Keine AV-Pflicht bei Berufsgeheimnisträgern
Wer ist Berufsgeheimnisträger?
Das Berufsgeheimnis bezeichnet das Recht oder die Pflicht, unter anderem von Ärzten, Apothekern, Rechtsanwälten, Wirtschaftsprüfern (WP), vereidigten Buchprüfern oder Steuerberatern und Ihren Gehilfen, ein ihnen bei der Ausübung ihres Berufes anvertrautes oder ihnen sonst bekannt gewordenes fremdes, zum persönlichen Lebensbereich gehörendes oder Betriebs- oder Geschäftsgeheimnis, nicht zu offenbaren, auch nicht gegenüber staatlichen oder sonstigen Vertretern berechtigter Interessen. Eine abschließende Aufzählung der Berufsgeheimnisträger ist in § 203 StGB zu finden.
Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
- Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
- Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
- Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
- Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
- Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
- staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
- Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.
DSGVO-Pflichten eines Berufsgeheimnisträgers
Die Pflicht eines Berufsgeheimnisträgers ist es, die ihm im Rahmen seiner Tätigkeit anvertrauten Daten besonders zu schützen. Durch Erwägungsgrund 75 der DSGVO wird nochmals verdeutlicht, welche besonderen Risiken für die Rechte und Freiheiten von Personen bestehen, wenn personenbezogene Daten verarbeitet werden. Dies ist vor allem dann gegeben, wenn die Verarbeitung zu einem Schaden führen kann, unabhängig ob der der Schaden materieller, immaterieller oder physischer Natur sind. Ein Risiko kann ebenfalls bestehen, wenn die Verarbeitung zu einer Diskriminierung, einer Rufschädigung, einem Diebstahl der Identität oder einem finanziellen Verlust führt. In diesen Fällen sind an die Sicherheit der Verarbeitung besondere Anforderungen zu stellen. Ein Bespiel hierfür sind die Datenverarbeitungen in Anwaltskanzleien. Es werden Daten verarbeitet, welche bei einem Missbrauch zu einem erheblichen geschäftlichen Nachteil für einen Mandaten führen können.
Liegt eine Auftragsverarbeitung bei einem Berufsgeheimnisträger vor?
Auftragsverarbeiter ist gemäß Artikel 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das Konstrukt der Auftragsverarbeitung erleichtert in rechtlicher Hinsicht das „Outsourcing“ technischer Verarbeitungsvorgänge.
Eine Auftragsverarbeitung liegt i.d.R. dann vor, wenn die Datenverarbeitung durch den Auftragnehmer nicht eigenen Zwecken, sondern überwiegend den Zwecken des Auftraggebers dient und kein eigenes, fachlich-inhaltliches Interesse des Auftragsverarbeiters an der Verarbeitung vorliegt. I.d.R. betrifft eine Auftragsverarbeitung deshalb lediglich die technische Unterstützung bei einer Datenverarbeitung und keine eigenständige fachliche Leistung. Der Auftraggeber bestimmt Umfang und Art der Verarbeitung und der Auftragsverarbeiter erbringt für diesen mit der Dienstleistung lediglich eine technische Hilfs- und Unterstützungsfunktion und unterliegt dabei den Weisungen des Auftraggebers.
Bei den Trägern eines Berufsgeheimnisses liegt im Regelfall keine Auftragsverarbeitung vor, da eine fremde Fachleistung in Anspruch genommen wird und das Handeln des Berufsgeheimnisträger eigenständig und weisungsungebunden ist.
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines
• Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstituts für den Geldtransfer,
• Postdienstes für den Brieftransport,
und vieles mehr.“
Im Hinblick auf die grundsätzliche Weisungsungebundenheit einiger Berufsgruppen wirkt § 11 II i.V.m. § 3 StBerG klarstellend:
„Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Art. 4 Nr.7 DS-GVO.“ (§ 11 II StBerG)
„Zur geschäftsmäßigen Hilfeleistung in Steuersachen sind befugt:
- Steuerberater, Steuerbevollmächtigte, Rechtsanwälte, niedergelassene europäische Rechtsanwälte, Wirtschaftsprüfer und vereidigte Buchprüfer,
- Partnerschaftsgesellschaften, deren Partner ausschließlich die in Nummer 1 genannten Personen sind,
- Steuerberatungsgesellschaften, Rechtsanwaltsgesellschaften, Wirtschaftsprüfergesellschaften und Buchprüfungsgesellschaften“ (§ 3 StBerG).
