§ 203 StGB: Neuerung im Gesetz – Inanspruchnahme von IT-Dienstleistern und Cloud-Computing vereinfacht

PrintMailRate-it

zuletzt aktualisiert am 7. Februar 2018

 

Bisher bewegten sich Berufsgeheimnisträger (z.B. Ärzte, Anwälte oder Wirtschaftsprüfer), die bei ihrer Berufsausübung IT-Dienste von Externen nutzten (bspw. E-Mail oder Cloud-Computing) in einer rechtlichen Grauzone. Die Neuregelung des § 203 Strafgesetzbuch (StGB) bringt nun Klarheit  –  wenn auch nicht vollumfänglich.

 

 

Mit dem Beschluss vom 29. Juni 2017 zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen und der anschließenden Billigung durch den Bundesrat am 22. September 2017 wurde die Reform des § 203 StGB endgültig beschlossen. Die Norm regelt Verletzungen der Schweigepflicht durch Berufsgeheimnisträger wie Anwälte, Ärzte, Notare, Steuerberater und Wirtschaftsprüfer.

 

Wie war die Rechtslage bisher?

Generell gilt für die Berufsgeheimnisträger eine (strafrechtliche) Verpflichtung zur Verschwiegenheit. Die Weitergabe von anvertrauten Informationen und Geheimnissen war bisher lediglich für berufsmäßig tätige Gehilfen rechtskonform. Sofern Externe Zugriff auf diese Informationen erhalten könnten, war die Einwilligung des betroffenen Mandanten erforderlich. Im Zeitalter der Digitalisierung ist das Bild der kleinen Kanzlei bzw. Arztpraxis mit dem Gehilfen und dem damit einhergehenden Informationsfluss jedoch nicht mehr zeitgemäß. Heute werden für die effiziente Bearbeitung Informationen über Provider per E-Mail übertragen und auf Servern gespeichert, die von IT-Dienstleistern oder Cloud-Anbietern gehostet werden.
 

Was ändert sich durch die Reform?

Mit der Reform hat der Gesetzgeber nicht nur die strafrechtlichen Regelungen in § 203 StGB, sondern darüber hinaus auch die strafprozessualen Zeugnisverweigerungsrechte und Beschlagnahmeverbote (§§ 53a, 97 StPO) sowie ferner im Rahmen seiner gesetzgeberischen Zuständigkeit verschiedene berufsrechtliche Vorschriften den geänderten praktischen Bedürfnissen angepasst.
 
Die Neuregelung erleichtert die Inanspruchnahme von externen Dienstleistungen. Durch die Erfüllung bestimmter Voraussetzungen wird die Weitergabe von Informationen an Mitwirkende ermöglicht. Eine solche Weitergabe ist immer dann möglich, soweit die Offenlegung der Informationen für die ordnungsgemäße Ausübung der Tätigkeit der mitwirkenden Personen erforderlich ist.
 
Die Formulierung „soweit” lässt den Schluss zu, dass es sich dabei nicht nur um eine generelle Prüfung des „Ob”, sondern auch um eine einzelfallbezogene Prüfung des Umfangs der Offenbarung handelt. Zu berücksichtigen ist allerdings ein gewisser Abstraktionsgrad: Maßgeblich für die Erforderlichkeit ist die Tätigkeit des jeweiligen Dienstleisters. So geht der Gesetzgeber in seiner Begründung ebenfalls davon aus, dass die Einrichtung oder Wartung von IT-Anlagen durch externe Spezialisten grundsätzlich erforderlich ist.
 
Zudem sind die mitwirkenden Personen sorgfältig auszuwählen und müssen ebenfalls zur Geheimhaltung verpflichtet werden. Das kann vertraglich erfolgen, entweder durch das Hauptleistungsvertrags oder als Gegenstand einer gesonderten Vereinbarung. Die Einwilligung des Mandanten bzw. Patienten ist nunmehr nicht mehr notwendig  –  vielmehr rückt die vertragliche Ausgestaltung mit den Beschäftigten und den Dienstleistern in den Fokus.
 

Ist der Weg nun frei für die Digitalisierung?

Die Reform orientiert sich stark an den reellen Arbeitsabläufen und berücksichtigt den stetigen Wandel und Fortschritt. Sie ist daher grundsätzlich positiv zu bewerten. Dennoch bleiben weiterhin Unklarheiten bestehen. Da zum einen laut Gesetzestext die Offenlegung der Informationen an Mitwirkende ausschließlich gestattet ist, wenn sie erforderlich ist, bleibt immer ein Diskussionsspielraum bei der Frage der Notwendigkeit von Sicherheitsstandards und Verschlüsselungsmaßnahmen. Zum anderen flankieren weitergehende gesetzliche Anforderungen das Thema Datenschutz. Handelt es sich bei demjenigen, dessen Geheimnis es zu wahren gilt, um eine natürliche Person, findet auch das Bundesdatenschutzgesetz (BDSG) sowie ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO) Anwendung. Danach ist der Berufsgeheimnisträger zusätzlich verpflichtet, mit dem jeweiligen IT-Dienstleister einen Auftragsdatenverarbeitungsvertrag (§ 11 BDSG, Art. 28 DSGVO) abzuschließen. Vorsicht ist zudem beim Auslandsbezug geboten!
 

Es entspricht gängiger Praxis, dass Dienstleister beim IT-Outsourcing bzw. internationale Unternehmen auch zur konzerninternen Datenverarbeitung auf Mitarbeiter und Unterauftragnehmer im Ausland zurückgreifen. Zwar stehen dem die Berufsverschwiegenheitspflichten aus § 203 StGB n. F. nicht entgegen, etwaige Einschränkungen können sich aber aus den jeweils einschlägigen berufsrechtlichen Vorschriften ergeben. So gibt § 62a Abs. 4 StBerG (§ 50a Abs. 4 WPO) Steuerberatern (Wirtschaftsprüfern) auf, der Verschwiegenheitspflicht unterliegende Daten nur im Ausland verarbeiten zu lassen, wenn der dort bestehende Geheimnisschutz mit dem im Inland vergleichbar ist.
 
Somit bestehen weiterhin Risiken bei der Inanspruchnahme von IT-Dienstleistungen und Cloud-Diensten, obgleich die Gesetzeslage etwas mehr Rechtssicherheit bietet. IT-Sicherheit ist in Anbetracht der aktuellen Regelungen ein zentrales Thema, v.a. für IT-Dienstleister. Der Nachweis eines angemessenen Sicherheitsniveaus, bspw. durch die Zertifizierung nach ISO 27001 oder die Bestätigung der Wirksamkeit des internen Kontrollsystems von IT-Dienstleistern (IDW PS 951), gewinnt durch die Neuregelung weiterhin zunehmend an Bedeutung.
 

 Ausgabe Februar 2018: Datenschutz-Grundverordnung

Kontakt

Contact Person Picture

Norman Lenger, LL.M.

Rechtsanwalt, Fachanwalt für Steuerrecht, Zertifizierter Compliance Officer, Zertifizierter IT-Compliance Manager

Partner

+49 911 9193 3713
+49 911 9193 3679

Anfrage senden

Profil

Contact Person Picture

Konrad Klein

Bachelor of Science, CISA, IT-Auditor IDW

Associate Partner

+49 911 9193 3686
+49 911 9193 3679

Anfrage senden

 Entrepreneur per E-Mail

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu