Telemedicus

, von ,

#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud

Die Rechtsfragen in der Praxis

1.     Erforderlichkeit der Offenbarung

Nach § 203 Abs. 3 S. 2 StGB liegt kein strafrechtlich relevantes Offenbaren eines Berufsgeheimnisträgers vor, wenn das Geheimnis gegenüber einer sonstigen mitwirkenden Person offenbart wurde, sofern dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist.1

Dabei ist mit dieser Einschränkung auf das Erforderliche nicht gemeint, dass die Inanspruchnahme selbst erforderlich sein muss.2 Vielmehr sollen Geheimnisse die Sphäre der Berufsgeheimnisträger nur in dem Ausmaß verlassen, wie dies die konkrete Dienstleistung erfordert.3 Welcher abstrakte Maßstab hierbei angelegt werden soll, ist jedoch bislang nicht abschließend geklärt.4

Die Gesetzesbegründung stellt anhand mehrerer konkreter Beispiele klar, dass die Möglichkeit der Kenntnisnahme im Einzelfall auch durchaus umfassend sein darf, wenn dies die Dienstleistung erfordert. So ist es laut Gesetzesbegründung beispielsweise unschädlich, wenn ein IT-Spezialist die Möglichkeit erhält, umfassende Kenntnis von sämtlichen in einer IT-Anlage gespeicherten Informationen zu erlangen, wenn dies etwa für seine Wartungsdienstleistungen erforderlich ist.3 Zudem sei auch gegenüber dem IT-Spezialisten das Offenbaren im Sinne der Ermöglichung einer Kenntnisnahme erforderlich, damit der Berufsgeheimnisträger dessen Tätigkeit überhaupt „sinnvoll in Anspruch nehmen“ kann.3 Dabei ist die sonstige mitwirkende Person auch nicht verpflichtet, ihre Dienstleistungen in besonderer Weise zu ändern oder zu reduzieren, um hierdurch eine Offenbarung zu minimieren. Maßgeblich ist nach den in der Gesetzesbegründung genannten Beispielen vielmehr die Dienstleistung wie sie von dem externen Dienstleister angeboten wird.5

Maßstab für die „Erforderlichkeit“ im Sinne des § 203 Abs. 3 StGB ist demnach, in welchem Ausmaß die Offenbarung erforderlich ist, um die von dem externen Dienstleister angebotenen Leistungen „sinnvoll in Anspruch“ zu nehmen.6 Mit anderen Worten: Der Berufsgeheimnisträger soll dem Dienstleister keine Informationen zur Verfügung stellen, die dieser für die Erbringung seiner Dienstleistung gar nicht benötigt. Es geht also nicht darum, ob ein relativ milderes Mittels für die Offenbarung besteht7. Die Einschränkung auf das Erforderliche ist vielmehr eher mit dem datenschutzrechtlichen Prinzip der Datensparsamkeit als zweckadäquate Beschränkung der Datenverarbeitung vergleichbar.

Weitere Konkretisierungen finden sich zudem in der Gesetzesbegründung zu § 43e Abs. 1 BRAO, der ebenfalls auf das Merkmal der „Erforderlichkeit“ abstellt. So heißt es in der Gesetzesbegründung, dass eine Offenbarung nicht erforderlich sei, wenn der Dienstleister, der dem Rechtsanwalt einen Speicherplatz auf einem externen Server zur Verfügung stellt, Kenntnis von den unter die Schweigepflicht des § 43a Abs. 2 S. 1 BRAO fallenden Tatsachen erhält – denn regelmäßig könnten diese Daten verschlüsselt gespeichert werden.8

Der Vorbehalt der Verschlüsselung wird im Folgenden dadurch relativiert, dass dem Rechtsanwalt jedoch „ein Spielraum für verantwortliche unternehmerische Entscheidungen eröffnet“ werden müsse.8 Eine pauschale und vorbehaltlose Verschlüsselungspflicht besteht demnach auch nach der Gesetzesbegründung des § 43e Abs. 1 BRAO wohl nicht. Allerdings wird eine Verschlüsselung jedenfalls dann genutzt werden müssen, wenn diese im Rahmen der „sinnvollen Inanspruchnahme“ der jeweiligen Dienstleistung und einer „verantwortlichen unternehmerischen Entscheidung“ ohne weiteres eingesetzt werden kann.

Insoweit besteht auch kein Widerspruch zu der „Erforderlichkeit“ nach § 203 Abs. 3 StGB: Bietet ein Dienstleister eine Verschlüsselung der bei ihm gespeicherten Daten in der Weise an, dass diese ein Offenbaren dem Dienstleister gegenüber ausschließt (z.B. weil die Daten clientseitig verschlüsselt werden können), muss der Dienstleister zur Erbringung seiner Leistungen konsequenterweise auch keine Kenntnis der Daten erhalten. Ein Offenbaren wäre in diesem Fall nicht erforderlich. Bietet der jeweilige Dienstleister eine solche Verschlüsselung jedoch nicht an oder lässt sich die Dienstleistung nicht sinnvoll oder – im Rahmen einer verantwortlichen unternehmerischen Entscheidung – nicht wirtschaftlich in Anspruch nehmen, ist eine Verschlüsselung weder nach § 203 Abs. 3 StGB noch § 43e Abs. 1 BRAO zwingend notwendig.9

Letztendlich heißt das für Rechtsanwälte und Rechtsanwältinnen, dass sie sich mit jedem Cloud-Produkt individuell auseinandersetzen müssen, um zu beurteilen, ob und inwiefern eine Offenbarung von Mandatsgeheimnissen erforderlich ist oder ob sie sich sinnvoll vermeiden lässt.

