Berufliche Schweigepflicht – strafrechtliche Konsequenzen für Dienstleister

| 4 Kommentare | Von Dr. Datenschutz
Fachbeitrag

Unternehmen, die als externe Dienstleister personenbezogene Daten von Berufsgeheimnisträgern wie z.B: Ärzten und Rechtsanwälten übertragen oder zugänglich gemacht erhalten, verkennen oft die mögliche eigene Strafbarkeit im Zusammenhang mit der nicht legitimierten Datenverarbeitung.

Berufliche Schweigepflicht

Bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte, Steuerberater etc. unterliegen bekanntlich einer beruflichen Schweigepflicht. Werden von diesen externe Dienstleiter mit typischen Outsourcing-Maßnahmen wie z.B. Wartung und Pflege von Unternehmenshard- und -software beauftragt, hat dies meist zur Folge, dass nicht ausgeschlossen werden kann, dass der beauftragte Dienstleister Zugriff auf Daten erhält, die gerade der beruflichen Schweigepflicht unterliegen.

Wie immer gilt: Rechtsgrundlage oder Einwilligung

Erhält ein Dienstleiter tatsächlich Zugriff auf solche Daten, stellt dies für den Berufsgeheimnisträger eine Offenbarung dar, die soweit sie unbefugt erfolgt, gemäß § 203 des Strafgesetzbuches strafbar ist. Eine Befugnis zur Offenbarung kann sich entweder aus einer gesetzlichen Grundlage oder aus der Einwilligung der betroffene Person ergeben.

In der typischen Konstellation der Beauftragung eines externen IT-Unternehmens zur Wartung und Pflege von Unternehmenshard- und -software wird in der Regel keine der genannten Legitimationsmöglichkeiten gegeben sein.

Strafbarkeit des Dienstleisters

Auch wenn in der hiesigen Konstellation der Dienstleister selbst nicht der beruflichen Schweigepflicht unterliegt, kann er sich dennoch wegen Teilnahme (Anstiftung oder Beihilfe) an der Verletzung von Privatgeheimnissen nach § 203 StGB strafbar machen. Das ist dann der Fall, wenn der zugrunde liegende Vertrag zwischen einem Berufsgeheimnisträger und einem Dienstleister auf eine Offenbarung durch den Berufsgeheimnisträger ausgerichtet ist.

Diesem Vorwurf wird sich der Dienstleister ausgesetzt sehen, wenn er zumindest billigend in Kauf nimmt, dass der Berufsgeheimnisträger unzulässig Berufsgeheimnisse offenbart und der Dienstleister in Kenntnis dessen keine Maßnahmen trifft, einer solchen unbefugten Offenbarung entgegen zu wirken und die rechtswidrige Haupttat vorsätzlich fördert. Dies gilt im Übrigen unabhängig davon, ob die Dienstleistung weisungsgebunden oder weisungsfrei erbracht wird. Beispielhaft hierfür sind Cloud-Dienste, welche sich explizit an Berufsgeheimnisträger richten.

Fazit

Im Ergebnis bleibt zu empfehlen, dass Dienstleister, die für Berufsgeheimnisträger tätig werden und hierbei Zugriff auf Daten haben, die der beruflichen Schweigepflicht unterliegen, in ihren Vertragsbedingungen regeln, dass der Berufsgeheimnisträger gewährleisten muss, dass möglicherweise betroffene Personen ausdrücklich die Einwilligung in die Datenverarbeitung durch den Dienstleister erklärt haben.

Unabhängig davon sollte der Berufsgeheimnisträger dazu angehalten werden – oder besser noch von sich aus dafür Sorge tragen – dass sensible Daten gegen einen Zugriff durch Dritte geschützt sind. In diesem Zusammenhang bietet sich u.a. eine Verschlüsselung der Daten an, so dass gar nicht erst die Möglichkeit eines Zugriffs durch Dritte besteht. Eine sichere Verschlüsselung von sensiblen Daten kann damit zugleich einen möglichen Datenverlust verhindern.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2023.

Über den Autor

Dr. Datenschutz
Dr. Datenschutz

Der Beitrag wurde von Dr. Datenschutz geschrieben. Unsere Mitarbeiter, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym. mehr →

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Weitere Beiträge

Schweigepflicht: Umfang, Berufsgruppen & Besonderheiten des § 2 (...)
Was muss man bei der Wahl von Cloud-Dienstleistern beachten?
Welche E-Mail-Adresse ist für die berufliche Apple-ID ratsam?
OLG München zur DSGVO: Berechtigtes Interesse ist weit zu interpretieren
Gehackt?! Was die IT-Forensik im Ernstfall leisten kann
DSGVO: Mit diesen 5 Schritten sind Unternehmen optimal vorbereitet

4 Kommentare zu diesem Beitrag

  1. Oh weia, da werden sich ein paar Dienstleister am umschauen…vor allem wenn ich mir die ganzen gebrauchten Festplatten bei ebay anschaue…

  2. Pingback: Wochenspiegel für die 36. KW, das war der Megadildo, der Doppelgänger vor Gericht und ein Kurzplädoyer der StA - JURION Strafrecht Blog

  3. Beispiel Arzt-Praxis: Sollte nach dieser Meinung jeder Patient nun eine Einwilligung demnach abgeben, ob eine EDV-Wartungsfirma XY die Patientendaten einsehen könnte? Wobei es solche Fernwartungs-Dienstleister mehrere gibt (EDV-, Ultraschal-, Endoskopie-, CT-, Mr-, Röntgen-, Lufo-, Audio-Geräte usw).
    Ist nicht gerade deswegen der AVV das Tool, den Betroffenem gerade nicht fragen zu müssen und ihn zu verunsichern? Der Dienstleister wird im AVV auf §203 verpflichtet.
    Kann dieses unzulässiges Offenbaren des Auftraggebers und mögliche Folgen für den Auftragnehmer nicht im AVV geregelt werden? Sollte gemäß Ihrer Ausführung nicht Focus auf die richtige AVV-Formulierung wert gelegen werden, als Verunsicherung bei den Betroffenen zu betreiben?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.