Ein häufig ungelöstes Problem für Berufsgeheimnisträger ist die Einbeziehung Dritter, also außerhalb der eigenen Sphäre stehender Personen in die eigene Berufsausübung, etwa durch die Auslagerung von IT-Leistungen. Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat zur Lösung dieses Problems am 15.12.2016 einen Referentenentwurf zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen veröffentlicht (aktueller Stand dieses Gesetzgebungsvorhabens hier im CRonline Gesetzgebungsreport).
Das bisherige Dilemma
Wenn z.B. Rechtsanwälte oder Ärzte IT-Dienstleister einschalten, etwa im Bereich der elektronischen Aktenverwaltung oder externen Telefonservices, spielen neben reinen Kostenreduzierungen auch Qualitäts- und Verfügbarkeitsgesichtspunkte eine Rolle. Für effizient arbeitende Unternehmen ist – auch unter Risikoaspekten, wie z.B. dem Datenverlust – eine zeitgemäße EDV-Ausstattung erforderlich. Demzufolge besteht in einer Vielzahl von Fällen ein erhebliches Interesse an einer Auslagerung von IT- und BPO-Leistungen an spezialisierte Unternehmen.
- Datenschutzrechtliche Perspektive
Aus datenschutzrechtlicher Perspektive lassen sich eine Reihe von Outsourcing-Fällen mit vertraglichen Vereinbarungen lösen, die die Anforderungen des § 11 BDSG erfüllen. Auch wenn nicht grundsätzlich jedes Outsourcing von Datenverarbeitungsdienstleistungen per se als Auftragsdatenverarbeitung i.S.v. § 11 BDSG zu werten ist (zur Abgrenzung Conrad/Fechtner, „IT-Outourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und des BGH“, CR 3/2013, 137 (138)), kann in vielen Fällen eine datenschutzrechtliche Vereinbarkeit erzielt werden. Dazu ist es empfehlenswert, Vereinbarungen zu treffen, in welchen unter anderem detailliert festgelegt wird, wie der Dienstleister die Daten zu verwenden und wie er die Daten zu schützen hat (Zugriffsbeschränkungen, Regelungen zu Benutzerrechten, Subunternehmerklauseln, Vereinbarungen zur Transportabsicherung).
– - Strafrechtliche Perspektive
Die datenschutzrechtliche Zulässigkeit hat indes nicht automatisch auch die strafrechtliche Kompatibilität zur Konsequenz. Die datenschutzrechtlichen Regelungen des BDSG und die berufs- bzw. strafrechtliche Vorgaben finden parallele Anwendung. Demzufolge kann ein den Anforderungen von § 11 BDSG genügender Auftragsdatenverarbeitungsvertrag nicht über das strafrechtliche Verbot des unbefugten Offenbarens von Geheimnissen nach § 203 StGB hinweghelfen.
Sofern bis dato also für externe Dienstleister eine Kenntnisnahme-Möglichkeit von Daten existiert, die dem Schutzbereich von § 203 StGB unterfielen, führt diese zu einem erheblichen rechtlichen Risiko, da oftmals weder eine ausdrückliche Einwilligung der Betroffenen noch eine einschlägige Befugnisnorm vorhanden war.
Die Neuregelung im Referentenentwurf
Der Referentenentwurf des BMJV v. 15.12.2016 bestimmt, dass § 203 StGB, der die Verletzung von Privatgeheimnissen unter Strafe stellt, so abgeändert werden soll, dass Berufsgeheimnisträgern der Einsatz spezialisierter Dienstleister möglich wird.
- Ziel
Konkret soll das Offenbaren geschützter Geheimnisse gegenüber Personen, die an der beruflichen oder dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken, wenn dies für die ordnungsgemäße Ausführung der mitwirkenden Personen erforderlich ist, nicht mehr der Strafbarkeit unterfallen.
– - Weg: „mitwirkende Personen“ statt Gehilfenlösung
Damit die Option der Berufsgeheimnisträger, ohne strafrechtliches Risiko dritte Dienstleister einschalten zu können, zu keiner Reduzierung des strafrechtlichen Geheimnisschutzes führt (da über die berufsmäßig tätigen Gehilfen hinaus weitere Personen Kenntnis von durch die Schweigepflicht geschützten Geheimnisse erhalten können), sollen dem Referentenentwurf zufolge sämtliche „mitwirkenden Personen“ in die Strafbarkeit gemäß § 203 StGB einbezogen werden. Die von Berufsträgern beauftragten Dritten werden dementsprechend in den Kreis der tauglichen Täter i.S.v. § 203 StGB aufgenommen.
