Anwaltsvertrag als Fernabsatzvertrag

Wenig überraschend hat der BGH in einem Urteil den Anwaltsvertrag als Fernabsatzvertrag im Sinne des § 312c BGB qualifiziert, wenn er mit Fernkommunikationsmitteln abgeschlossen wurde (BGH, Urt. v. 23.11.2017 – Az. IX ZR 204/16).

Streitig war der zweite Teil des Absatzes 1 des § 312c BGB:

Fernabsatzverträge sind Verträge, bei denen der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person und der Verbraucher für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwenden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt.

In der Literatur wurde zum Teil die – meines Erachtens etwas abwegige -Meinung vertreten, dass aufgrund der besonderen Vertrauensbeziehung des Rechtsanwalts zu seinem Mandanten niemals ein für den Fernabsatz organisiertes Vertriebs- oder Dienstleistungssystem vorliegen kann. Dem hat der BGH in der Entscheidung eine klare Absage erteilt.

Er hat aber auch deutlich gemacht, dass die Formulierung „es sei denn“ eine Vermutungswirkung aufstellt: Trägt der Anwalt also nichts vor, was gegen ein solches organisiertes Vertriebs- oder Dienstleistungssystem spricht und kann er dies nicht beweisen, greift der Ausschluss nicht. Dies dürfte nur sehr schwer zu erreichen sein. Dem Rechtsanwalt in dem Verfahren gelang es nicht.

CLOUD Act: Das Aus für den Datenschutz?

Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als „Entscheidung über die Zukunft unserer Privatsphäre“ bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.

Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.

Der CLOUD Act ist eine Katastrophe für den Datenschutz. Gerade jetzt, wo am 25. Mai die Datenschutzgrundverordnung (DSGVO) in Kraft tritt und mit welcher der CLOUD Act nicht zu vereinbaren ist, wie zutreffend Kollege Dennis Jansen feststellt. Der EU wird allerdings nichts anderes übrig bleiben, als solch ein Abkommen zu schließen: Möchte ein Staat seine Bürger nicht ganz rechtlos stellen, wird er mit dem CLOUD Act nun gezwungen, ein Abkommen mit den USA zu schließen. Dann kann er sich zwar auch den Zugriff auf Daten in den USA gewähren lassen, gibt aber zugleich den Datenschutz im eigenen Land auf.

Dabei ist der Datenzugriff, der mit internationaler Kriminalität und Terrorismus gerechtfertigt wird, überhaupt nicht nötig: Dafür gibt es jetzt schon das Verfahren über die Rechtshilfe. Diese hätten nur beschleunigt werden müssen. Dann gäbe es aber ein rechtsstaatliches Verfahren.

Datenschutzbeauftragter: Ist der „Beschäftigte“ „beschäftigt“?

Große Unsicherheit besteht derzeit darüber, ab wie vielen Personen im Unternehmen ein Datenschutzbeauftragter bestellt werden muss.

Nach Art. 38 BDSG-neu müssen alle Unternehmen bzw. Sonstigen Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”.

Hier der Art. 38 BDSG-neu im Wortlaut:

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) 1 Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Regel scheint klar: Wenn 10 Personen erreicht sind, die ständig automatisiert Daten verarbeiten, so benötigt man einen Datenschutzbeauftragten. Aber wen zählt man mit? Dies ist weniger deutlich. Eines ist klar: Im Gegensatz zu der bisherigen Regelung des § 4f BDSG wird nicht mehr danach unterschieden, ob die Daten automatisiert oder “auf andere Weise” verarbeitet werden. Nur, wenn die 10 Personen Daten auch automatisiert verarbeiten, ist ein Datenschutzbeauftragter nötig. Automatisiert ist weit zu verstehen und umfasst letztlich jede Form von Datenverarbeitungsanlagen. Immer wenn ein Computer, Smartphone etc. im Spiel sind, liegt also eine automatisierte Verarbeitung vor. Anders als häufig geschrieben ist die Reinigungskraft, die lediglich den Papierkorb ausleert, nicht mitzuzählen; sie verarbeitet Daten nicht mit einer Datenverarbeitungsanlage.

Wer ist “beschäftigt”?

Streit herrscht aber darüber, wer “beschäftigt” ist. Muss der Geschäftsführer, müssen die Gesellschafter mitgezählt werden?

Nach derzeit noch geltendem Recht, dem § 4f BDSG, ist der Geschäftsführer und anderes Leitungspersonal nicht mitzuzählen, den sie sind “Beschäftigende”, aber keine “Beschäftigte” (vgl. etwa Gola/Klug, NJW 2007, 118 (120)). Aber gilt dies auch noch mit dem Inkrafttreten des § 38 BDSG-neu?

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Dafür spricht, dass auch der § 38 BDSG-neu eine deutsche Regelung ist. Der Regelungsgeber hat sich also nicht geändert. In der EU konnte man sich nicht auf eine Regelung, einen Datenschutzbeauftragten ab einer bestimmten Beschäftigtenanzahl zu bestellen, einigen, da manchen Mitgliedstaaten das Konzept des Datenschutzbeauftragten fremd war. Eine Regelung hat man europaweit daher nur für besonders gefahrgeneigte Verarbeitungsvorgänge getroffen und in Art. 37 DSGVO niedergeschrieben. Deutschland hingegen hat von der Öffnungsklausel Gebrauch gemacht und hält an der Notwendigkeit, einen Datenschutzbeauftragten ab einer bestimmten Anzahl von Mitarbeitern zu bestellen, fest. Dabei ist die Regelung des § 38 BDSG-neu vom WOrtlaut her mit der bisherigen Regelung des § 4f BDSG fast identisch. In der Gesetzesbegründung heißt es auch ausdrücklich, dass die Regelung “inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt” ist (vgl. BT-Drucks. 18/11325, S. 107). Danach müsste die bisherige Meinung eigentlich übertragbar sein.

Für eine Beibehaltung dahingehend, dass zumindest der Geschäftsführer nicht mitgerechnet wird, ebenso wenig Gesellschafter, spricht auch der § 28 Abs. 8 BDSG-neu. Dieser definiert den “Beschäftigten” im Sinne des Bundesdatenschutzgesetzes:

“8) Beschäftigte im Sinne dieses Gesetzes sind:

1.Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

2.zu ihrer Berufsbildung Beschäftigte,

3.Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

4.in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

5.Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

6.Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7.Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Also alles klar? Können sich Unternehmen schon freuen, und Geschäftsführer und Gesellschafter außen vor lassen? Damit würden sicher einige kleinere Betriebe unter die Schwelle zur Bestellung eines Datenschutzbeauftragten kommen. Nein, ganz so einfach ist es leider nicht.

Gerade dem letzten Argument kann man entgegenhalten, dass § 38 BDSG-neu das Verb “beschäftigt” und § 26 Abs. 8 BDSG-neu das Substantiv “Beschäftigter” verwendet. Ist damit dann dasselbe gemeint? Weiter spricht die Formulierung “Der Verantwortliche benennt, soweit er beschäftigt” von einer Abstrahierung des Verantwortlichen. Schließlich ist es unerheblich für das Risiko, das mit der Datenverarbeitung einhergeht, ob auf die Daten Geschäftsführer, Gesellschafter oder einfache Mitarbeiter zugreifen. Umso mehr Personen automatisiert verarbeiten, desto größer das Risiko. So scheinen es auch die meisten Aufsichtsbehörden zu sehen, welche die Geschäftsführer und Gesellschafter offenbar mitzählen.

Hier wird wohl erst eine Gerichtsentscheidung Klarheit schaffen. Der EuGH ist hier aber nicht berufen, da es sich um eine deutsche Regelung handelt, die auch nicht auf eine Richtlinie zurückgeht.

Sicherster Weg: Zählen Sie mit!