Eine jüngst vom EuGH beantwortete Vorlagefrage (EuGH, Urt. v. 22.11.2012 – C-119/12) zur Weitergabe von Daten des TK-Diensteanbieters an Dritte zwecks Inkasso könnte sich als hilfreich für eine sich aus § 203 StGB ergebende Problematik erweisen. Berufsgeheimnisträger wie Rechtsanwälte und Ärzte sehen sich gegenwärtig durch § 203 StGB daran gehindert, ihre Datenverarbeitung an IT-Dienstleister auszulagern. Denn eine datenschutzrechtliche Absicherung der Auslagerung durch den Abschluss eines den Anforderungen von § 11 BDSG genügenden Auftragsdatenverarbeitungsvertrages hilft nicht über das strafrechtliche Verbot einer unbefugten Offenbarung von Geheimnissen gegenüber Dritten (§ 203 StGB) hinweg. So zumindest die bislang vorherrschende Meinung. Zur Problematik und Lösungsansätzen siehe auch den Beitrag „Outsourcing trotz Anwaltsgeheimnis“ von Dr. Spatschek im Anwaltsblatt.
Eine weite Auslegung der Entscheidung könnte für eine Zulässigkeit der Offenbarung bei Auftragsdatenverarbeitung auch außerhalb des TK-Bereichs bzw. der Geltung der Art. 6 Abs. 2 und 5 der RL 2002/58 sprechen, sofern mit dem Dritten klar Weisungs- und Kontrollrechte des Auftraggebers und entsprechende Pflichten des Dritten vereinbart werden. Der BGH (BGH, Beschl. v. 16.2.2012 – III ZR 200/11, CR 2012, 255, ausführlich hierzu Neumann, „Abtretung von Telekommunikationsentgeltforderungen an Inkassounternehmen“, CR 2012, 235) hatte mit den Vorlagefragen bereits den Weg aufgezeigt, wie die Beauftragung von Inkasso-Unternehmen zulässig gestaltet werden könnte. Ein Bedürfnis nach dem Einsatz von IT-Dienstleistern durch Geheimnisträger ist jedenfalls nicht von der Hand zu weisen. Dies gilt vor allem für Einzelanwälte und Ärzte in kleineren Praxen, die sich angestellte IT-Fachleute nicht leisten können.
Die Vorlagefrage des BGH
Im Ausgangsverfahren ging der Beklagte als Inhaber eines Telefonanschlusses der Deutschen Telekom AG davon aus, dass ein Factoring-Vertrag wegen Verstoßes gegen § 97 TKG nichtig sei. Für einzelne Einwahlen ins Internet nutzte er im Zeitraum von Juni bis September 2009 die Nummer des Anbieters Verizon. Hierfür vereinbarte Entgelte wurden über die Deutsche Telekom AG als „Beträge anderer Anbieter“ in Rechnung gestellt. Nach einem zwischen Verizon und der Firma nexnet geschlossenen Factoringvertrag verlangte diese die in Rechnung gestellten Entgelte. Das Amtsgericht wies die Zahlungsklage von nexnet ab, das Berufungsgericht hingegen gab ihr statt. Es folgte die Revision beim BGH. Dieser setzte das Verfahren aus und legte dem EuGH vereinfacht folgende Frage zur Vorabentscheidung vor (BGH, Beschl. v. 16.2.2012 – III ZR 200/11, CR 2012, 255):
Erlaubt und ggf. unter welchen Bedingungen Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 dem Diensteanbieter die Übermittlung von Verkehrsdaten an den Zessionar einer Entgeltforderung für Telekommunikationsleistungen, wenn außer der allgemeinen Verpflichtung auf das Fernmeldegeheimnis und den Datenschutz zu den jeweils geltenden gesetzlichen Regelungen folgende vertragliche Bedingungen zugrunde liegen:
- Der Diensteanbieter und der Zessionar verpflichten sich, die geschützten Daten nur im Rahmen ihrer Zusammenarbeit und ausschließlich zu dem dem Vertragsschluss zugrunde liegenden Zweck und in der jeweils angegebenen Weise zu verarbeiten und zu nutzen;
- sobald die Kenntnis der geschützten Daten für die Erfüllung dieses Zwecks nicht mehr erforderlich ist, sind alle in diesem Zusammenhang vorhandenen geschützten Daten unwiederbringlich zu löschen oder zurückzugeben;
- die Vertragsparteien sind berechtigt, die Einhaltung des Datenschutzes und der Datensicherheit bei der jeweils anderen Vertragspartei im Sinne dieser Vereinbarung zu kontrollieren;
- die überlassenen vertraulichen Unterlagen und Informationen dürfen nur solchen Mitarbeitern zugänglich gemacht werden, die diese zur Erfüllung des Vertrags benötigen;
- die Vertragsparteien werden diese Mitarbeiter entsprechend dieser Vereinbarung zur Vertraulichkeit verpflichten;
- auf Verlangen, spätestens jedoch bei Beendigung der Zusammenarbeit der Vertragsparteien sind alle in diesem Zusammenhang vorhandenen vertraulichen Informationen unwiederbringlich zu löschen oder an die jeweils andere Vertragspartei zurückzugeben?
