Telemedicus

, von ,

#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud

Die Rechtsfragen in der Praxis

1.     Erforderlichkeit der Offenbarung

Nach § 203 Abs. 3 S. 2 StGB liegt kein strafrechtlich relevantes Offenbaren eines Berufsgeheimnisträgers vor, wenn das Geheimnis gegenüber einer sonstigen mitwirkenden Person offenbart wurde, sofern dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist.1

Dabei ist mit dieser Einschränkung auf das Erforderliche nicht gemeint, dass die Inanspruchnahme selbst erforderlich sein muss.2 Vielmehr sollen Geheimnisse die Sphäre der Berufsgeheimnisträger nur in dem Ausmaß verlassen, wie dies die konkrete Dienstleistung erfordert.3 Welcher abstrakte Maßstab hierbei angelegt werden soll, ist jedoch bislang nicht abschließend geklärt.4

Die Gesetzesbegründung stellt anhand mehrerer konkreter Beispiele klar, dass die Möglichkeit der Kenntnisnahme im Einzelfall auch durchaus umfassend sein darf, wenn dies die Dienstleistung erfordert. So ist es laut Gesetzesbegründung beispielsweise unschädlich, wenn ein IT-Spezialist die Möglichkeit erhält, umfassende Kenntnis von sämtlichen in einer IT-Anlage gespeicherten Informationen zu erlangen, wenn dies etwa für seine Wartungsdienstleistungen erforderlich ist.3 Zudem sei auch gegenüber dem IT-Spezialisten das Offenbaren im Sinne der Ermöglichung einer Kenntnisnahme erforderlich, damit der Berufsgeheimnisträger dessen Tätigkeit überhaupt „sinnvoll in Anspruch nehmen“ kann.3 Dabei ist die sonstige mitwirkende Person auch nicht verpflichtet, ihre Dienstleistungen in besonderer Weise zu ändern oder zu reduzieren, um hierdurch eine Offenbarung zu minimieren. Maßgeblich ist nach den in der Gesetzesbegründung genannten Beispielen vielmehr die Dienstleistung wie sie von dem externen Dienstleister angeboten wird.5

Maßstab für die „Erforderlichkeit“ im Sinne des § 203 Abs. 3 StGB ist demnach, in welchem Ausmaß die Offenbarung erforderlich ist, um die von dem externen Dienstleister angebotenen Leistungen „sinnvoll in Anspruch“ zu nehmen.6 Mit anderen Worten: Der Berufsgeheimnisträger soll dem Dienstleister keine Informationen zur Verfügung stellen, die dieser für die Erbringung seiner Dienstleistung gar nicht benötigt. Es geht also nicht darum, ob ein relativ milderes Mittels für die Offenbarung besteht7. Die Einschränkung auf das Erforderliche ist vielmehr eher mit dem datenschutzrechtlichen Prinzip der Datensparsamkeit als zweckadäquate Beschränkung der Datenverarbeitung vergleichbar.

Weitere Konkretisierungen finden sich zudem in der Gesetzesbegründung zu § 43e Abs. 1 BRAO, der ebenfalls auf das Merkmal der „Erforderlichkeit“ abstellt. So heißt es in der Gesetzesbegründung, dass eine Offenbarung nicht erforderlich sei, wenn der Dienstleister, der dem Rechtsanwalt einen Speicherplatz auf einem externen Server zur Verfügung stellt, Kenntnis von den unter die Schweigepflicht des § 43a Abs. 2 S. 1 BRAO fallenden Tatsachen erhält – denn regelmäßig könnten diese Daten verschlüsselt gespeichert werden.8

Der Vorbehalt der Verschlüsselung wird im Folgenden dadurch relativiert, dass dem Rechtsanwalt jedoch „ein Spielraum für verantwortliche unternehmerische Entscheidungen eröffnet“ werden müsse.8 Eine pauschale und vorbehaltlose Verschlüsselungspflicht besteht demnach auch nach der Gesetzesbegründung des § 43e Abs. 1 BRAO wohl nicht. Allerdings wird eine Verschlüsselung jedenfalls dann genutzt werden müssen, wenn diese im Rahmen der „sinnvollen Inanspruchnahme“ der jeweiligen Dienstleistung und einer „verantwortlichen unternehmerischen Entscheidung“ ohne weiteres eingesetzt werden kann.

