Nach der ungarischen Rechtsprechung gelten per einfacher E-Mail übermittelte Rechtserklärungen nicht als schriftlich, was bei im Wege elektronischer Korrespondenz geschlossenen Verträgen schwerwiegende Folgen haben kann, wenn das Gesetz für den betreffenden Vertrag oder die Vertragsklausel zwingend eine Schriftform vorschreibt. Unser Artikel beleuchtet die Hintergründe dieser Rechtspraxis und bietet Lösungsansätze sowohl für Strafverfolgungsbehörden als auch für die gesetzestreue Öffentlichkeit.
Was sagt das Gesetz zum Schreiben? Nach der Grundregel des Bürgerlichen Gesetzbuches gilt eine Rechtserklärung (etwa ein Vertragsangebot oder dessen Annahme) dann als schriftlich, wenn der Erklärende die Rechtserklärung unterzeichnet hat. Ergänzt wird diese Regelung durch das Bürgerliche Gesetzbuch. 6:7. § (3) besagt, dass eine rechtsgeschäftliche Erklärung auch dann als schriftlich erfolgt gilt, wenn sie in einer Form übermittelt wird, die (i) den unveränderten Wiederruf des Inhalts der rechtsgeschäftlichen Erklärung, (ii) die Identifizierung der Person, die die Erklärung abgibt, und (iii) den Tag der Abgabe der Erklärung ermöglicht.
Dabei hat der Gesetzgeber eine explizit technologieneutrale Formulierung gewählt, um sicherzustellen, dass der fortlaufende technologische Wandel nicht immer neue Gesetzesänderungen erforderlich macht. Diese Lösung führte allerdings zu einer weit ausgelegten Definition, weshalb es für die Rechtsprechungspraxis notwendig wurde, eine Antwort darauf zu geben, was genau als schriftlich festgehalten gilt und was nicht, um Rechtsunsicherheit zu vermeiden.
Die gängige Rechtsprechung und ihr Hintergrund Die Gerichte haben den Begriff des technologieneutralen geschriebenen Rechts bislang streng ausgelegt, und die Rechtsprechung hat damit aus unserer Sicht eine recht kontroverse Richtung eingeschlagen. So entschied etwa das Budapester Berufungsgericht in einem Pressekorrekturprozess (Pf.20.435/2017/3.), dass eine per E-Mail übermittelte elektronische Rechtserklärung nur dann als schriftlich gilt, wenn sie mit einer hochsicheren Signatur versehen ist. Die Entscheidung wurde auch in der Sammlung gerichtlicher Entscheidungen (BDT2018. 3931.) veröffentlicht und besagt: „Eine elektronisch abgegebene Erklärung gilt als schriftliche Rechtserklärung, wenn auf ihrer Grundlage die Erfüllung der Anforderungen an Echtheit und Authentizität überprüft werden kann und gleichzeitig das Datum der Abgabe der Erklärung identifiziert werden kann.“ Nur ein elektronisches Dokument mit einer elektronischen Signatur mit erhöhter Sicherheit erfüllt diese Bedingungen.“
Die vom Gericht zitierte Gesetzgebung Im oben genannten Fall bezog sich das Berufungsgericht Budapest unter anderem auf Artikel 26 der eIDAS-Verordnung. Dementsprechend kann eine elektronische Signatur mit erhöhter Sicherheit (a) ausschließlich ihrem Unterzeichner zugeordnet werden; b) zur Identifizierung des Unterzeichners geeignet ist; c) der Unterzeichner hat das Dokument höchstwahrscheinlich nur unter Verwendung von Daten erstellt, die er verwenden konnte; und (d) ermöglicht die Feststellung, ob das signierte elektronische Dokument nachträglich verändert wurde. Diese Vorschrift sei bedeutsam, so das Gericht, weil nur durch ihre Beachtung dem Anspruch auf Echtheit und Authentizität entsprochen werden könne.
