endkunden-Daten der Firma B verarbeitet werden. Dazu kann sich Firma B direkt auf der Seite von Firma A registrieren und die Dienstleistung sofort nutzen. Um die Notwendigkeit eines AV-Vertrags zu untermauern, enthalten die AGB zumindest eine Formulierung, dass für die Inanspruchnahme der SaaS-Dienstleistung ein AV-Vertrag zwischen den Parteien zu schließen ist. Der AV-Vertrag ist dazu in den AGB verlinkt und soll durch Firma B unterzeichnet an Firma A übersandt werden.
Eine Auftragsverarbeitung liegt ja nur vor, wenn mindestens auch ein Vertrag existiert. Nun stellt sich die Frage: In welcher Rolle befindet sich Firma A, solange kein unterzeichneter oder zumindest bestätigter Vertrag vorliegt? Dass Firma B ein Problem hat, weil sie nicht nachweisen kann, dass ein Vertrag besteht, ist eine andere Baustelle. Aber: Kann man hier aufgrund der AGB der Firma A und dem konkludenten Handeln (nämlich der Registrierung durch Firma B) annehmen, dass hier von Seiten Firma A ein AV-Verhältnis vorliegt? Oder befindet sich Firma A hier tatsächlich in (datenschutz-)rechtlichen Schwierigkeiten?
Zum einen ist laut Hinweisen der ASBs die tatsächliche Ausgestalltung wichtig - egal was im Vertrag steht, es kommt auf die tatsächlichen Funktionen an.
Zum anderen muss es neben der Rechtsgrundlage für die Weitergabe der Daten auch den Vertrag geben.
Es gab schon Urteile, dass ohne Vertrag die Weitergabe nicht OK ist. Daher würde ich sagen Firma A hat ein Problem:
Das verlinkte Beispiel stellt als Büßer ja die Kolibri Image hin, in meinem Fall also Firma B?! Das ist doch gerade die Vertragsseite, die mich (noch) nicht interessiert.
Ja, du hast natürlich Recht, es kommt auf die Ausgestaltung an. Das Feedback zu den AGB ist, dass sie aufgrund der Formulierung, nämlich, dass ein AV-Vertrag zu schließen ist und der SaaS-Kunde ein heruntergeladenes, unterschriebenes Exemplar zu übersenden hat, der Kunde im Zugzwang ist - wie gesagt B2B. Die AGB sind anwaltlich geprüft und das möchte daher jetzt mal als gegeben annehmen.
Könnte man hier also davon ausgehen, wenn wir der anwaltlichen AGB-Prüfung folgen, dass Firma A aufgrund des Einbezugs des AV-Vertrags in die AGB bereits bei Nutzung des SaaS-Tools durch Firma B bereits die Rolle eines Auftragsverarbeiters einnimmt, auch wenn der AV-Vertrag selbst noch nicht unterschrieben ist? Dass das letztlich ein Verstoß der Firma B gegen die AGB der Firma A ist, weil der AV-Vertrag noch nicht unterschrieben ist, dürfte doch also nichts an der datenschutzrechtlichen Rolle von Firma A ändern, oder?
Wenn die AGB bei Vertragsschluss Bestandteil des Vertrages sind (z.B. wenn Online geschlossen eine Checkbox “wir akzeptieren die AGB”) und der AVV Bestandteil der AGB ist die AVV ja elektronisch geschlossen worden (Anklicken der Checkbox) oder eben schriftlich sozusagen im Kleingedruckten.
Daher ja ich würde sagen deine Annahme stimmt Firma B ist bereits AV auch ohne Vertrag - bzw. kommt die AVV ja durch akzeptieren der AGB zu stande.
In der Rolle einer Firma, die Daten ohne Rechtsgrundlage verarbeitet.
Der Vertrag enthält verschiedene Sachverhalte der Verarbeitung. Wie können diese durch “konkludentes Handeln (nämlich der Registrierung durch Firma B)” geregelt werden? In seinem 48.TB erklärt HDSB nach der Feststellung, Auftragsverarbeitungsverhältnisse würden nicht spontan eingegangen, sondern seien das Ergebnis von Verhandlungs- und Auswahlprozessen, und dem Hinweis, die Schriftform der DSGVO soll die dauerhafte und zuverlässige Informierung über den Inhalt sicherstellen:
Der Austausch von Computerfaxe oder E-Mails mit oder ohne PDF-Anhang genügt daher dem Schriftformerfordernis des Art. 28 Abs. 9 DS-GVO. Der Auftragsverarbeiter könnte auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben (vgl. entsprechend für die Abgabe einer Einwilligungserklärung EG. 32 DS-GVO). In diesem Fall müsste sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann. Die DS-GVO verlangt nicht, dass ein Download tatsächlich erfolgt.
Kurz erwähnt er evtl. Beweisrisiken bei Vertragsbegründung durch korrespondierende E-Mails. Die DSGVO überließe die beweissichere Dokumentation über Abschluss und Inhalt den Parteien. Nach dieser Ansicht genügte die spontane Registrierung von Firma B … als Ergebnis von Verhandlungs- und Auswahlprozessen. Firma A sollte in diesem Fall die Vereinbarung der Firma B zuordnen und entsprechend dokumentieren können.
Derart generische Vereinbarungen machen deutlich, wie gering die Kontroll- und Eingriffsmöglichkeiten des Auftraggebers gestaltet werden können.
Meine Frage “In welcher Rolle befindet sich Firma A, solange kein unterzeichneter oder zumindest bestätigter Vertrag vorliegt?” war nicht sauber formuliert. Tut mir leid.
Die AGB sind im Registrierungsprozess eingebunden und verlinkt. Der AV-Vertrag ist in die AGB eingebunden und auch dort nochmal separat verlinkt. Und insb. im B2B Geschäft kann man regelmäßig eine Mündigkeit des Vertragspartners erwarten. Damit liegt bei Registrierung ja zumindest ein bestätigter Vertrag, wenn auch nicht unterschrieben vor. Damit bestätigt sich ja die bisherige Auffassung, dass wir trotzdem in einem AV-Verhältnis sind, wenngleich die Form umstritten ist (das hab ich ja schon betont).
Und ganz ehrlich: Die Auswahl besteht doch regelmäßig darin, sich das AV-Muster des gewünschten SaaS-Anbieters anzuschauen, das gehört ja im Übrigen auch zur Auswahlkontrolle des Verantwortlichen bzgl. Auftragsverarbeiter, und dann zu entscheiden, ob der Vertrag ausreichend und konform ist. Wenn nicht, muss ich als Verantwortlicher den nächsten Anbieter suchen. Klar hat das nichts mit “Verhandlungsprozessen” zu tun. Aber das ist nun mal die Regel - friss oder stirb.
Mir ist die (Eingangs-) Frage zu unklar, was soll “… enthalten die AGB zumindest eine Formulierung … zu schließen ist” ?
Wird denn nun ein AVV abgeschlossen oder nicht?
Wobei man wohl sinnvollerweise den Text des AVV nicht in die AGB schreibt - aber wer Kunden gerne quält … (wobei die angedeutete, unverhandelbare Form des AVV in D dem AGB-Recht unterliegt).
Und um’s anders als anzolino zu sagen: es geht nicht um die deutsche Textform des BGB, es geht um EU-Recht und höchstens darum, ob nach dt Recht ein (belegbarer, schriftlicher) Vertrag existiert.
Anders gesagt: mach es eben so transparent, dass es der Kunde versteht - dann stellt sich die Frage nicht. Man muss ja nicht immer Microsoft imitieren.