Genügt die Neufassung von § 203 StGB den Herausforderungen im Outsourcing von IT-Services und anderen Geschäftsprozessen durch Geheimnisträger?
„Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als (Angehöriger einer in § 203 Abs.1 StGB genannten Berufsgruppe, wie zum Beispiel Ärzte oder Rechtsanwälte) anvertraut oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“
Die bisherige Rechtslage:
Die Welt ist zunehmend digitalisiert. Die Nutzung von EDV-Diensten ist die Praxis. Vielfach ist zur Bewältigung des digitalisierten Arbeitsalltags auch die Beauftragung von externen Sachverständigen notwendig. Zum Beispiel zur Systemwartung, zur Fehlerbehebung oder zur Implementierung neuer Software. Teilweise ist die Nutzung technischer Dienste auch nicht nur notwendiger Standard, sondern zudem auch rechtlich verpflichtend. Wie zum Beispiel die passive Nutzungspflicht des besonderen elektronischen Anwaltspostfachs ab dem 01.01.2018 nach § 31a VI BRAO oder das elektronische Mahnverfahren (§ 690 ZPO Abs. 3 i.d. F. ab 1.12.2008, BGBl. I. S. 3416,2006, geändert BGBl. I. S. 2840, 2007).
Aber § 203 StGB regelte bislang, dass sich ein Berufsgeheimnisträger im Sinne von § 203 Abs.1 StGB strafbar macht, wenn er ein Betriebs- oder Geschäftsgeheimnis unbefugt offenbart. Nach einer Definition des Bundesverfassungsgerichts werden
„Als Betriebs- und Geschäftsgeheimnisse (…) alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat. Betriebsgeheimnisse umfassen im Wesentlichen technisches Wissen im weitesten Sinne; Geschäftsgeheimnisse betreffen vornehmlich kaufmännisches Wissen. Zu derartigen Geheimnissen werden etwa Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonstige Entwicklungs- und Forschungsprojekte gezählt, durch welche die wirtschaftlichen Verhältnisse eines Betriebs maßgeblich bestimmt werden können.“
Nur Offenbarungen solcher Geheimnisse an berufsmäßig tätige Gehilfen und an zur Vorbereitung auf den Beruf Tätige im Sinne des § 203 Abs.3 S.2 StGB waren bislang zulässig, denn dieser Personenkreis unterliegt ebenfalls einer Schweigepflicht. Aber wer ist berufsmäßig tätiger Gehilfe? Auch ein IT-Dienstleister, der mit der Auftragsdatenvereinbarung im Sinne des (noch geltenden) § 11 BDSG tätig wird? Gehilfen im Sinne des Gesetzes waren jedenfalls Personen, die in die Organisation der fraglichen Berufspraxis selbst in irgendeiner Weise eingebunden waren. Ob auch externe Personen, die selbständig tätig oder in den Betrieb eines Dritten eingebunden waren, Gehilfen sein konnten, war umstritten.
Schwierig, wenn die Rechtslage unklar ist und dann Arbeiten mit technischen Diensten notwendig werden. Wenn zumindest die Gefahr besteht, dass ein Externer während der Verrichtung seiner Tätigkeit (unbefugt) mit sensiblen Daten in Kontakt kommt. Noch schwieriger, wenn dieses Risiko sich bewahrheitet und Inhaber sensibler Daten strafrechtliche Konsequenzen fürchten müssen.
Und jetzt?
Bislang musste man sich mit vertraglichen Verschwiegenheitsabsprachen behelfen oder der Berechtigte musste in die Datenweitergabe ausdrücklich einwilligen, sofern dies bei alten Datenbeständen überhaupt möglich war. Problematisch waren zudem all die Fälle, in denen die Einwilligung entweder schon nicht erteilt oder widerrufen wurde. Die Beteiligten wurden infolge dieser Behelfslösungen mit einem mulmigen Gefühl zurückgelassen. Oder aber man verzichtete wann immer möglich auf die Beauftragung Externer. Auch nicht befriedigend.
Rundum, es bedürfte einer Neuanpassung der Gesetzeslage, um auch Berufsgeheimnisträgern die Zusammenarbeit mit externen Dritten zu ermöglichen.
Die Neuregelung:
Eine solche Neuregelung wurde nunmehr am 30.06.2017 verabschiedet (BT-Drs.18/12940). Der Bundesrat hat am 22.09.2017 das Gesetz gebilligt. Damit ist das Outsourcing von technischen Unterstützungsleistungen zukünftig möglich. Auch andere organisatorische Bürotätigkeiten werden von der Neuregelung erfasst, wobei der Fokus auf IT-Outsourcing liegt.