2.     Verpflichtung zur Geheimhaltung

Ergänzend zu der Strafbarkeit der mitwirkenden Person macht sich auch der Berufsgeheimnisträger selbst strafbar, wenn die mitwirkende Person ein Geheimnis offenbart hat und der Berufsgeheimnisträger nicht dafür Sorge getragen hat, dass diese Person zur Geheimhaltung verpflichtet wurde.

Der Strafbarkeitsvorwurf des Geheimnisträgers besteht also in der fehlenden Verpflichtung des in Anspruch genommenen Dienstleisters – nicht in der Offenbarung der Daten an den Dienstleister. Insofern handelt es sich um ein echtes Unterlassungsdelikt.10 Die Strafbarkeit steht allerdings unter dem Vorbehalt, dass die mitwirkende Person auch ihrerseits vorsätzlich unbefugt ein geschütztes Geheimnis offenbart.11 Diese zusätzliche Anforderung ist wiederum als objektive Bedingung der Strafbarkeit ausgestaltet, sodass sich der Vorsatz des Berufsgeheimnisträgers hierauf nicht beziehen muss.12

Ähnlich wie schon bei der Offenbarungsbefugnis des § 203 Abs. 3 StGB enthält auch in diesem Zusammenhang das Berufsrecht weitergehende Konkretisierungen als das Strafrecht. So verlangt § 43e Abs. 3 BRAO unter anderem, dass die externen Dienstleister in Textform mit Belehrung über die Strafbarkeit zur Geheimhaltung verpflichtet werden. Es drängt sich daher zwangsläufig die Frage auf, ob diese Kriterien auch zur Beurteilung der Rechtmäßigkeit der Offenbarung im Sinne des § 203 StGB herangezogen werden müssen. Allerdings stellt der Gesetzgeber in seiner Begründung ausdrücklich klar, dass es für die Strafsanktion des § 203 StGB nicht auf die berufsrechtlichen Besonderheiten der Geheimhaltungsverpflichtung – wie etwa in § 43e Abs. 3 S. 1 und 2 Nr. 1 bis 3 BRAO – ankommt.13 Infolgedessen können somit das Berufsrecht und Strafrecht auseinanderfallen, sodass etwa eine Verletzung der Formvorschriften zwar zu einer Verletzung des Berufsrechts, nicht jedoch zu einer Strafbarkeit führen kann.

Ein weiterer wichtiger Unterschied zwischen Straf- und Berufsrecht besteht in der Person des Adressaten der Geheimhaltungsverpflichtung. Während § 203 Abs. 4 Nr. 1 StGB eine Verpflichtung der handelnden natürlichen „Personen“ betrifft, regelt § 43e Abs. 3 BRAO die Verpflichtung des „Dienstleisters“, also u.U. auch juristischer Personen.

In der Praxis kann das eine tückische Falle sein. Denn es genügt nicht, den Cloud-Provider als juristische Person zu verpflichten. Vielmehr muss sichergestellt sein, dass dieser auch seine mit der Verarbeitung betrauten Mitarbeiterinnen und Mitarbeiter verpflichtet, also die tätigen „Personen“. Eine unmittelbare Geheimhaltungsvereinbarung zwischen dem Berufsgeheimnisträger und allen handelnden Personen ist hingegen nicht erforderlich. Denn § 203 Abs. 4 Nr. 1 StGB verlangt lediglich, dass der Berufsgeheimnisträger für eine Verpflichtung „Sorge trägt“. 

  1. Zur Einordnung der Offenbarungsbefugnis als Tatbestandsausschluss vgl. Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, 47. Edition, Stand: 01.08.2020, § 203 StGB Rn. 35 ff. []
  2. Pohle/Ghaffari, CR 2017, 489 (492). []
  3. BT-Drucks. 18/11936, S. 28. [] [] []
  4. Kritisch auch Lange, ZAP 2017, 1097 (1098). []
  5. So auch Ruppert, K&R 2017, 489 (493). []
  6. So im Ergebnis auch Kraus, PinG 2018, 16 (18). []
  7. So jedoch Grupp, PinG 2017, 55 (57); Grosskopf/Momsen, CCZ 2018, 98 (102). []
  8. BT-Drucks. 18/11936, S 34. [] []
  9. Anders wohl Cornelius, NJW 2017, 3751 (3752), der eine Geheimnisoffenbarung nur dann für erforderlich hält, wenn eine Anonymisierung, Pseudonymisierung oder Verschlüsselung der Daten generell nicht möglich ist. []
  10. Grosskopf/Momsen, CCZ 2018, 98 (105). []
  11. Kritisch dazu Cornelius, NJW 2017, 3751 (3753). []
  12. BT-Drucks. 18/11936, S. 29. []
  13. BT-Drucks. 18/11936, S. 29. []
Seiten: 1 2 3 4 5
, Telemedicus v. 16.07.2021, https://tlmd.in/-9526

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert