Die Anwaltschaft ist nicht gerade für besonders innovative Arbeitsweise bekannt. Doch auch vor Anwältinnen und Anwälten macht die digitale Transformation nicht halt.
Gerade für Berufsgeheimnisträger sind der Digitalisierung Grenzen allerdings gesetzt. Noch bis vor wenigen Jahren war die Nutzung von Cloud-Produkten aufgrund der engen Vorgaben des Geheimnisschutzes und des anwaltlichen Berufsrechts praktisch kaum möglich. Seitdem hat der Gesetzgeber zwar reagiert. Viele wesentliche Fragen sind aber nach wie vor offen.
Dieser Beitrag ist ein Deep Dive in den Schutz von Privatgeheimnissen und das anwaltliche Berufsrecht. Wir haben ihn daher zur besseren Lesbarkeit in mehrere Teile aufgeteilt:
Der Schutz von Privatgeheimnissen im Überblick
Die Rechtsfragen in der Praxis
1. Erforderlichkeit der Offenbarung
2. Verpflichtung zur Geheimhaltung
3. Anforderungen an ausländische Dienstleister
4. Spezifische Anforderungen nach § 43e BRAO
5. Verhältnis zur DSGVO
Mandatsgeheimnisse sind nach § 203 Abs. 1 StGB strafrechtlich geschützt. Danach macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, welches ihm in seiner Funktion als Berufsgeheimnisträger1 anvertraut oder sonst bekanntgeworden ist:
„(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
[…]
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten […],
[…]
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“
Wer also etwa als Rechtsanwalt oder Rechtsanwältin unbefugt vertrauliche Informationen aus seiner Mandatsarbeit herausgibt, macht sich strafbar. Dies gilt zunächst auch für den Upload von Mandatsgeheimnissen zu Cloud-Providern, wenn diese Zugriff auf die Daten im Klartext erlangen.
Dieses Problem soll § 203 Abs. 3 StGB regeln:
„Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist“
Hiernach liegt dann kein strafrechtlich relevantes Offenbaren von Geheimnissen durch einen Berufsgeheimnisträger vor, wenn das Geheimnis gegenüber einer „sonstigen mitwirkenden Person“ offenbart wurde, soweit dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist.
Mit den sonstigen mitwirkenden Personen sind vor allem die externen Dienstleister gemeint, die weder aus ihrer eigenen beruflichen Stellung noch aus einer Gehilfenstellung heraus einer berufsrechtlichen Schweigepflicht unterliegen.2 Die Gesetzesbegründung nennt hierzu ausdrücklich die Bereitstellung, Betrieb und Wartung informationstechnischer Anlagen, Systeme und Anwendungen, insbesondere zur externen Speicherung von Daten als Beispiel – entsprechend ist auch Cloud-Computing von dem Erlaubnistatbestand umfasst sind.3 Als Pendant zu dieser Offenbarungsbefugnis erstreckt Abs. 4 S. 1 jedoch die Strafbarkeit auf die sonstigen mitwirkenden Personen, die ihrerseits ein an sie offenbartes Geheimnis weitergeben:
„(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Datenschutzbeauftragter bekannt geworden ist.“
Wer also als Cloud-Provider für einen Berufsgeheimnisträger geheime Informationen verarbeitet, macht sich ebenfalls strafbar, wenn er diese Geheimnisse unbefugt offenbart.
Nach Abs. 4 Nr. 1 macht sich außerdem auch der Berufsgeheimnisträger selbst strafbar, wenn dieser versäumt hat, die sonstige mitwirkende Person zur Geheimhaltung verpflichten und eine sonstige mitwirkende Person ein Geheimnis unbefugt offenbart:
„Ebenso wird bestraft, wer
1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,“
Die Strafbarkeit des Berufsgeheimnisträgers besteht also nur nachgelagert für den Fall, dass tatsächlich der Erfolg einer Geheimnisoffenbarung eintritt. Mit anderen Worten: Geht alles gut und die Geheimnisse werden vom Cloud-Provider nicht offenbart, bestehen keine weiteren Anforderungen für die Nutzung. Nur wenn tatsächlich ein Geheimnisverrat durch den Cloud-Provider erfolgt, macht sich der Berufsgeheimnisträger strafbar – es sei denn, er hat Vorkehrungen getroffen, um seinen Dienstleister zur Geheimhaltung zu verpflichten.
Neben § 203 StGB bestehen speziell für Rechtsanwältinnen und Rechtsanwälte noch besondere berufsrechtliche Vorschriften. So enthält § 43e Abs. 1 BRAO eine dem § 203 Abs. 3 S. 2 Hs. 2 StGB entsprechende Offenbarungsbefugnis gegenüber externen Dienstleistern. Abs. 3 bis Abs. 5 spezifizieren zudem näher, in welchen Grenzen und unter welchen Voraussetzungen der Rechtsanwalt externe Dienstleister in Anspruch nehmen darf. Insbesondere haben Rechtsanwälte demnach externe Dienstleister mindestens in Textform zur Geheimhaltung zu verpflichten und diese über die strafrechtlichen Folgen einer Pflichtverletzung zu belehren. Zudem dürfen im Ausland erbrachten Dienstleistungen nur in Anspruch genommen werden, wenn der dort bestehende Geheimnisschutz „dem Schutz im Inland vergleichbar ist“.