In der Neufassung des Gesetzes wird der bisherige Absatz 3, der die Weitergabe von Geheimnissen an berufsmäßig tätige Gehilfen betraf, durch einen neuen Absatz 3 ersetzt und zudem durch einen neuen Absatz 4 ergänzt.
Hier heißt es nun:
„(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.
(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Beauftragter für den Datenschutz bekannt geworden ist. Ebenso wird bestraft, wer 1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, 2. als im Absatz 3 genannte mitwirkende Person sich einer weiteren mitwirkenden Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, bedient und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, oder 3. nach dem Tod der nach Satz 1 oder nach den Absätzen 1 oder 2 verpflichteten Person ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder aus dessen Nachlass erlangt hat.“
Zugleich werden mit der Neufassung des StGB entsprechende Befugnisnormen in der Bundesrechtsanwaltsordnung (BRAO), der Bundesrechtsnotarordnung (BnotO), der Patentanwaltsordnung (PAO), des Steuerberatergesetzes (StBerG) und der Wirtschaftsprüferordnung (WPO) geschaffen. Damit ist der Einklang von Strafrecht und Berufsrecht gewährleistet. Weitere Gesetzesanpassungen – zum Beispiel im medizinischen Bereich – sind durch die Länder vorzunehmen, soweit die Gesetzgebungskompetenz nicht beim Bund liegt.
Und was bedeutet diese Neuregelung im Einzelnen für die Praxis – insbesondere für IT-Dienstleistungen?
Schon lange allgemeine Meinung, jetzt gesetzlich verankert ist zunächst, dass schon kein Offenbaren von Geheimnissen im Verhältnis zu den berufsmäßig tätigen Gehilfen oder bei dem Geheimnisträger zur Vorbereitung auf den Beruf tätigen Personen vorliegt. Diese gehören zum Kreis der zum Wissen Berufenen. Umfasst sind allerdings ausschließlich in den Geschäfts- oder Behördenbetrieb eingebundene Personen des Berufsgeheimnisträgers.
Ferner wird die Gruppe der berufsmäßig tätigen Gehilfen durch den Begriff „mitwirkende Person“ erweitert. Und Offenbarungen an diese Personen, die nicht organisatorisch in das Unternehmen eingebunden sind, werden nach der Neufassung des § 203 StGB nicht bestraft, wenn sie für die ordnungsgemäße Ausübung der Tätigkeit dieser Personen erforderlich sind. Der Geheimnisträger muss allerdings dafür Sorge tragen, dass die konkret mitwirkende Person zur Geheimhaltung verpflichtet wird.
Das heißt für die Praxis:
Folgende Tatbestandsvoraussetzungen müssen kumuliert erfüllt sein, damit sich ein Berufsgeheimnisträger nach neuem Recht strafbar macht:
- Ein Berufsgeheimnisträger zieht eine dritte Person zur Mitwirkung an seiner Berufsausübung hinzu. Diese mitwirkende Person erlangt bei der ordnungsgemäßen Ausübung ihrer Tätigkeit Kenntnis von geschützten Geheimnissen,
- und unterlässt es, dafür zu sorgen, dass die erforderliche Verpflichtung zur Verschwiegenheit erfolgt. Die Verpflichtung zur Verschwiegenheit kann durch eigene Verpflichtung zur Geheimhaltung erfolgen oder durch Übertragung der Verpflichtung auf einen Dritten, und
- die mitwirkende Person offenbart ihrerseits vorsätzlich unbefugt das ihr offenbarte Geheimnis.
Die mitwirkenden Personen unterliegen allerdings nach § 203 Abs. 4 S. 1 einer eigenständigen Schweigepflicht und machen sich in Konsequenz nach § 203 Abs.4 StGB auch strafbar, wenn sie unbefugt ein ihr anvertrautes Geheimnis offenbaren. Unbefugt heißt in diesem Zusammenhang, dass die Offenbarung weder mit Zustimmung des Verfügungsberechtigten noch mittels sonstiger Berechtigung zur Mitteilung erfolgt. Bei einem Verstoß droht eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe, so dass es sich nach der strafrechtlichen Einordnung von § 12 StGB um ein Vergehen handelt.
Zu den einzelnen Tatbestandsmerkmalen:
(1) Wer ist mitwirkende Person und welche Tätigkeiten dürfen ausgelagert werden?