Statt des bisher in § 203 StGB verwendeten Begriffs des „berufsmäßig tätigen Gehilfen“ wird im Entwurf der Begriff der „mitwirkenden Person“ eingeführt. Ausweislich der Begründung des Referentenentwurfs unterscheidet sich die mitwirkende Person vom Gehilfen-Terminus insofern, als dass es bei ihr nur noch darauf ankommen soll, ob sie in die berufliche bzw. dienstliche Tätigkeit in irgendeiner Art und Weise eingebunden wird und dazu Beiträge leistet. Dagegen wird eine Eingliederung in die Sphäre des Berufsgeheimnisträgers nicht für erforderlich gehalten.
– - Neue Sorgfaltspflichten für Berufsgeheimnisträger
Verbunden mit den Änderungen im StGB sind auch Anpassungen der Bundesrechtsanwaltsordnung (BRAO), der Bundesnotarordnung (BNotO) sowie der Patentanwaltsordnung (PAO).
Notwendige Änderungen des Berufsrechts
Weiterhin sieht der Entwurf strafbewehrte Sorgfaltspflichten für die Berufsgeheimnisträger vor, die bei der Einbeziehung dritter Dienstleister zu beachten sind. Sofern also der Berufsgeheimnisträger dritte Personen an seiner Berufsausübung mitwirken lässt, ist er im Interesse des Geheimnisschutzes dazu verpflichtet, diese Dritten als „mitwirkende Personen“ im Hinblick auf ihre Vertrauenswürdigkeit sorgfältig auszuwählen, zu überwachen und sie zur Geheimhaltung zu verpflichten.
- Neue Befugnisnormen
Vor dem Hintergrund, dass für die in § 203 Abs. 1 Nr. 3 StGB genannten rechtsberatenden Berufe der Bund die Gesetzgebungskompetenz hat, werden im Referentenentwurf Befugnisnormen vorgestellt, die Voraussetzungen + Grenzen festlegen, unter denen Dienstleistungen in Anspruch genommen werden dürfen und damit einhergehend auch ein Zugang zu fremden Geheimnissen eröffnet werden darf, soweit dies jeweils im konkreten Fall erforderlich ist.
– - Nunmehr gesetzliche Verpflichtung
Für Rechtsanwälte und Patentanwälte soll die bislang nur satzungsrechtlich bestehende Verpflichtung, Personal und mitwirkende Personen zur Verschwiegenheit zu verpflichten, ebenfalls ins Gesetz übernommen werden.
Erstes vorsichtiges Fazit
Vor dem Hintergrund des stark gewachsenen rechtspolitischen Handlungsbedarfs, den Einsatz externer IT-Dienstleister durch die Berufsgeheimnisträger rechtssicher zu ermöglichen, ist der Referentenentwurf durchaus zu begrüßen.
- Erheblicher Bedarf in der Praxis
Die Notwendigkeit einer ausdrücklichen gesetzlichen Erlaubnis wurde schon vor Jahren erkannt und gefordert, so auch Conrad/Fechtner, „IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und des BGH“, CR 3/2013, 137 (147). Die zunehmende Digitalisierung der letzten Jahre macht es mehr und mehr erforderlich, nicht sämtliche unterstützenden IT-Dienstleistungen durch eigenes Personal ausführen zu lassen und verschärft damit die bestehende Diskussion zunehmend.
– - Rechtsfigur „mitwirkender Personen“
Statt für die so genannte „Gehilfenlösung“ hat man sich im Referentenentwurf für die Einbeziehung „mitwirkender Personen“ in die Strafbarkeit von § 203 StGB entschieden. Inwieweit dies zu schwierigen Abgrenzungsfragen führt, wird zu diskutieren sein.
Eine der Diskussion um den Gehilfenbegriff ähnliche Debatte sollte dabei nach Möglichkeit vermieden werden. Denn wenn es auch nicht recht einsichtig war, wieso ein sorgfältig ausgewählter, weisungs- und kontrollgebundener IT-Dienstleister anders behandelt werden sollte als ein angestellter Mitarbeiter, ließ sich der Gehilfenbegriff nach herrschender Ansicht nicht in der Art und Weise ausweiten, dass auch selbständige IT-Dienstleister, die nicht in der Sphäre des Berufsgeheimnisträgers organisatorisch eingebunden waren, erfasst werden konnten (dazu kritisch Hausen, „Macht der EuGH den Weg frei für das Outsourcing von IT-Dienstleistern“, CRonline Blog v. 5.12.2012).