Ergänzend lässt sich bezüglich der Rolle des Rechtsanwalts § 1 I BRAO anführen:
„Der Rechtsanwalt ist ein unabhängiges Organ der Rechtspflege“. Er ist gemäß § 3 I BRAO „der berufene unabhängige Vertreter in allen Rechtangelegenheiten“.
§ 203 I StGB: Strafbarkeit bei Offenbarung
Berufsgeheimnisträger können sich gem. § 203 Abs. 1 StGB strafbar machen, wenn ein fremdes Geheimnis, welches ihm in seiner dem Berufsgeheimnis unterliegenden Stellung anvertraut oder sonst bekannt geworden ist, unbefugt offenbart wird.
Hintergrund dieser Regelung ist, dass der Berufsgeheimnisträger nur in sehr beschränktem Umfang Daten, die einem Berufsgeheimnis unterliegen, an weitere Personen weitergeben bzw. „offenbaren“ soll.
„Geheimnis“ ist eine Tatsache, die nur einem Einzelnen oder einem beschränkten Kreis von Personen bekannt oder zugänglich sind, an deren Geheimhaltung der Betroffene ein berechtigtes Interesse hat und die nach seinem Willen geheim gehalten werden soll. „Offenbaren“ heißt, dass dem Empfänger der Erklärung ein Wissen vermittelt wird, welches diesem noch verborgen ist oder von dem dieser noch keine sichere Kenntnis hat.
Fraglich ist, ob für eine Strafbarkeit Dritte tatsächlich Kenntnis des Geheimnisses erlangen müssen oder die reine Möglichkeit der Kenntnisnahme ausreichend ist. Einerseits wird vorgebracht, etwa das bloße Herumliegenlassen von Geheimnissen beinhaltenden Dokumenten genüge auch dann nicht, wenn für Unbefugte die Möglichkeit der Einsichtnahme bestehe. Ohne tatsächliche Kenntnisnahme sei das Rechtsgut nur gefährdet, nicht aber verletzt[1].Gegen diese Argumentation spricht jedoch schwerwiegend, dass laut Gesetzesbegründung nach dem Willen des Gesetzgebers ein „Offenbaren“ im Sinne der Norm ausdrücklich auch dann bereits gegeben ist, wenn die Möglichkeit der Kenntnisnahme von Geheimnissen besteht, ohne dass es auf eine tatsächliche Kenntnisnahme ankäme[2].
Gemäß § 203 III S.1 StGB liegt kein „Offenbaren“ vor, wenn Berufsgeheimnisträger Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. „Gehilfe“ in diesem Sinne ist, wer eine auf die berufliche Tätigkeit des Schweigepflichtigen bezogene Unterstützung ausübt, die die Kenntnis fremder Geheimnisse mit sich bringt oder ohne Überwindung besonderer Hindernisse ermöglicht. Aufgrund des Wortlauts, der eine „berufsmäßige“ Tätigkeit verlangt, kann davon ausgegangen werden, dass ehrenamtliche oder nur gelegentlich geleistete Unterstützung, etwa durch Familienmitglieder, nicht ausreicht. Dies ist zwar nicht unumstritten, zur Sicherheit empfiehlt es sich aber, solange die Frage nicht höchstrichterlich geklärt wurde, von der restriktiveren Deutung auszugehen. Gehilfen eines Rechtsanwalts sind somit juristische Mitarbeiter, das sonstige Büropersonal sowie gegebenenfalls externe Dritte und Sachverständige. Gehilfen eines Arztes sind etwa einbezogene Psychologen, Krankenschwestern, Assistenten und Sprechstundenhilfen.
Letztlich sei noch auf die folgenden BGH-Entscheidungen hingewiesen:
- Eine Bestimmung in einem Kanzleiübernahmevertrag, die den Veräußerer ohne Einwilligung der betroffenen Mandanten verpflichtet, seine Akten dem Erwerber zu überlassen, ist gemäß § 134 BGB (Verstoß gegen ein gesetzliches Verbot) wegen eines Verstoßes gegen § 203 I Nr.3 StGB nichtig (BGH, Urteil vom 17.05.1995 – VIII ZR 94/94).
- Eine Datenschutzbehörde darf Datenschutzverstöße einer öffentlichen Stelle (Amtsträger als Geheimnisträger gemäß § 203 II StGB) veröffentlichen, wenn er damit auch auf ein künftig gesetzmäßiges Verhalten hinwirkt (BGH, Urteil vom 9.12.2002 – 5 StrR 276/02).
Verhältnis der Auftragsverarbeitung zu Berufsgeheimnissen
§ 203 StGB regelt die strafrechtliche Behandlung von Verstößen gegen das Berufsgeheimnis.
1. Alte Rechtslage
Für Berufsgeheimnisträger war bei dem Abschluss von Auftragsverarbeitungsverträgen besondere Vorsicht geboten. So musste für rechtmäßige Verarbeitung von personenbezogenen Daten nicht nur ein Vertrag mit dem Auftragsverarbeiter geschlossen werden, sondern auch von jeder betroffenen Person das Einverständnis eingeholt werden und der Berufsgeheimnisträger musste dadurch von seiner Schweigepflicht entbunden werden.
Eine ausdrückliche Einwilligung bzw. Entbindung von der Schweigepflicht durch alle Betroffenen wäre allerdings wenig praktikabel: Zum einen kann sich die Identität des Dienstleisters ändern. Zum anderen würde dem Mandanten, sollte er seine Einwilligung verweigern, ein mittelbares Mitbestimmungsrecht in die interne Organisation der eigenen Arbeitsabläufe eingeräumt. Diese Gesetzeslücke wurde nach alter Rechtslage zu schließen versucht, indem man unterstellte, dass der Mandant oder Patient stillschweigend in die Offenlegung der Daten durch den Berufsgeheimnisträger eingewilligt habe
2. Rechtslage seit dem 30.10.2017
Ob die Weitergabe entsprechender Geheimnisse im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO ein „Offenbaren“ i. S. d. § 203 Abs. 1 StGB darstellt, war lange Zeit umstritten. In Wesentlich ging es um die Frage, ob der Auftragnehmer einer Auftragsverarbeitung im Verhältnis zum Berufsgeheimnisträger als „Gehilfe“ i. S. d. § 203 Abs. 3 Satz 2 StGB aF anzusehen ist.
Durch das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen vom 30.10.2017 wurde § 203 StGB, welcher die Folgen eines Verstoßes gegen das Berufsgeheimnis regelt, überarbeitet. Zwar hat sich der Gesetzgeber in der Gesetzesbegründung dafür ausgesprochen, dass selbstständig Tätige oder in den Betrieb eines Dritten eingebundene externe Personen regelmäßig keine Gehilfen i. S. d. § 203 Abs. 3 Satz 1 StGB sind.
Gleichwohl hat er das enorme praktische Bedürfnis für die Auslagerung, insbesondere routinemäßig anfallender Tätigkeiten, erkannt, und im Zuge dessen die Kategorie der „sonstigen mitwirkenden Person“ geschaffen, § 203 Abs. 3 Satz 2 StGB. Gegenüber diesen dürfen Berufsgeheimnisträger unter den Voraussetzungen des § 203 Abs. 3 Satz 2 HS. 1 StGB fremde Geheimnisse straflos offenbaren. „Sonstige mitwirkende Person“ ist, wer – etwa aufgrund eines Vertragsverhältnisses – an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirkt, ohne notwendigerweise in dessen Sphäre eingegliedert zu sein. Als mitwirkende Tätigkeiten wird in der Gesetzesbegründung beispielhaft unter anderem die Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherung von Daten (Cloud Computing) genannt.
Nach der aktuellen Rechtslage ist es Berufsgeheimnisträgern möglich, ihrerseits als Verantwortliche mit Auftragsverarbeitern zusammen zu arbeiten, ohne sich gem. § 203 StGB strafbar zu machen. Dies ist möglich, wenn der Berufsgeheimnisträger einer mitwirkenden Person ein Geheimnis zwar offenbart, aber vor der Offenbarung zur Geheimhaltung verpflichtet hat. Zudem muss von dem zur Geheimhaltung Verpflichteten dafür Sorge getragen werden, dass beim Einsatz von Unterauftragnehmern auch diese zur Geheimhaltung verpflichtet werden. Passiert dies nicht, ist das Unterlassen der Verpflichtung bereits strafbar.