Die Entscheidung des EuGH
Der EuGH sieht die Übermittlung der Verkehrsdaten nach § 97 Abs. 1 Satz 3 TKG als zulässig an, sofern folgende Voraussetzungen erfüllt sind:
- Der Zessionar muss in Bezug auf die Datenverarbeitung auf Weisung des Diensteanbieters handeln;
- Der Zessionar muss sich auf diejenigen Verkehrsdaten beschränken, die für die Einziehung der abgetretenen Forderungen erforderlich sind.
Unabhängig von der Einstufung des Abtretungsvertrags geht der EuGH davon aus, dass der Zessionar im Sinne des Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er die Verarbeitung von Verkehrsdaten nur auf „Anweisung“ des Diensteanbieters und unter dessen „Kontrolle“ vornimmt. Der Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen zu überzeugen.
Übertragbarkeit der Entscheidung auf Fälle außerhalb des TK-Bereichs
Kann diese Entscheidung nun analog auf andere Auftraggeber außerhalb des TK-Bereichs angewandt werden, sodass diese als Geheimnisträger, wie etwa Rechtsanwälte und Ärzte, nach § 11 BDSG die Verarbeitung von Mandanten- bzw. Patientendaten zulässig auslagern dürfen?
Gegen eine analoge Anwendbarkeit spricht, dass keine unbewusste Rechtslücke vorliegen dürfte. Art. 6 Abs. 2 und 5 der Richtlinie 2002/58 sieht eine Ausnahme von der in Art. 5 Abs. 1 der Richtlinie vorgesehenen Vertraulichkeit der übertragenen Nachrichten vor, indem er die Verarbeitung von Verkehrsdaten im Hinblick auf die Erfordernisse im Zusammenhang mit der Gebührenabrechnung erlaubt. Gleiches gilt für das TKG, welches in § 97 Abs. 1 eine Ausnahme vom Schutz durch das Fernmeldegeheimnis nach § 88 TKG vorsieht. Es handelt sich damit um eine Spezialregelung zusätzlich zu den allgemeinen Vorschriften.
Für Geheimnisträger nach § 203 StGB existiert aber gerade keine mit § 97 Abs. 1 TKG vergleichbare gesetzliche Erlaubnis. Und die Schaffung einer solchen wurde bereits für unterschiedliche Bereiche mehrfach diskutiert, aber nie realisiert. So sieht die BRAO in ihrer gegenwärtigen Fassung keine ausdrückliche Ermächtigung des Rechtsanwalts vor, externe Unternehmen so in den Kanzleiablauf einzubeziehen, dass diese Zugriff auf mandatsbezogene Informationen erhalten. Hier setzt z.B. der Diskussionsvorschlag des Deutschen Anwaltvereins an und schlägt u.a. eine Änderung der BRAO vor.
Für eine analoge Anwendbarkeit spricht die grundsätzlich vergleichbare Sachlage. Es ist nicht erkennbar, warum TK-Diensteanbieter auslagern dürfen, andere Geheimnisträger aber nicht. Auch ist die Schutzbedürftigkeit der Telekommunikationsteilnehmer nicht von vorneherein niedriger anzusetzen als die eines Mandanten oder eines Patienten. Die vom EuGH aufgestellten Voraussetzungen für eine Auslagerung entsprechen weitestgehend dem, was auch bei einer Auftragsdatenverarbeitung zu berücksichtigen ist. Die Erteilung von Weisungen sowie die Kontrolle der Datenverarbeitung sind integraler Bestandteil jeder Auftragsdatenverarbeitung nach § 11 BDSG.
Auslegung des strafrechtlichen Gehilfenbegriffs
Die Entscheidung des EuGH scheint auch für die Sichtweise derer zu sprechen, die eine Weitergabe an externe IT-Dienstleister unter dem Blickwinkel von § 203 StGB für zulässig betrachten, indem sie beim Gehilfenbegriff des § 203 StGB nicht nur auf ein organisatorisches Einbindungserfordernis abstellen. Nach der wohl herrschenden Ansicht (siehe Darstellung bei Bräutigam, CR 2011, 411, Fn. 23) sind selbstständig tätige IT-Dienstleister nicht als solche Hilfskräfte einzuordnen, die zum Kreis der berufsmäßigen Gehilfen des Geheimnisträgers gehören.
Es ist aber nicht recht einsichtig, warum ein sorgfältig ausgewählter, weisungs- und kontrollgebundener IT-Dienstleister anders behandelt werden soll als ein angestellter Mitarbeiter. Denn die für Gehilfenstellung geforderte „organisatorische Einbindung“ kann weitgehend durch die vertraglich abgesicherte Ausübung von Weisungs- und Kontrollrechten sowie durch die gesonderte Verpflichtung des IT-Dienstleisters zur Verschwiegenheit sichergestellt werden. Die vom Deutschen Anwaltverein im bereits erwähnten Diskussionsvorschlag vorgeschlagene Differenzierung zwischen einmalig und dauerhaft beauftragten Dienstleistern geht in dieselbe Richtung. Eine Strafbarkeit des Geheimnisträgers erscheint jedenfalls dann nicht gerechtfertigt, wenn neben der gesonderten Verpflichtung auf die Einhaltung der Verschwiegenheit die Voraussetzungen des § 11 BDSG an eine Auftragsdatenverarbeitung nicht bloß schriftlich vereinbart werden, sondern von beiden Parteien auch umgesetzt und gelebt werden.
Das Urteil des EuGH bringt Schwung in die Diskussion um das Outsourcing von IT-Dienstleistungen. Ob im Ergebnis die Entscheidung auch für Geheimnisträger als günstig herangezogen werden kann, sollte besonders intensiv diskutiert werden.
Cloud Computing-Strategie der EU Kommission als Katalysator?
Die Diskussion um das Outsourcing von IT-Dienstleistungen durch Geheimnisträger könnte noch von anderer Seite eine Belebung erfahren. Die EU-Kommission hat jüngst ein Strategiepapier vorgestellt, in dem sie darlegt, wie sie Europa fit für Cloud Computing machen will. Neben der Festschreibung von Standards soll auch ein Modell von Vertragsbedingungen (siehe Beiersmann, „EU-Kommission legt Strategie für Cloud-Computing vor“, ZDNet v. 28.9.2012) erarbeitet werden, das vertragrechtliche und juristische Probleme lösen soll. Der Europäische Datenschutzbeauftragte Peter Hustinx begrüßt dies in seiner „Opinion on the European Commission’s Communication on „Unleashing the potential of Cloud Computing in Europe“ v. 16.11.2012 und regt darin auf Seite 26 unter Ziffer 117 u.a. an, Nutzern von Cloud Computing Dienstleistungen die Wahl zu geben, ob die ausgelagerten Daten ausschließlich in einer nationalen oder regionalen Cloud verarbeitet werden dürfen. Dieser Punkt wird neben anderen essentiellen Fragen eine Voraussetzung dafür sein, den Markt des Cloud Computing für Berufsgeheimnisträger zu öffnen. Ob die Initiative der EU-Kommission hier wichtige Impulse liefern kann und wird, bleibt mit Spannung abzuwarten.
Autoren des Beitrags: RAin Dr. Sonja Fechtner, RA Dominik Hausen, SSW Schneider Schiffer Weihermüller