Sind Verweise in einem Vertrag mit einem Dienstleister auf sich verändernde online hinterlegte TOMS mit deutschem Recht vereinbar?

Konkretisierung der Fragestellung:

Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.

Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?

Antwort:

Ja, das ist ausreichend!

Begründung:

Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.

Stand: 16.11.2022