#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud
Die Anwaltschaft ist nicht gerade für besonders innovative Arbeitsweise bekannt. Doch auch vor Anwältinnen und Anwälten macht die digitale Transformation nicht halt.
Gerade für Berufsgeheimnisträger sind der Digitalisierung Grenzen allerdings gesetzt. Noch bis vor wenigen Jahren war die Nutzung von Cloud-Produkten aufgrund der engen Vorgaben des Geheimnisschutzes und des anwaltlichen Berufsrechts praktisch kaum möglich. Seitdem hat der Gesetzgeber zwar reagiert. Viele wesentliche Fragen sind aber nach wie vor offen.
Inhalt und Vorwarnung
Dieser Beitrag ist ein Deep Dive in den Schutz von Privatgeheimnissen und das anwaltliche Berufsrecht. Wir haben ihn daher zur besseren Lesbarkeit in mehrere Teile aufgeteilt:
Der Schutz von Privatgeheimnissen im Überblick
Die Rechtsfragen in der Praxis
1. Erforderlichkeit der Offenbarung
2. Verpflichtung zur Geheimhaltung
3. Anforderungen an ausländische Dienstleister
4. Spezifische Anforderungen nach § 43e BRAO
5. Verhältnis zur DSGVO
Der Schutz von Privatgeheimnissen im Überblick
Mandatsgeheimnisse sind nach § 203 Abs. 1 StGB strafrechtlich geschützt. Danach macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, welches ihm in seiner Funktion als Berufsgeheimnisträger1 anvertraut oder sonst bekanntgeworden ist:
„(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
[…]
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten […],
[…]
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“
Wer also etwa als Rechtsanwalt oder Rechtsanwältin unbefugt vertrauliche Informationen aus seiner Mandatsarbeit herausgibt, macht sich strafbar. Dies gilt zunächst auch für den Upload von Mandatsgeheimnissen zu Cloud-Providern, wenn diese Zugriff auf die Daten im Klartext erlangen.
Dieses Problem soll § 203 Abs. 3 StGB regeln:
„Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist“
Hiernach liegt dann kein strafrechtlich relevantes Offenbaren von Geheimnissen durch einen Berufsgeheimnisträger vor, wenn das Geheimnis gegenüber einer „sonstigen mitwirkenden Person“ offenbart wurde, soweit dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist.
Mit den sonstigen mitwirkenden Personen sind vor allem die externen Dienstleister gemeint, die weder aus ihrer eigenen beruflichen Stellung noch aus einer Gehilfenstellung heraus einer berufsrechtlichen Schweigepflicht unterliegen.2 Die Gesetzesbegründung nennt hierzu ausdrücklich die Bereitstellung, Betrieb und Wartung informationstechnischer Anlagen, Systeme und Anwendungen, insbesondere zur externen Speicherung von Daten als Beispiel – entsprechend ist auch Cloud-Computing von dem Erlaubnistatbestand umfasst sind.3 Als Pendant zu dieser Offenbarungsbefugnis erstreckt Abs. 4 S. 1 jedoch die Strafbarkeit auf die sonstigen mitwirkenden Personen, die ihrerseits ein an sie offenbartes Geheimnis weitergeben:
„(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Datenschutzbeauftragter bekannt geworden ist.“
Wer also als Cloud-Provider für einen Berufsgeheimnisträger geheime Informationen verarbeitet, macht sich ebenfalls strafbar, wenn er diese Geheimnisse unbefugt offenbart.
Nach Abs. 4 Nr. 1 macht sich außerdem auch der Berufsgeheimnisträger selbst strafbar, wenn dieser versäumt hat, die sonstige mitwirkende Person zur Geheimhaltung verpflichten und eine sonstige mitwirkende Person ein Geheimnis unbefugt offenbart:
„Ebenso wird bestraft, wer
1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,“
Die Strafbarkeit des Berufsgeheimnisträgers besteht also nur nachgelagert für den Fall, dass tatsächlich der Erfolg einer Geheimnisoffenbarung eintritt. Mit anderen Worten: Geht alles gut und die Geheimnisse werden vom Cloud-Provider nicht offenbart, bestehen keine weiteren Anforderungen für die Nutzung. Nur wenn tatsächlich ein Geheimnisverrat durch den Cloud-Provider erfolgt, macht sich der Berufsgeheimnisträger strafbar – es sei denn, er hat Vorkehrungen getroffen, um seinen Dienstleister zur Geheimhaltung zu verpflichten.
Neben § 203 StGB bestehen speziell für Rechtsanwältinnen und Rechtsanwälte noch besondere berufsrechtliche Vorschriften. So enthält § 43e Abs. 1 BRAO eine dem § 203 Abs. 3 S. 2 Hs. 2 StGB entsprechende Offenbarungsbefugnis gegenüber externen Dienstleistern. Abs. 3 bis Abs. 5 spezifizieren zudem näher, in welchen Grenzen und unter welchen Voraussetzungen der Rechtsanwalt externe Dienstleister in Anspruch nehmen darf. Insbesondere haben Rechtsanwälte demnach externe Dienstleister mindestens in Textform zur Geheimhaltung zu verpflichten und diese über die strafrechtlichen Folgen einer Pflichtverletzung zu belehren. Zudem dürfen im Ausland erbrachten Dienstleistungen nur in Anspruch genommen werden, wenn der dort bestehende Geheimnisschutz „dem Schutz im Inland vergleichbar ist“.
- Bei Begriffen, die Tatbestandsmerkmale sind, haben wir zugunsten der besseren Lesbarkeit auf eine genderneutrale Schreibweise verzichtet. [↑]
- BT-Drucks. 18/11936, S. 22. [↑]
- BT-Drucks. 18/11936, S. 22. [↑]
Ein sehr guter Beitrag. Vielen Dank.
Ein i-Tüpfelchen wäre noch ein Hinweis auf das Verhältnis zum Kommunikationsrecht (zB Fernmeldegeheimnis, ePrivacyRL) und zum Faktum, dass gerade Cloudanbieter die Kundendaten auch für eigene Zwecke nutzen, was m.E. nicht mehr von der Erforderlichkeit des § 203 StGB gedeckt wäre.
Vielen Dank. Es gibt sicher noch super viel zu dem Thema zu sagen. Nur hat der Artikel jetzt schon alle Längenkonventionen gesprengt. 🙂
Vielleicht zum Thema Nutzung zu eigenen Zwecken:
Das Interessante ist ja, dass § 203 StGB nicht an die Verarbeitung, sondern an die „Offenbarung“ anknüpft, d.h. die Verschaffung der Möglichkeit zur Kenntnisnahme. Insofern ist § 203 StGB deutlich enger als der Verarbeitungsbegriff der DSGVO. Wenn die Offenbarung gegenüber dem Dienstleister für die Inanspruchnahme der Dienstleistung erforderlich ist (z.B. Offenbarung von E-Mails beim E-Mail Hoster), kommt es auf möglicherweise darüber hinausgehende Zwecke der Verarbeitung bei dem Dienstleister (z.B. Anlernen von Spamfiltern) nicht an.
§ 43e Abs. 3 Nr. 2 BRAO ist da etwas spezifischer. Danach muss der Dienstleister verpflichtet werden, „sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist“. Allerdings knüpft auch die BRAO nur an eine „Kenntnisnahme“ an, nicht an eine Verarbeitung. Trainiert der E-Mail Hoster also bspw. seine Spamfilter, ohne sich dafür von den E-Mails Kenntnis verschaffen zu müssen (z.B. weil keine menschliche Kontrolle erfolgt), wäre das m.E. auch mit der Verschwiegenheitsverpflichtung nach § 43e Abs. 3 Nr. 2 BRAO vereinbar.
Der Geheimnisschutz hat insofern nur eine relativ kleine Schnittmenge mit dem Datenschutz und nicht alles, was datenschutzrechtlich möglicherweise unzulässig ist, ist auch unter dem Geheimnisschutz verboten.
Lieber Adrian, sehr spannend. Aus schweizerischer Sicht ist z.B. der Beitrag #3 sehr gut nutzbar. Die dortigen Gedanken zur Vergleichbarkeit sind weiterführend.
Zu Beitrag #4 möchte ich anregen, nicht vorschnell z.B. eine Pflicht zur Vertragskündigung in das Berufsrecht hineinzulesen. Es würde wohl genügen, wenn die Anwältin bzw der Anwalt einfach ihre Daten abzieht und zeigen kann, inwiefern dies zur Löschung bei der Cloud-Anbieterin führen wird.
Ansonsten bzw. generell zum Begriff der „Offenbarung“ möchte ich anregen, dass man noch stärker differenzieren könnte — was in der Schweiz gemacht wird und was wohl auch in Deutschland noch mehr beleuchtet werden könnte: Die Differenzierung zwischen Maschinensicht und Personensicht.
Ein Beispiel wie man dies machen könnte, findet sich hier (im Kontext einer Diskussion zur Abstimmung der E-ID in der Schweiz): https://e-idblog.ch/2021/02/17/was-bedeutet-kenntnis/
Mir ist bewusst, dass die Formulierung des §203 StGB keine Notwendigkeit schafft für diese Differenzierung. Und dennoch könnte dies gewinnbringend eingebracht werden. Zum Beispiel, wenn man Folgendes beantworten will: Kann man eine Nutzung von Cloud-Angeboten ohne Überbindung der Geheimnispflicht auf den Dienstleister auch in Deutschland realisieren?
Dass es nur auf die Personensicht ankommt, ist in der Schweiz mittlerweile wohl unumstritten und etabliert, unser Gutachten dazu — darin wurde diese Unterscheidung das erste mal vorgeschlagen — ist öffentlich verfügbar: https://www.lauxlawyers.ch/wp-content/uploads/2019/03/Cloud-und-Bankgeheimnis.pdf
ich empfehle die Lektüre der Rz. 17, Rz. 21 und dazu vertiefend Rz. 22 ff und zur technischen Bedeutung Rz. 67 ff.
Es wird in der Diskussion in der Schweiz nunmehr direkt mit den im genannten Gutachten begründeten Konzepten (nicht nur Personensicht v Maschinensicht, sondern auch „Normalbetrieb“ bzw. gewöhnlicher Lauf der Dinge) operiert. Diese Konzepte werden seither auch in der weiteren Literatur zum Thema aufgegriffen. Zum Teil finden sich hilfreiche und ergänzende Ableitungen dazu in der schweizerischen Literatur, die diesbezüglich einen erfreulich differenzierten Blick auf die Aufgabenstellung „Cloud für Geheimnisträger“ nimmt und somit einen guten Reifegrad erreicht hat. Die grossen Hyperscaler haben nunmehr die Schweiz als Rechenzentrumsstandort gewählt. Man kann dies nicht direkt als kausale Folge der fortgeschrittenen Diskussion darstellen. Aber man kann sagen: Die schweizerische Rechtsordnung ist vorbereitet, die Cloud als Aufgabenstellung zu erfassen.
Vielen Dank, Christian!
Zum Kündigungsrecht:
Da sind wir einer Meinung. Ich sehe auch keine formelle Pflicht. In der Praxis ist der Punkt m.E. auch in aller Regel unkritisch.
Zum Begriff der Offenbarung:
Guter Punkt. Klassischerweise hat man unter Offenbarung nach § 203 StGB die Verschaffung der Möglichkeit zum Sichtzugriff verstanden. Ein tatsächlicher Zugriff muss dabei nicht unbedingt verfolgen. Maßgeblich ist, ob der Berufsgeheimnisträger die Entscheidung, ob ein Sichtzugriff erfolgt, aus der Hand gibt und der mitwirkenden Person überlässt.
Wenn die Möglichkeit des Sichtzugriffs technisch ausgeschlossen ist, wird sicherlich keine Offenbarung vorliegen. Spannend sind die Fälle, in denen die Möglichkeit eines Sichtzugriffes zwar theoretisch nicht ganz auszuschließen ist, praktisch aber gänzlich unwahrscheinlich (z.B. bei bloßer Zugriffsmöglichkeit auf den RAM oder Hypervisor).
Und vielleicht noch als Ergänzung: § 43e BRAO ist im Vergleich zu § 203 StGB ein Begriffschaos und wechselt wild zwischen „Zugang eröffnen“, „Kenntnis verschaffen“, „Zusammenarbeit“, „Leistungserbringung“ bzw. „Inanspruchnahme von Leistungen“.
Mit „Zugang eröffnen“ ist m.E. dasselbe wie mit „Offenbaren“ gemeint. Die BRAO versucht insoweit die Pflichten des § 203 StGB zu kopieren, ohne davon abzuweichen.
„Kenntnis verschaffen“ meint nach meinem Verständnis genau die Abgrenzung zwischen Sicht- und Maschinenzugriff, den du ansprichst: Der Rechtsanwalt darf den Zugang eröffnen, d.h. die Möglichkeit zur Kenntnisnahme geben. Der Dienstleister darf sich (tatsächlich) aber nur Kenntnis verschaffen, soweit das für die Dienstleistung erforderlich ist. „Kenntnis“ setzt m.E. eine menschliche Erfassung der Information voraus. „Verschaffen“ deutet auf eine aktive Tätigkeit hin – die bloß theoretische Möglichkeit genügt nicht und ergibt auch nicht wirklich Sinn: Denn der Rechtsanwalt darf ja ohnehin nur insoweit den (theoretischen) Zugang eröffnen, wie es für die Dienstleistung erforderlich ist. Einer weiteren Einschränkung des theoretischen Zugriffs auf Seiten des Dienstleisters bedarf es also nicht.
„Zusammenarbeit“, „Leistungserbringung“ & Co. meint m.E. abstrakt das Vertragsverhältnis zwischen Rechtsanwalt und Dienstleister und trifft keine Aussage über die Qualität des Datenzugriffs.
Sehr wichtiger Beitrag. Danke!