Insoweit besteht auch kein Widerspruch zu der „Erforderlichkeit“ nach § 203 Abs. 3 StGB: Bietet ein Dienstleister eine Verschlüsselung der bei ihm gespeicherten Daten in der Weise an, dass diese ein Offenbaren dem Dienstleister gegenüber ausschließt (z.B. weil die Daten clientseitig verschlüsselt werden können), muss der Dienstleister zur Erbringung seiner Leistungen konsequenterweise auch keine Kenntnis der Daten erhalten. Ein Offenbaren wäre in diesem Fall nicht erforderlich. Bietet der jeweilige Dienstleister eine solche Verschlüsselung jedoch nicht an oder lässt sich die Dienstleistung nicht sinnvoll oder – im Rahmen einer verantwortlichen unternehmerischen Entscheidung – nicht wirtschaftlich in Anspruch nehmen, ist eine Verschlüsselung weder nach § 203 Abs. 3 StGB noch § 43e Abs. 1 BRAO zwingend notwendig.9

Letztendlich heißt das für Rechtsanwälte und Rechtsanwältinnen, dass sie sich mit jedem Cloud-Produkt individuell auseinandersetzen müssen, um zu beurteilen, ob und inwiefern eine Offenbarung von Mandatsgeheimnissen erforderlich ist oder ob sie sich sinnvoll vermeiden lässt.

2.     Verpflichtung zur Geheimhaltung

Ergänzend zu der Strafbarkeit der mitwirkenden Person macht sich auch der Berufsgeheimnisträger selbst strafbar, wenn die mitwirkende Person ein Geheimnis offenbart hat und der Berufsgeheimnisträger nicht dafür Sorge getragen hat, dass diese Person zur Geheimhaltung verpflichtet wurde.

Der Strafbarkeitsvorwurf des Geheimnisträgers besteht also in der fehlenden Verpflichtung des in Anspruch genommenen Dienstleisters – nicht in der Offenbarung der Daten an den Dienstleister. Insofern handelt es sich um ein echtes Unterlassungsdelikt.10 Die Strafbarkeit steht allerdings unter dem Vorbehalt, dass die mitwirkende Person auch ihrerseits vorsätzlich unbefugt ein geschütztes Geheimnis offenbart.11 Diese zusätzliche Anforderung ist wiederum als objektive Bedingung der Strafbarkeit ausgestaltet, sodass sich der Vorsatz des Berufsgeheimnisträgers hierauf nicht beziehen muss.12

Ähnlich wie schon bei der Offenbarungsbefugnis des § 203 Abs. 3 StGB enthält auch in diesem Zusammenhang das Berufsrecht weitergehende Konkretisierungen als das Strafrecht. So verlangt § 43e Abs. 3 BRAO unter anderem, dass die externen Dienstleister in Textform mit Belehrung über die Strafbarkeit zur Geheimhaltung verpflichtet werden. Es drängt sich daher zwangsläufig die Frage auf, ob diese Kriterien auch zur Beurteilung der Rechtmäßigkeit der Offenbarung im Sinne des § 203 StGB herangezogen werden müssen. Allerdings stellt der Gesetzgeber in seiner Begründung ausdrücklich klar, dass es für die Strafsanktion des § 203 StGB nicht auf die berufsrechtlichen Besonderheiten der Geheimhaltungsverpflichtung – wie etwa in § 43e Abs. 3 S. 1 und 2 Nr. 1 bis 3 BRAO – ankommt.13 Infolgedessen können somit das Berufsrecht und Strafrecht auseinanderfallen, sodass etwa eine Verletzung der Formvorschriften zwar zu einer Verletzung des Berufsrechts, nicht jedoch zu einer Strafbarkeit führen kann.

