Gesetzgebung: Regelung der Berufsgeheimnisträger

Es ist ein zumindest inhaltlich dringend gebotener Schritt: Hinter dem sperrigen Namen „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ verbirgt sich der Versuch des Gesetzgebers, die berufsrechtlichen Schweigepflichten mit der heutigen Arbeitsweise zu vereinen. Die bestehenden Unsicherheiten bei der Nutzung moderner Technologien, hier insbesondere bei der Nutzung von Cloud-Diensten, sollen beseitigt werden:

Insbesondere die Digitalisierung hat es in den letzten Jahrzehnten möglich und erforderlich gemacht, in weiterem Umfang als bisher anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigen zu lassen, sondern durch darauf spezialisierte Unternehmen oder selbständig tätige Personen. Hierzu gehören beispielsweise auch die Einrichtung, der Betrieb, die Wartung und die Anpassung informationstechnischer Anlagen. Die Heranziehung dritter, außerhalb der eigenen Sphäre stehender Personen zu diesen unterstützenden Tätigkeiten ist für Berufsgeheimnisträger aber nicht ohne rechtliches Risiko, sofern diese Personen damit von geschützten Geheimnissen Kenntnis erlangen können.

Doch während die Gesetzesänderung eigentlich Strafbarkeiten vermeiden soll, dürfte im Ergebnis vielmehr eine Verschärfung unter Stärkung des Datenschutzrechts zu erwarten sein.

Das Gesetz widmet sich auf den ersten Blick den beraten Berufen im Bereich Recht, Wirtschafts, Steuern. Doch vor den einzelnen berufsrechtlichen Regelungen steht eine Änderung des §203 StGB, der nunmehr vorsehen soll:

(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.

(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Beauftragter für den Datenschutz bekannt geworden ist. Ebenso wird bestraft, wer

als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,

als im Absatz 3 genannte mitwirkende Person sich einer weiteren mitwirkenden Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, bedient und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, oder

nach dem Tod der nach Satz 1 oder nach den Absätzen 1 oder 2 verpflichteten Person ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder aus dessen Nachlass erlangt hat.

Der Aufbau ist recht einfach: Im neuen Absatz 3 wird eine Privilegierung vorgenommen, die den Anwendungsbereich einengt dahin gehend, dass die faktische Kenntnisnahme schlichter Hilfspersonen wie etwa Administratoren unschädlich ist. Damit steht erst einmal eine eingeschränkte und auch lebensnäher ausgestaltete Strafbarkeit im Raum.

Doch das „aber“ folgt im Absatz 4, dort Satz 2: Wer die Hilfsperson nicht ordnungsgemäß auf das Datengeheimnis verpflichtet oder als Hilfsperson eine weitere Hilfsperson unerlaubt einschaltet (Sub-Unternehmer), der macht sich seinerseits strafbar. Es zeigt sich an dieser Stelle, dass Mängel im Datenschutzrecht sowohl bei den Berufsträgern (insoweit nichts neues!) zu einer Strafbarkeit führen können, als quasi „Preis“ für die Klarstellung jetzt dann aber auch den hinzugezogenen Dienstleistern eine Strafbarkeit drohen wird, wenn diese Ihrerseits ohne entsprechende Regelung einen weiteren Dienstleister hinzuziehen.

Ergänzend hierzu kommen dann die berufsrechtlichen Regelungen, etwa §43e BRAO („Inanspruchnahme von Dienstleistungen“), der klar regelt, wie die Voraussetzungen aussehen, um externe Dienstleister etwa im Bereich der Cloud-Lösungen zu beauftragen. Insbesondere ist ab dann ein Vertrag in Textform notwendig, der gewisse Mindestinhalte hat (abgesehen davon dass eine Auftragsdatenverarbeitung vorliegen wird!). Viele Cloud-Lösungen die möglicherweise jetzt schon genutzt werden, müssten insoweit auf den Boden eines derartigen Vertrages gestellt werden. Nach meinem bisherigen Eindruck hat wohl derzeit kein Dienstleister diese Thematik auf dem Schirm. Das Ergebnis eines Verstosses ab dann wird nur nur eine strafrechtliche Relevanz sein, sondern darüber hinaus ein datenschutzrechtlicher Verstoss, der spätestens mit der Datenschutzgrundverordnung zu erheblichen Bussgeldern führen wird.

Insgesamt ist zu sehen, dass man sich mit seiner Infrastruktur als Berufsgeheimnisträger auf die Änderungen schon jetzt einstellen sollte. Mit Dienstleistern ist sich frühzeitig als Rechtsanwalt – aus meiner Sicht aber als jeglicher Berufsgeheimnisträger – um eine ausreichende vertragliche Regelung und ein eigenes Compliance-Regelwerk zu bemühen.