In Verbindung mit der Neufassung des § 203 StGB wurde auch das jeweilige Berufsrecht damit in Einklang gebracht. So regelt seit dem § 43e I BRAO: Der Rechtsanwalt darf Dienstleistern den Zugang zu Tatsachen eröffnen, auf die sich seine Verpflichtung zur Verschwiegenheit bezieht, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist“. Zu beachten bleibt, dass nach § 43e V BRAO eine Einwilligung des Mandanten erforderlich bleibt, wenn die in Anspruch genommene Dienstleistung unmittelbar einem einzelnen Mandat dient.
Mit § 43e BRAO vergleichbare Regelungen finden sich in § 26a BnotO, § 62a StBerG und § 50a WPO.
Beispiele und Abgrenzungsfragen
Muss für die Zusammenarbeit zwischen einem Labor und einem Arzt ein Auftragsverarbeitungsvertrag geschlossen werden?
Bei der Zusammenarbeit zwischen einem Labor und dem behandelnden Arzt liegt keine Auftragsverarbeitung vor. Das Labor ist in der Pflicht die Vorgänge zu dokumentieren und aufzubewahren. Der Grund hierfür ist, dass der Arzt die Tätigkeit des Labors nur in einer gewissen Weise steuert aber das Labor eigenständig tätig ist. In diesem Fall liegt keine Auftragsverarbeitung, sondern eine Mitbehandlung, vor.
Klinische Studien erfordern keine AVV
Weitere Szenarien, die von der Auftragsdatenverarbeitungsvereinbarung befreit sind, sind groß angelegte klinische Arzneimittelstudien, die von mehreren Mitwirkenden organisiert und durchgeführt werden. Hier haben oft mehrere Einflussnehmer Zugriff auf die erhobenen Daten, die für jeweils unterschiedliche Zwecke verwendet werden können. So entscheiden zum Beispiel Sponsoren, Studienzentren und Ärzte in ihren Teilbereichen über die Verarbeitung der erhobenen Daten.
Externe Betriebsärzte als Dienstleister
Der Betriebsarzt ist wie jeder andere Arzt als Berufsgeheimnisträger an die ärztliche Schweigepflicht gebunden. Dies bedeute, dass der Betriebsarzt von dem Auftraggeber nicht kontrolliert werden kann und an keine Weisungen gebunden werden kann. Des Weiteren tritt der Betriebsarzt mit den Patienten persönlich in Kontakt und kann die benötigten personenbezogene Daten für die Behandlung bei dem Patienten selbst erheben.
Kann der Wirtschaftsprüfer Auftragsverarbeiter sein?
Ein Wirtschaftsprüfer kann zum Auftragsverarbeiter werden. Grundsätzlich ist dies aufgrund des weisungsungebundenen Handels des Wirtschaftsprüfers jedoch nicht der Fall. Werden die Daten durch eine Tätigkeit des Wirtschaftsprüfers, welche in § 2 WPO genannt wird, verarbeitet, muss hierfür die Erlaubnis der betroffenen Person eingeholt werden. Dadurch muss kein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Der Wirtschaftsprüfer handelt weisungsungebunden und in eigner Verantwortung dem Mandanten gegenüber. Zu diesen Tätigkeiten, welche in § 2 WPO genannt sind, gehören beispielsweise die Beratung zur Ausgestaltung von Unternehmensprozessen, Unterstützung der internen Revision, Unterstützung des internen Risikomanagements und Projektmanagement.
Ein Auftragsverarbeitungsvertrag muss mit einem Wirtschaftsprüfer ausnahmsweise dann abgeschlossen werden, wenn die Tätigkeit des Wirtschaftsprüfers darin besteht, eine technische Plattform zur Verfügung zu stellen. Dies ist beispielsweise der Fall, wenn der Wirtschaftsprüfer damit beauftragt wird, im Rahmen von Forensic-Aufträgen eine Plattform zur Analyse von E-Mails, welche der Leistungserbringung vom Mandanten und den beauftragten Anwälten dient, bereitzustellen.