Ein weiterer wichtiger Unterschied zwischen Straf- und Berufsrecht besteht in der Person des Adressaten der Geheimhaltungsverpflichtung. Während § 203 Abs. 4 Nr. 1 StGB eine Verpflichtung der handelnden natürlichen „Personen“ betrifft, regelt § 43e Abs. 3 BRAO die Verpflichtung des „Dienstleisters“, also u.U. auch juristischer Personen.

In der Praxis kann das eine tückische Falle sein. Denn es genügt nicht, den Cloud-Provider als juristische Person zu verpflichten. Vielmehr muss sichergestellt sein, dass dieser auch seine mit der Verarbeitung betrauten Mitarbeiterinnen und Mitarbeiter verpflichtet, also die tätigen „Personen“. Eine unmittelbare Geheimhaltungsvereinbarung zwischen dem Berufsgeheimnisträger und allen handelnden Personen ist hingegen nicht erforderlich. Denn § 203 Abs. 4 Nr. 1 StGB verlangt lediglich, dass der Berufsgeheimnisträger für eine Verpflichtung „Sorge trägt“. 

  1. Zur Einordnung der Offenbarungsbefugnis als Tatbestandsausschluss vgl. Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, 47. Edition, Stand: 01.08.2020, § 203 StGB Rn. 35 ff. []
  2. Pohle/Ghaffari, CR 2017, 489 (492). []
  3. BT-Drucks. 18/11936, S. 28. [] [] []
  4. Kritisch auch Lange, ZAP 2017, 1097 (1098). []
  5. So auch Ruppert, K&R 2017, 489 (493). []
  6. So im Ergebnis auch Kraus, PinG 2018, 16 (18). []
  7. So jedoch Grupp, PinG 2017, 55 (57); Grosskopf/Momsen, CCZ 2018, 98 (102). []
  8. BT-Drucks. 18/11936, S 34. [] []
  9. Anders wohl Cornelius, NJW 2017, 3751 (3752), der eine Geheimnisoffenbarung nur dann für erforderlich hält, wenn eine Anonymisierung, Pseudonymisierung oder Verschlüsselung der Daten generell nicht möglich ist. []
  10. Grosskopf/Momsen, CCZ 2018, 98 (105). []
  11. Kritisch dazu Cornelius, NJW 2017, 3751 (3753). []
  12. BT-Drucks. 18/11936, S. 29. []
  13. BT-Drucks. 18/11936, S. 29. []
  • Adrian Schneider ist Mitbegründer, Vorstand und Hausnerd von Telemedicus sowie Rechtsanwalt bei Osborne Clarke in Köln.

  • Dennis Jennessen ist wissenschaftlicher Mitarbeiter bei Osborne Clarke in Berlin und Doktorand bei Prof. Dr. Louisa Specht-Riemenschneider.

6 Gedanken zu “#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud”

  1. Johannes Nehlsen sagt:

    Ein sehr guter Beitrag. Vielen Dank.
    Ein i-Tüpfelchen wäre noch ein Hinweis auf das Verhältnis zum Kommunikationsrecht (zB Fernmeldegeheimnis, ePrivacyRL) und zum Faktum, dass gerade Cloudanbieter die Kundendaten auch für eigene Zwecke nutzen, was m.E. nicht mehr von der Erforderlichkeit des § 203 StGB gedeckt wäre.

    1. Adrian Schneider sagt:

      Vielen Dank. Es gibt sicher noch super viel zu dem Thema zu sagen. Nur hat der Artikel jetzt schon alle Längenkonventionen gesprengt. 🙂

      Vielleicht zum Thema Nutzung zu eigenen Zwecken:

      Das Interessante ist ja, dass § 203 StGB nicht an die Verarbeitung, sondern an die „Offenbarung“ anknüpft, d.h. die Verschaffung der Möglichkeit zur Kenntnisnahme. Insofern ist § 203 StGB deutlich enger als der Verarbeitungsbegriff der DSGVO. Wenn die Offenbarung gegenüber dem Dienstleister für die Inanspruchnahme der Dienstleistung erforderlich ist (z.B. Offenbarung von E-Mails beim E-Mail Hoster), kommt es auf möglicherweise darüber hinausgehende Zwecke der Verarbeitung bei dem Dienstleister (z.B. Anlernen von Spamfiltern) nicht an.

