#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud

3.     Anforderungen an ausländische Dienstleister

§ 203 Abs. 4 StGB selbst sieht keine Einschränkung hinsichtlich des Standortes der sonstigen mitwirkenden Person vor. Allerdings dürfen Dienstleistungen nach § 43e Abs. 4 BRAO nur dann im Ausland erbracht werden, wenn der dort bestehende Schutz der Geheimnisse „dem Schutz im Inland vergleichbar“ ist.

Das Erfordernis geht von der romantischen Vorstellung aus, dass deutsche IT-Dienstleister einen besonders hohen Schutz der berufsrechtlich geschützten Informationen sicherstellen können.¹ Diese wirft jedoch gleich in zweierlei Hinsicht Fragen auf: Zum einen bleibt unklar, nach welchem Maßstab ein „vergleichbarer“ Schutz festzustellen ist, insbesondere ob datenschutzrechtliche Maßstäbe zur Bestimmung herangezogen werden können. Zum anderen stellt sich die Frage, ob und inwieweit sich diese Einschränkung auch auf andere EU-Mitgliedsstaaten bezieht.

§ 43e Abs. 4 BRAO verlangt einen vergleichbaren Schutz hinsichtlich der berufsrechtlichen Geheimnisschutz und nicht – wie vereinzelt vertreten – einen mit dem Inland vergleichbaren datenschutzrechtlichen Schutz.² Denn § 43e Abs. 4 BRAO stellt ausdrücklich auf den Schutz der „Geheimnisse“ – und nicht auf den Schutz personenbezogener Daten – ab. Auch wäre eine datenschutzrechtliche Regelung innerhalb des § 43e BRAO gänzlich systemfremd und würde angesichts der Vollharmonisierung der DSGVO ohnehin verdrängt.

Ein „dem Inland vergleichbarer Schutz“ soll in anderen Mitgliedstaaten der EU ausweislich der Gesetzesbegründung „in der Regel“ gegeben sein.³ Wann genau diese Regel greifen soll und welche Ausnahmen innerhalb der EU gelten sollen, lässt die Gesetzesbegründung offen. So stellt sich die Frage, inwieweit in dieser Regelung eine Diskriminierung der auswärtigen europäischen Dienstleister zu sehen ist.⁴ Schließlich verbietet die Dienstleistungsfreiheit des Art. 56 AEUV jegliche Diskriminierung ohne triftigen Grund. Daher wird bei europarechtskonformer Auslegung ein vergleichbarer Schutz in anderen EU-Staaten zumindest vermutet werden können.⁵

Unklar bleibt jedoch, was genau unter dem Begriff „vergleichbar“ zu verstehen sein soll. Insbesondere stellt sich die Frage, ob zwingend ein strafrechtlicher Schutz von Geheimnissen verlangt werden muss oder ob ein berufsrechtlicher Schutz genügt. Während ein berufsrechtlicher Schutz in nahezu allen relevanten Jurisdiktionen vorhanden sein dürfte⁶, wird eine korrespondierende strafrechtliche Sanktionierung international eher selten sein. Für eine Beschränkung auf einen berufsrechtlichen Schutz spricht insoweit, dass die Anforderung des vergleichbaren Schutzes ausschließlich von § 43e Abs. 4 BRAO, nicht jedoch von § 203 StGB gefordert wird. Der von der BRAO geregelte Schutz bezieht sich jedoch ausschließlich auf das Berufsrecht und gerade nicht auf die strafrechtlichen Konsequenzen.

Nichtsdestotrotz verbleiben in der Praxis erhebliche Unsicherheiten, da nicht nur im Einzelnen geprüft werden muss, welche konkreten rechtlichen Schutzmaßnahmen in den jeweils betroffenen Jurisdiktionen bestehen, sondern auch beurteilt werden muss, ob und inwieweit diese – ggf. gänzlich unterschiedliche Schutzkonzepte⁷ – mit dem Inland vergleichbar sind. Komplex kann diese Prüfung insbesondere für Dienstleister in den USA werden, da dort keine bundeseinheitlichen Standards existieren, sondern sich die Schutzkonzepte von Bundesstaat zu Bundesstaat unterscheiden.⁸

Problematisch ist auch, dass § 43e Abs. 4 BRAO ausschließlich auf den Ort abstellt, an dem die Dienstleistung „erbracht“ wird. Maßgeblich ist demnach nicht etwa der Sitz des Dienstleisters, sondern ausschließlich der Ort der Leistungserbringung. Dies führt zu weiteren Abgrenzungsschwierigkeiten und Prüfungsanforderungen: Bietet bspw. ein US-Unternehmen einen Cloud Service an, der in Deutschland gehostet wird, stellt sich die Frage, ob die Dienstleistung in Deutschland, den USA oder an beiden Standorten erbracht wird. Gerade bei komplexeren Cloud-Anwendungen werden sich in der Praxis erhebliche Schwierigkeiten ergeben, etwa wenn der Dienstleister nach dem „Follow the sun“-Prinzip Personal an weltweit verteilten Standorten einsetzt.

Für die Praxis von besonderer Relevanz sind daher technische und organisatorische Maßnahmen: Denn ein vergleichbarer Schutz der verarbeiteten Geheimnisse lässt sich insbesondere bei Cloud-Anwendungen regelmäßig einfacher erreichen, indem die Zugriffsmöglichkeiten des ausländischen Dienstleisters von vorneherein beschränkt werden, als umfassende Analysen der Rechtslage in fremden Rechtsordnungen vorzunehmen. In Betracht kommen beispielsweise eine Verschlüsselung der Daten oder technische Freigabeprozesse für den Fall, dass der Dienstleister Zugriff auf die verarbeiteten Daten nehmen soll. Ob und welche Maßnahmen dabei möglich, erforderlich und ausreichend sind, hängt allerdings vom Einzelfall, insbesondere von der Art der Dienstleistung, der Notwendigkeit des Sichtzugriffs und der Rechtsordnung, der der Dienstleister unterliegt.

1. So auch Härting, https://www.lto.de/recht/job-karriere/j/stgb-203-anwalt-mandant-verschwiegenheit-berufsrecht/2/, der von einer „tiefe[n] Verneigung vor der heimischen IT- und TK-Wirtschaft“ spricht. [↑]
2. So Hoeren, ZD 2017, 501 (502); anders Fechtner/Haßdenteufel, CR 2017, 355 (361); Gasteyer/Säljemar, NJW 2020, 1768 (1769 f.). [↑]
3. BT-Drucks. 18/11936 S. 35. [↑]
4. Kritisch auch Cornelius, NJW 2017, 3751 (3754). [↑]
5. Demgegenüber hält Härting § 43e Abs. 4 BRAO in seiner aktuellen Fassung für europarechtswidrig, vgl. Härting, BB 2017, Heft 42 Umschlagteil, I. [↑]
6. vgl. etwa die Übersichten der britischen Solicitors Regulation Autority, http://www.sra.org.uk/documents/solicitors/freedom-in-practice/cloud-computing-law-firms-risk.pdf sowie der American Bar Association, https://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/cloud_computing.html. [↑]
7. So unterscheidet bspw. das britische Recht hinsichtlich des Berufsgeheimnisses zwischen gerichtlicher und außergerichtlicher Rechtsberatung. [↑]
8. vgl. Übersicht „Cloud Ethics Opinions Around the U.S.“ der American Bar Association, https://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/charts_fyis/cloud-ethics-chart.html. [↑]

• Berufsgeheimnisträger
• Berufsrecht
• Cloud Computing
• Geheimnisschutz
• Strafrecht