Authentizität und Fälschungssicherheit Wir stimmen zu, dass die Authentizität und Fälschungssicherheit eines elektronischen Dokuments durch eine elektronische Signatur mit erhöhter Sicherheit gewährleistet werden kann, doch verlangt das Bürgerliche Gesetzbuch bei der Auflistung der drei Kriterien der Schriftform nicht, dass die Identität des Erklärenden und der Inhalt der ursprünglichen rechtsgültigen Erklärung zweifelsfrei nachgewiesen werden müssen, indem es eine „unveränderte Wiedergabe des Inhalts“ und eine „Identifizierung der Person, die die Erklärung abgibt“ vorschreibt.
Diese Rechtsprechungsauffassung hat zur Folge, dass bei elektronischen Dokumenten unverhältnismäßig höhere Anforderungen an die Schriftform zu stellen sind als bei gewöhnlichen Papierdokumenten, bei denen bereits eine einfache handschriftliche Unterschrift ausreicht – unabhängig davon, ob diese leserlich ist oder irgendeine Ähnlichkeit mit früheren handschriftlichen Unterschriften des Unterzeichners oder etwa mit dem aufweist, was auf Personalausweisen steht.
Nur hochsichere elektronische Signatur? Der vielleicht umstrittenste Teil der oben zitierten Gerichtsentscheidung ist das Wort „ausschließlich“. Dadurch wird die verstärkte Sicherheitssignatur ausschließlich zur schriftlichen Beglaubigung elektronisch abgegebener Rechtserklärungen verwendet. Das Budapester Berufungsgericht hat beispielsweise das Dokument AVDH-zt offensichtlich nicht berücksichtigt, das gemäß der Zivilprozessordnung ein privates Dokument mit voller Beweiskraft ist.
Wenn wir tatsächlich davon ausgehen würden, dass nur ein elektronisches Dokument mit einer verstärkten Sicherheitssignatur als schriftlich vorliegt, könnten wir zu dem Schluss kommen, dass ein mit AVDH verschlüsseltes elektronisches Dokument nicht als schriftlich vorliegen kann – trotz der Tatsache, dass es als privates Dokument mit vollem Beweiswert gilt.
(In Klammern weisen wir darauf hin, dass es sich bei der in den beiden vorangegangenen Teilen unserer Artikelserie erwähnten qualifizierten elektronischen Signatur gemäß der Definition der eIDAS-Verordnung ebenfalls um eine elektronische Signatur mit erhöhter Sicherheit handelt, d. h. eine Signatur, die mit einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten elektronischen Signaturzertifikat basiert. Daher kann ein elektronisches Dokument mit einer qualifizierten elektronischen Signatur auch bei strengster Auslegung als handschriftlich betrachtet werden.)
Das neue Bürgerliche Gesetzbuch. Die Stellungnahme des Beirats zum Neuen Bürgerlichen Gesetzbuch. Nach der Mehrheitsmeinung der Mitglieder des Beirats ist Artikel 6:7 des Zivilgesetzbuchs, der das dreifache Erfordernis der Schriftform festlegt, Absatz (3) regelt nicht die Anforderung der Echtheit und Authentizität und erwartet auch nicht, dass die Erklärung absolut unfalsifizierbar sein muss, um als schriftliche Erklärung zu gelten. Das Gericht muss daher in jedem Einzelfall prüfen und feststellen, ob die jeweilige Form der Kommunikation unter den gegebenen Umständen den im Gesetz genannten Voraussetzungen entsprach.
Wir stimmen dieser Position voll und ganz zu. Daher werden wir, den oben genannten Gedanken weiterführend, im Folgenden einige Umstände darlegen, die unserer Meinung nach Gerichte in jedem Einzelfall berücksichtigen sollten, wenn sie E-Mails als schriftlich einstufen.
Zu prüfende Umstände: Nach unserer Auffassung ist eine E-Mail beispielsweise dann als schriftlich zu betrachten, wenn sie von einer eindeutigen, einer bestimmten Person zugeordneten E-Mail-Adresse stammt. Beispielsweise sendet ein Firmenmanager seine E-Mail von einer Adresse, die seinen Nach- und Vornamen enthält und außerdem auf den Firmennamen verweist (so sind beispielsweise E-Mail-Adressen in vielen Unternehmensorganisationen aufgebaut: nachname.vorname@firmenname.hu). Wenn am Ende der E-Mail-Nachricht (also ganz nach unten gescrollt) in der Signatur der vollständige Name, die Position, der Firmenname und ggf. das Logo des Absenders zu finden sind, sollte das Gericht unserer Meinung nach davon ausgehen, dass eine solche E-Mail zur Identifizierung des Absenders geeignet ist. Typischerweise kann von einer solchen E-Mail-Adresse aus nur dann eine E-Mail versendet werden, wenn sich der Benutzer auf seinem Firmenrechner mit einem eigenen Passwort in sein personalisiertes Benutzerprofil einloggt. Natürlich besteht die Möglichkeit, dass der Systemadministrator oder ein nicht autorisierter Mitarbeiter die vorübergehende Abwesenheit der autorisierten Person ausnutzt, um unerlaubt auf das E-Mail-Programm zuzugreifen. In der Praxis ist die Wahrscheinlichkeit hierfür jedoch äußerst gering. Bei einer solchen E-Mail-Adresse ist die Identität des Absenders mit mindestens ebenso großer Wahrscheinlichkeit feststellbar wie bei einer einfachen handschriftlichen Unterschrift.
Ein weiterer zu berücksichtigender Faktor kann der E-Mail-Verlauf sein, der in den meisten Fällen unverändert am Ende der neuesten E-Mail-Nachricht angezeigt wird. Im Geschäftsleben ist es sehr üblich und in manchen Fällen erfordert die Geschäftsetikette geradezu, auf eine E-Mail nicht mit einer komplett neuen Nachricht zu antworten, sondern die Funktion „Antworten“ (oder „Allen antworten“, wenn es mehrere Teilnehmer gibt) des E-Mail-Programms zu verwenden. In diesem Fall werden alle vorherigen E-Mails an das Ende der aktuellsten Nachricht gestellt, sodass ein klar nachvollziehbarer Verlauf gewährleistet ist. Wenn in der vorhergehenden Nachricht bereits der Name der betreffenden Partei (ihre Position, das von ihr vertretene Unternehmen usw.) enthalten war, ist unserer Meinung nach auch die in der nachfolgenden E-Mail abgegebene Rechtserklärung als schriftlich anzusehen.
Unserer Meinung nach sollte das Gericht in jedem Fall den Umstand prüfen, ob die empfangende Partei in der Lage war, die andere Partei zu identifizieren, auch wenn die Identität des Absenders durch einen unabhängigen Dritten überhaupt nicht festgestellt werden konnte. Dabei kann es sein, dass Absender und Empfänger bereits seit längerem Geschäftspartner sind und unter der angegebenen E-Mail-Adresse regelmäßig miteinander kommunizieren oder dass der Absender den Empfänger beispielsweise zuvor telefonisch darüber informiert hat, dass er ihm eine E-Mail mit dem angegebenen Betreff senden wird.
Hätte der Empfänger wissen können, von wem die E-Mail stammt, kann aus unserer Sicht die darin enthaltene rechtsgeschäftliche Erklärung nicht schon deshalb als verfasst abgestritten werden, weil das elektronische Dokument nicht mit einer verstärkten Sicherheitssignatur versehen war und damit die Identität des Absenders gegenüber niemandem anderen nachgewiesen werden konnte.
Ein weiterer zu berücksichtigender Umstand kann eine vertragliche Regelung sein, in der die Parteien vereinbart haben, dass per E-Mail abgegebene Erklärungen der Schriftform gleichgestellt werden, insbesondere wenn dabei Ansprechpartner und deren E-Mail-Adressen protokolliert werden. Unserer Auffassung nach kann sich die empfangende Partei in diesem Fall vor Gericht nicht erfolgreich darauf berufen, dass die an die im Vertrag angegebene E-Mail-Adresse eingegangene Nachricht nicht als schriftlich und daher ungültig gilt.
Die Entwicklung der Rechtsprechungspraxis im Allgemeinen Die Rechtsprechungspraxis entwickelt sich als Ergebnis von Rechtsstreitigkeiten. Ganz gleich, wie allgemein oder unpräzise das Gesetz formuliert ist, ganz gleich, wie viele Fragen der Rechtsauslegung theoretisch auftauchen: Ohne einen vor Gericht ausgetragenen Rechtsstreit kann die Position der Gerichte nicht reifen. Dies mag eine Erklärung dafür sein, dass gerichtliche Entscheidungen zur Einordnung elektronisch abgegebener Rechtserklärungen als Schriftform überwiegend dann nicht ergingen, wenn eine der Parteien die Wirksamkeit eines per E-Mail geschlossenen Vertrages bestritt. Dies kommt äußerst selten vor, da die Wirtschaftsakteure einen Vertrag zunächst mit völliger Willenseinigkeit eingehen und es erst später zwischen ihnen zu Streitigkeiten, typischerweise wegen der Verletzung einer vertraglichen Bestimmung, kommt, während der Vertragsschluss selbst nur selten in Frage gestellt wird.
Gerichtliche Entscheidungen über die Echtheit von E-Mails wurden am häufigsten im Rahmen von Pressekorrekturprozessen getroffen, deren Besonderheit – im Gegensatz zu Wirtschaftsprozessen – darin besteht, dass zwischen den Parteien von Anfang an ein scharfer Interessenkonflikt besteht. Eine solche Klage kann erhoben werden, wenn der Betroffene – der sich durch eine über ihn veröffentlichte Veröffentlichung beleidigt fühlt – die Redaktion des Presseerzeugnisses innerhalb der 30-tägigen Verwirkungsfrist schriftlich auffordert, eine Richtigstellung zu veröffentlichen, dies jedoch nicht geschieht.
In den Fällen, die den entsprechenden Gerichtsurteilen zugrunde lagen, beriefen sich die Presseorgane in der Regel darauf, dass ihnen die Berichtigungsaufforderung lediglich in Form einer einfachen E-Mail zugegangen sei, die ihrer Ansicht nach nicht als schriftlich angesehen werden könne. Das Metropolitan Appeals Court im oben genannten Pf.20.435/2017/3. Diese Auffassung vertrat auch der EuGH im Verfahren Nr. 11111111 und führte in der Urteilsbegründung aus: „Eine wichtige Gewährleistungsvoraussetzung bei einem per E-Mail eingegangenen Berichtigungsantrag ist, dass dessen Inhalt und Herkunft vom Rechteinhaber zweifelsfrei festgestellt werden können.“
Dieses Argument wirft zwei Fragen auf. Zum einen stellt sich die Frage, wie sich dieser Gewährleistungsanspruch konkret herleiten lässt, wenn das Gesetz lediglich die Schriftform des Berichtigungsverlangens vorschreibt und nicht etwa eine andere Form, etwa eine private Urkunde mit voller Beweiskraft, erfordert. Die andere Frage ist, ob dieses Bürgschaftserfordernis auch in anderen Fällen besteht, in denen das Gesetz eine schriftliche Form vorschreibt, wie etwa bei einem Mietvertrag, einem Pachtvertrag, einem Hypothekenvertrag, einem Bürgschaftsvertrag oder einer Vertragsstrafe und einer Eigentumsvorbehaltsklausel? Oder ist es möglich, dass in diesen Fällen – da es sich nicht um ein Pressekorrekturverlangen handelt – eine einfache E-Mail ausreicht, um als schriftlich zu gelten?
Bis sich zu dieser letztgenannten Frage eine einheitliche Rechtsprechung herausgebildet hat – und damit ist aus den oben genannten Gründen in naher Zukunft nicht zu rechnen – können wir nur raten, unsere elektronischen Dokumente, wann immer möglich, mit einer qualifizierten elektronischen Signatur bzw. einer auf eine Identifizierung rückführbaren Dokumentenauthentifizierung zu versehen.
Datenschutzprobleme in der digitalen Bildung – Informationen der NAIH zu den Datenschutzaspekten des Fernunterrichts Während der zweiten Welle der Coronavirus-Epidemie entscheiden sich aufgrund der Anzahl der bestätigten Infektionen und der raschen Ausbreitung der Epidemie immer mehr Bildungseinrichtungen für die Einführung digitaler Bildung. Angesichts der Aktualität des Themas gab die NAIH eine Stellungnahme heraus.
Die veränderte Lebenssituation durch die Corona-Pandemie stellt auch die schulischen Ausbildungsstätten vor neue Herausforderungen, so dass die Einführung digitaler Lehre außerhalb des Lehrplans zahlreiche datenschutzrechtliche Fragen aufwirft. Obwohl die digitale Bildung in unserem Land derzeit nicht auf nationaler Ebene verankert ist, hielt es die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) dennoch für gerechtfertigt, die wichtigsten diesbezüglich auftretenden Datenschutzfragen zu beantworten. Die NAIH hat ein Briefing zu den Datenschutz- und Datensicherheitsaspekten des digitalen Fernunterrichts herausgegeben, das insbesondere das Hochladen, Teilen und Speichern von Unterrichtsmaterialien, Videoaufzeichnungen von Schülern bei der Erledigung von Aufgaben und anderen Dokumenten betrifft. Die NAIH nahm – unter Berücksichtigung der in der DSGVO festgelegten Grundsätze – zu vier Themenbereichen Stellung, die die Datenverarbeitung durch Lehrkräfte sowie öffentliche und hochschulische Bildungseinrichtungen betreffen.
- Als personenbezogene Daten gelten die Namen und sonstigen Identifikationsdaten der Studierenden, der Inhalt schriftlicher und mündlicher Beurteilungen, Unterrichtskommentare, Ergebnisse, Fotos und Prüfungsergebnisse. Jede mit diesen Daten durchgeführte Verarbeitung gilt als Datenverarbeitung. (DSGVO Artikel 4, Punkte 1-2). Als personenbezogene Daten gelten auch Daten zur Stimme, zum Erscheinungsbild und zu den Lehr- und Ausbildungsaktivitäten der Lehrkraft. Hervorzuheben ist, dass die Datenschutzvorschriften gemäß Erwägungsgrund 38 der DSGVO den personenbezogenen Daten von Kindern einen erhöhten und spezifischen Schutz bieten, da sich diese der Umstände und potenziellen Risiken im Zusammenhang mit der Verarbeitung ihrer Daten möglicherweise weniger bewusst sind.
- Die NAIH betonte, dass der Rahmen und die detaillierten Regeln des digitalen Fernunterrichts derzeit nicht gesetzlich geregelt sind, so dass eine Gesetzgebung in Rechtsbereichen, die sowohl öffentliche als auch Hochschuleinrichtungen betreffen, zweckmäßig geworden sei. Da der Zweck der Datenverarbeitung beim digitalen Fernunterricht die Bereitstellung von schulischer Bildung und Ausbildung – als grundlegende öffentliche Bildungsaufgabe – sei, so die NAIH, gelte es trotz der häuslichen Tätigkeit nicht als Datenverarbeitung für private Zwecke. Somit gilt die Bildungseinrichtung als Verantwortlicher und ist somit dafür verantwortlich, entsprechende Informationen über die Datenverarbeitung bereitzustellen und die Einhaltung sonstiger Datenschutzanforderungen sicherzustellen.
Denn die Lehrkraft unterliegt der Schweigepflicht [Unterrichtsgesetz]. Nach § 42 Abs. 1 ist für die in Bezug auf das Kind erfassten Daten eine Haftung vorgesehen. Werden diese Daten also für andere Zwecke als die Erfüllung seiner öffentlichen Aufgaben verwendet (übermittelt oder für einen unnötigen Zeitraum gespeichert), kann dies als rechtswidrige Datenverarbeitung und in anderen Fällen als Straftat gelten. - Artikel 5 der DSGVO enthält eine Reihe von Grundprinzipien, die dem Verantwortlichen Aspekte an die Hand geben, die er bei der Verarbeitung personenbezogener Daten kontinuierlich anwenden und berücksichtigen muss, unabhängig von der Rechtsgrundlage der Verarbeitung. Aus diesem Grund obliegt die Nachweispflicht dem Verantwortlichen, der unter Berücksichtigung des Rechenschaftsgrundsatzes verpflichtet ist, die Daten zu dokumentieren und Aufzeichnungen zu den Daten so zu führen, dass deren Rechtmäßigkeit später nachgewiesen werden kann.
Nach Auffassung der NAIH sollte bei der Datenverarbeitung geprüft werden, ob es eine Lösung gibt, die ein geringeres Risiko für die Privatsphäre der betroffenen Personen darstellt. Die NAIH wies – im Hinblick auf den Grundsatz der Datensparsamkeit – darauf hin, dass die Kamera so platziert werden sollte, dass sie die Kinder möglichst nicht überträgt und dass unnötige Aufzeichnungen des Unterrichts – unter Berücksichtigung des Zweckbindungsprinzips und des Grundsatzes der begrenzten Speicherung – vermieden werden sollten. Nach Auffassung der NAIH ist die Lehrkraft verpflichtet, die Aufzeichnungen nach der Auswertung unverzüglich und unwiderruflich zu löschen.
Bezüglich der unbedingt erforderlichen Datenverarbeitung vertritt die NAIH den Standpunkt, dass die Rechtsgrundlage für die Datenverarbeitung der Bildungseinrichtung die Erfüllung einer öffentlichen Aufgabe ist [DSGVO Artikel 6 (1) Absatz 1]. e)], so dass für die Rechtmäßigkeit der Verarbeitung keine Einwilligung der betroffenen Person erforderlich ist. Der Verantwortliche ist als Bildungseinrichtung dazu verpflichtet, den betroffenen Personen (Eltern/Erziehungsberechtigte) entsprechende Informationen im Sinne der DSGVO bereitzustellen, um die Transparenz der Datenverarbeitung zu gewährleisten. Andererseits hat die betroffene Person das Recht, der Methode oder Praxis bestimmter Datenverarbeitungen zu widersprechen. Die Bildungseinrichtung ist verpflichtet, dies zu prüfen und zu erwägen, ob andere Mittel angewendet werden können, die die Privatsphäre der betroffenen Person weniger einschränken.
Der Grundsatz der Vertraulichkeit und Integrität [DSGVO Art. 5 Abs. 1 lit. e)] ist sicherzustellen, dass bei der Speicherung der Videoaufzeichnungen kein Zugriff unbefugter Dritter erfolgt. Der Verantwortliche muss die geeignete Methode und Technologie zur Gewährleistung der Datensicherheit auswählen und dabei den besonderen Schutz der Kinderrechte sowie die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen (Artikel 25 der DSGVO).4. Die NAIH hat in Übereinstimmung mit den von der polnischen Datenschutzbehörde herausgegebenen Informationen eine Reihe von Datenschutzanforderungen formuliert, die wie folgt lauten:
- obligatorische Verwendung einer geschäftlichen E-Mail-Adresse,
- Einsatz legaler Software, Virenscanner, Antivirenprogramme und kontinuierliche Updates,
- Einrichtung einheitlicher E-Mail-Adressen unter der Adresse (Domänennamen) der Bildungseinrichtung,
- Erstellen einer geeigneten Plattform zum Senden von Videoaufnahmen – neben Viber, Messenger, WhatsApp usw. von der Nutzung von Anwendungen,
- Gewährleistung eines maximalen Datenschutzes bei Prüfungen per Kamera,
- die Einführung und Durchsetzung starker Passwortanforderungen auf Geräten, die von mehreren Personen verwendet werden,
- Verwendung eines Auftragsverarbeiters, der geeignete Garantien bietet [DSGVO Artikel 28 (1)]