In der Begründung zu § 203 Abs. 3 StGB-E heißt es hierzu: „Eine Mitwirkung an der beruflichen Tätigkeit ist – insoweit deckt sich der Begriff des Gehilfen mit dem der mitwirkenden Person – nur dann gegeben, wenn die mitwirkende Person unmittelbar mit der beruflichen Tätigkeit der schweigepflichtigen Person, ihrer Vorbereitung, Durchführung, Auswertung und Verwaltung befasst ist.
Mitwirkende Personen werden in der Regel eine direkte vertragliche Beziehung mit dem Berufsgeheimnisträger haben. Es sind aber auch mehrstufige Mitwirkungsverhältnisse möglich, bei denen Subunternehmer an einer dienstlichen Tätigkeit beteiligt werden. Subunternehmer werden über § 203 Abs.3 S.2 2.HS StGB ebenfalls in den Kreis der mitwirkenden Personen einbezogen.
Welche Tätigkeiten ausgelagert werden können, ergibt sich ebenfalls aus der Gesetzesbegründung. Umfasst sind hier explizit auch IT-spezifische Arbeiten:
– Schreibarbeiten
– Rechnungswesen
– Annahme von Telefonanrufen
– Aktenvernichtung,
– Einrichtung, Betrieb, Wartung und Anpassung informationstechnischer Anlagen, Anwendungen und Systeme,
– Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherung von Daten,
– Mitwirkung an der Erfüllung von Buchführungs- und steuerrechtlichen Pflichten des Berufsgeheimnisträgers
Die Aufzählung ist allerdings nicht abschließend („insbesondere“), so dass auch andere Leistungen denkbar sind.
(2) Und was bedeutet Offenbaren?
Hinsichtlich des Begriffs des Offenbarens wurde keine Änderung an der Bedeutung des Tatbestandsmerkmals vorgenommen.
Ein Offenbaren kann vorliegen, wenn ein Geheimnis mitgeteilt oder veröffentlicht wurde. Möglich ist auch z.B. eine Einsichtgewährung oder eine mündliche Weitergabe. Gibt es keine Schutzmaßnahmen gegen unbefugten Datenzugriff, kann eine Offenbarung auch durch ein Unterlassen erfolgen. Ob ein Offenbaren nur dann vorliegt, wenn der Dritte tatsächlich Kenntnis von dem Geheimnis erlangt oder auch schon dann, wenn allein die Möglichkeit zur Kenntnisnahme besteht, wird diskutiert und ist nicht abschließend gerichtlich entschieden. Im Zweifel ist daher davon auszugehen, dass die bloße Möglichkeit der Kenntnisnahme ausreicht.
Nun ist die Möglichkeit der Kenntnisnahme ein weiter Begriff und wird gerade im IT Bereich regelmäßig zu bejahen sein, sobald der Berufsgeheimnisträger die Tätigkeit eines IT Spezialisten in Anspruch nimmt. Und genau hier ist schnell die Schwachstelle des neuen Gesetzes erreicht. Denn im Bereich der digitalen Kommunikation ist die Möglichkeit der Kenntnisnahme ohne weitere Spezifizierung ein ausufernd weites Feld. Regelmäßig spielen im IT-Leistungsbereich auch noch weitere sensible Themen eine Rolle, wie die IT-Sicherheit und das Datenschutzrecht, die durch die Unternehmen ebenfalls beachtet werden müssen. Werden Daten im Unternehmensbereich in eine Cloud geladen, um sie von hier aus weiter zu nutzen, kann in dieser Form der Datenspeicherung zugleich ein tatbestandliches Offenbaren gesehen werden.
Die Gesetzesbegründung führt zu diesem Thema gleichsam im Vorbeigehen aus:
„Für sämtliche in § 203 Absatz 1 StGB genannten Personen kann zudem die Speicherung von Daten auf externen informationstechnischen Anlagen (wie z. B. in einer „Cloud“) wirtschaftlich sinnvoll sein. Diese wirtschaftlichen Interessen von Berufsgeheimnisträgern sind grundsätzlich berechtigt, Voraussetzung ist allerdings, dass sie in Einklang gebracht werden können mit den berechtigten Interessen der Inhaber der Geheimnisse an deren rechtlichen Schutz.“
Geht man von einem weiten Verständnis des Begriffs „Offenbaren“ aus, führt dies im IT-Bereich dazu, dass Datenspeicherungen in einer Cloud fast immer das Tatbestandsmerkmal des Offenbarens erfüllen. Bedeutet also, dass die Daten entweder verschlüsselt gespeichert werden müssen oder es eine andere technische Sicherung gegen eine mögliche Kenntnisnahme geben muss. Damit bleiben all die Fälle problematisch, bei denen eine verschlüsselte Speicherung nicht möglich ist, wie zum Beispiel bei SAAS-Anwendungen (Software as a Service).
Fraglich bleibt, was mit der Nutzung von anderen technischen Systemen, etwa zur Übermittlung von Daten aussieht und deren Relevanz für die Möglichkeit der Kenntnisnahme. Zum Beispiel E-Mail-Systeme oder von Messenger-Diensten? Führt jede Nutzung zur tatbestandsrelevanten Möglichkeit der Kenntnisnahme gegenüber Dritten? Der Entwurf äußert sich dazu nicht.
Kommt man an dieser Stelle zu dem Ergebnis, dass tatsächlich jede Form der Datenspeicherung und Übermittlung zugleich die Möglichkeit der Kenntnisnahme beinhaltet und darin ein Offenbaren zu sehen ist, müsste jeder, der auch nur potentiell mit diesen Daten in Kontakt kommen kann, zur Verschwiegenheit verpflichtet werden, um eine Strafbarkeit auszuschließen.
(3) Ist die Offenbarung erforderlich?
Die Offenbarung der eigentlich geschützten Informationen muss erforderlich sein. Denn grundsätzlich gilt, dass nur der Berufsgeheimnisträger die ihm anvertrauten Geheimnisse kennen soll. Möchte er also Dienstleistungen von einer externen Person durchführen lassen, muss er dafür Sorge tragen, dass die Informationen weiterhin geschützt bleiben und nur im erforderlichen Ausmaß seine Sphäre verlassen. Der Berufsgeheimnisträger wird daher stets Schutzmaßnahmen gegen die Kenntnisnahme der Daten ergreifen müssen. Sei es die Verschlüsselung von Daten, das Schwärzen von Akteninhalten, das Verschließen von Akten, die Anonymisierung von Vorgängen durch die Nutzung von Pseudonymen.
Möchte zum Beispiel ein Rechtsanwalt seine IT-Anlage warten lassen, wird es aber kaum umgänglich sein, dass der IT-Spezialist Kenntnis von den dort gespeicherten Daten erlangen kann. Die Offenbarung ist in einem solchen Fall also erforderlich.
Die Grenze zwischen erforderlicher (und zumutbarer) Verschlüsselung hin zur notwendigen Offenbarung ist möglicherweise in dem ein oder anderen Fall fließend und wird praktisch zu Einschätzungsunsicherheiten führen.
(4) Folge: Verpflichtung zur Geheimhaltung
Erforderlich ist, dass der Geheimnisträger den (IT-)Dienstleister vertraglich zur Verschwiegenheit verpflichtet. Er muss ferner vertraglich sicherstellen, dass die Mitarbeiter des Dienstleisters sowie seine Nachunternehmer ebenfalls zur Verschwiegenheit verpflichtet werden. Die Verschwiegenheitserklärungen sollte er sich einreichen lassen. Um hier eine stringente Verpflichtungskette aufzubauen, kann in der Praxis mit Vertragsstrafen gearbeitet werden, die im Falle eines Verstoßes gegen diese Pflicht fällig werden.
Und sind jetzt alle Probleme gelöst?
Nein! Zwar ist die Ausdehnung des Gesetzes auf sonstige mitwirkende Personen ein begrüßenswerter (und notwendiger) Ansatz, um Berufsgeheimnisträger bei alltäglichen Dienstleistungen zu entlasten. Allerdings arbeitet auch das neue Gesetz mit unbestimmten Rechtsbegriffen, wie der Offenbarung und der Erforderlichkeit, die gerade im IT Bereich zu erneuten Unsicherheiten führen werden. Insofern wäre eine eindeutige gesetzliche Klärung wünschenswert gewesen. Gerade im Bereich der technischen Kommunikation und der Datenspeicherung ist eine Ausuferung des tatbestandsrelevanten Verhaltens zu befürchten.
Als auf das IT-Recht und den Datenschutz spezialisierte Kanzlei unterstützen wir Sie gerne bei allen Fragen rund um die Outsourcing-Prozesse ihres Unternehmens!
Hier finden Sie unsere Ansprechpartner!