Abschluss eines AV-Vertrags durch Untätigkeit

Frage des GDD-Erfa-Kreises Würzburg zum Abschluss eines AV-Vertrags:

Ein Unternehmen (muss und) möchte mit allen Kunden, für die es Datenverarbeitung im Auftrag erbringt, AV-Verträge abschließen. Das Unternehmen hat bereits (zeitig vor dem 25.05.2018) allen Kunden eine Vertragsvorlage mit der Bitte um Zeichnung nebst Erläuterungen übersandt. Auf Grund der trotz DS-GVO niedrigen Rücklaufquote von nur 20% soll nun ein neuer Vorstoß gewagt werden: Es soll ein Erinnerungsschreiben versandt werden. Diesem soll wegen der erwartet wiederum niedrigen Rücklaufquote nochmals der AV-Vertrag beigegeben werden (der wegen Leistungsidentität inhaltlich stets passt). Zugleich soll darauf hingewiesen werden, dass der Vertrag als geschlossen betrachtet würde, wenn keine Rückkoppelung binnen einer noch zu bestimmenden Frist erfolgt.

• Ist davon auszugehen, dass die Aufsichtsbehörde damit jedenfalls für Zwecke des Datenschutzes einen AV-Vertrag als geschlossen anerkennt? Dies vor dem Hintergrund, dass die Aufsicht trotz Formerfordernisses bereits hat erkennen lassen, dass ein lediglich per Klick dokumentierter AV-Vertrag für Zwecke des Datenschutzes als geschlossen anerkannt werden könne.
• Falls nein, könnte folgendes zweistufige Verfahren dem Anspruch der Behörde genügen? Im ersten Schritt eine Erinnerung nebst nochmaliger Übersendung des AV-Vertrages. Darin nochmalige Bitte um Abschluss und Ankündigung, dass bei Verstreichenlassen einer weiteren Gelegenheit zum AV-Schluss dieser in der beigegebenen Form als geschlossen betrachtet würde.

Antwort BayLDA:

Es problematisch, beim bloßen Nichtreagieren des Auftraggebers von einem abgeschlossenen AV-Vertrag auszugehen. Immerhin erfordert ein Vertrag zwei Willenserklärungen. Allerdings gibt es im Handelsrecht mit dem sog. kaufmännischen Bestätigungsschreiben (kBS) eine rechtlich anerkannte Konstellation, bei der Schweigen als Willenserklärung gilt, so dass das Schweigen in diesem (Ausnahme-)Fall als Willenserklärung einzustufen ist. Allerdings hat das kBS eine Reihe von Voraussetzungen, nämlich:

• Der Empfänger muss Kaufmann sein oder zumindest in größerem Umfang am Geschäftsleben teilnehmen. Der Absender muss dagegen zwar nicht zwingend Kaufmann sein, wohl aber einem solchen vergleichbar am Verkehr teilnehmen (BGHZ 40, 42 ff).
• Es müssen tatsächlich Vertragsverhandlungen dem Bestätigungsschreiben vorangegangen sein.
• Das kaufmännische Bestätigungsschreiben muss alsbald nach den Vertragsverhandlungen abgeschickt werden, so dass der Empfänger auf das Eintreffen vorbereitet ist.
• Das Schreiben muss den früheren Vertragsschluss unter Wiedergabe des Vertragsinhaltes bestätigen.
• Selbstverständlich muss das Schreiben dem Empfänger auch zugehen (vgl. § 130 BGB).
• Der Absender muss der Meinung sein, dass der Inhalt des Schreibens der Vereinbarung entspricht oder nur solche Abweichungen enthält, die der Empfänger billigt (Redlichkeit des Absenders ist also erforderlich).
• Der Empfänger darf nicht unverzüglich widersprochen haben.

Ein KBS setzt also regelmäßig voraus, dass Vertragsverhandlungen vorangegangen waren, und deshalb jedenfalls ein geschäftliches Gespräch über den schriftlich „bestätigten“ Vorgang stattgefunden haben muss. Der Empfänger eines kBS braucht allerdings dann nicht zu widersprechen, wenn sich der Inhalt des Schreibens so erheblich von dem Verhandlungsergebnis entfernt, dass der Absender mit dem Einverständnis des Empfängers redlicherweise nicht rechnen konnte.“

Nach unserer Auffassung ist die datenschutzrechtliche Frage, ob ein AV-Vertrag wirksam abgeschlossen wurde, gleichlaufend zu behandeln mit der Frage, ob in zivilrechtlicher Hinsicht (unter Berücksichtigung der Rechtsfigur des kaufm. Bestätigungsschreibens) ein Vertrag zustande gekommen ist oder nicht. Das würde bedeuten: Nur wenn die o.g. zivilrechtlich-handelsrechtlichen Voraussetzungen des kBS erfüllt sind, würden wir auch datenschutzrechtlich von einem wirksamen AV-Vertrag i.S.v. Art. 28 DS-GVO ausgehen. Dies nachzuweisen obliegt den Beteiligten.