Unternehmen, die als externe Dienstleister personenbezogene Daten von Berufsgeheimnisträgern wie z.B: Ärzten und Rechtsanwälten übertragen oder zugänglich gemacht erhalten, verkennen oft die mögliche eigene Strafbarkeit im Zusammenhang mit der nicht legitimierten Datenverarbeitung.
Der Inhalt im Überblick
Berufliche Schweigepflicht
Bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte, Steuerberater etc. unterliegen bekanntlich einer beruflichen Schweigepflicht. Werden von diesen externe Dienstleiter mit typischen Outsourcing-Maßnahmen wie z.B. Wartung und Pflege von Unternehmenshard- und -software beauftragt, hat dies meist zur Folge, dass nicht ausgeschlossen werden kann, dass der beauftragte Dienstleister Zugriff auf Daten erhält, die gerade der beruflichen Schweigepflicht unterliegen.
Wie immer gilt: Rechtsgrundlage oder Einwilligung
Erhält ein Dienstleiter tatsächlich Zugriff auf solche Daten, stellt dies für den Berufsgeheimnisträger eine Offenbarung dar, die soweit sie unbefugt erfolgt, gemäß § 203 des Strafgesetzbuches strafbar ist. Eine Befugnis zur Offenbarung kann sich entweder aus einer gesetzlichen Grundlage oder aus der Einwilligung der betroffene Person ergeben.
In der typischen Konstellation der Beauftragung eines externen IT-Unternehmens zur Wartung und Pflege von Unternehmenshard- und -software wird in der Regel keine der genannten Legitimationsmöglichkeiten gegeben sein.
Strafbarkeit des Dienstleisters
Auch wenn in der hiesigen Konstellation der Dienstleister selbst nicht der beruflichen Schweigepflicht unterliegt, kann er sich dennoch wegen Teilnahme (Anstiftung oder Beihilfe) an der Verletzung von Privatgeheimnissen nach § 203 StGB strafbar machen. Das ist dann der Fall, wenn der zugrunde liegende Vertrag zwischen einem Berufsgeheimnisträger und einem Dienstleister auf eine Offenbarung durch den Berufsgeheimnisträger ausgerichtet ist.
Diesem Vorwurf wird sich der Dienstleister ausgesetzt sehen, wenn er zumindest billigend in Kauf nimmt, dass der Berufsgeheimnisträger unzulässig Berufsgeheimnisse offenbart und der Dienstleister in Kenntnis dessen keine Maßnahmen trifft, einer solchen unbefugten Offenbarung entgegen zu wirken und die rechtswidrige Haupttat vorsätzlich fördert. Dies gilt im Übrigen unabhängig davon, ob die Dienstleistung weisungsgebunden oder weisungsfrei erbracht wird. Beispielhaft hierfür sind Cloud-Dienste, welche sich explizit an Berufsgeheimnisträger richten.
Fazit
Im Ergebnis bleibt zu empfehlen, dass Dienstleister, die für Berufsgeheimnisträger tätig werden und hierbei Zugriff auf Daten haben, die der beruflichen Schweigepflicht unterliegen, in ihren Vertragsbedingungen regeln, dass der Berufsgeheimnisträger gewährleisten muss, dass möglicherweise betroffene Personen ausdrücklich die Einwilligung in die Datenverarbeitung durch den Dienstleister erklärt haben.
Unabhängig davon sollte der Berufsgeheimnisträger dazu angehalten werden – oder besser noch von sich aus dafür Sorge tragen – dass sensible Daten gegen einen Zugriff durch Dritte geschützt sind. In diesem Zusammenhang bietet sich u.a. eine Verschlüsselung der Daten an, so dass gar nicht erst die Möglichkeit eines Zugriffs durch Dritte besteht. Eine sichere Verschlüsselung von sensiblen Daten kann damit zugleich einen möglichen Datenverlust verhindern.
Oh weia, da werden sich ein paar Dienstleister am umschauen…vor allem wenn ich mir die ganzen gebrauchten Festplatten bei ebay anschaue…
Beispiel Arzt-Praxis: Sollte nach dieser Meinung jeder Patient nun eine Einwilligung demnach abgeben, ob eine EDV-Wartungsfirma XY die Patientendaten einsehen könnte? Wobei es solche Fernwartungs-Dienstleister mehrere gibt (EDV-, Ultraschal-, Endoskopie-, CT-, Mr-, Röntgen-, Lufo-, Audio-Geräte usw).
Ist nicht gerade deswegen der AVV das Tool, den Betroffenem gerade nicht fragen zu müssen und ihn zu verunsichern? Der Dienstleister wird im AVV auf §203 verpflichtet.
Kann dieses unzulässiges Offenbaren des Auftraggebers und mögliche Folgen für den Auftragnehmer nicht im AVV geregelt werden? Sollte gemäß Ihrer Ausführung nicht Focus auf die richtige AVV-Formulierung wert gelegen werden, als Verunsicherung bei den Betroffenen zu betreiben?
Bitte beachten Sie bei dem Inhalt das Datum des Beitrags. Die beschriebene Regelungslücke für Dienstleister von Berufsgeheimnisträgern wurde mittlerweile vom Gesetzgeber geschlossen. Näheres dazu finden Sie in unserem Beitrag Mehr Rechtssicherheit für Berufsgeheimnisträger bei Auftragsverarbeitung. Zudem empfehlen wir unseren aktuellen Beitrag zum Umfang, Berufsgruppen & Besonderheiten des § 203 StGB, den Sie hier finden können.