      § 43e Abs. 3 Nr. 2 BRAO ist da etwas spezifischer. Danach muss der Dienstleister verpflichtet werden, „sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist“. Allerdings knüpft auch die BRAO nur an eine „Kenntnisnahme“ an, nicht an eine Verarbeitung. Trainiert der E-Mail Hoster also bspw. seine Spamfilter, ohne sich dafür von den E-Mails Kenntnis verschaffen zu müssen (z.B. weil keine menschliche Kontrolle erfolgt), wäre das m.E. auch mit der Verschwiegenheitsverpflichtung nach § 43e Abs. 3 Nr. 2 BRAO vereinbar.

      Der Geheimnisschutz hat insofern nur eine relativ kleine Schnittmenge mit dem Datenschutz und nicht alles, was datenschutzrechtlich möglicherweise unzulässig ist, ist auch unter dem Geheimnisschutz verboten.

      1. Lieber Adrian, sehr spannend. Aus schweizerischer Sicht ist z.B. der Beitrag #3 sehr gut nutzbar. Die dortigen Gedanken zur Vergleichbarkeit sind weiterführend.

        Zu Beitrag #4 möchte ich anregen, nicht vorschnell z.B. eine Pflicht zur Vertragskündigung in das Berufsrecht hineinzulesen. Es würde wohl genügen, wenn die Anwältin bzw der Anwalt einfach ihre Daten abzieht und zeigen kann, inwiefern dies zur Löschung bei der Cloud-Anbieterin führen wird.

        Ansonsten bzw. generell zum Begriff der „Offenbarung“ möchte ich anregen, dass man noch stärker differenzieren könnte — was in der Schweiz gemacht wird und was wohl auch in Deutschland noch mehr beleuchtet werden könnte: Die Differenzierung zwischen Maschinensicht und Personensicht.

        Ein Beispiel wie man dies machen könnte, findet sich hier (im Kontext einer Diskussion zur Abstimmung der E-ID in der Schweiz): https://e-idblog.ch/2021/02/17/was-bedeutet-kenntnis/

        Mir ist bewusst, dass die Formulierung des §203 StGB keine Notwendigkeit schafft für diese Differenzierung. Und dennoch könnte dies gewinnbringend eingebracht werden. Zum Beispiel, wenn man Folgendes beantworten will: Kann man eine Nutzung von Cloud-Angeboten ohne Überbindung der Geheimnispflicht auf den Dienstleister auch in Deutschland realisieren?

        Dass es nur auf die Personensicht ankommt, ist in der Schweiz mittlerweile wohl unumstritten und etabliert, unser Gutachten dazu — darin wurde diese Unterscheidung das erste mal vorgeschlagen — ist öffentlich verfügbar: https://www.lauxlawyers.ch/wp-content/uploads/2019/03/Cloud-und-Bankgeheimnis.pdf
        ich empfehle die Lektüre der Rz. 17, Rz. 21 und dazu vertiefend Rz. 22 ff und zur technischen Bedeutung Rz. 67 ff.

        Es wird in der Diskussion in der Schweiz nunmehr direkt mit den im genannten Gutachten begründeten Konzepten (nicht nur Personensicht v Maschinensicht, sondern auch „Normalbetrieb“ bzw. gewöhnlicher Lauf der Dinge) operiert. Diese Konzepte werden seither auch in der weiteren Literatur zum Thema aufgegriffen. Zum Teil finden sich hilfreiche und ergänzende Ableitungen dazu in der schweizerischen Literatur, die diesbezüglich einen erfreulich differenzierten Blick auf die Aufgabenstellung „Cloud für Geheimnisträger“ nimmt und somit einen guten Reifegrad erreicht hat. Die grossen Hyperscaler haben nunmehr die Schweiz als Rechenzentrumsstandort gewählt. Man kann dies nicht direkt als kausale Folge der fortgeschrittenen Diskussion darstellen. Aber man kann sagen: Die schweizerische Rechtsordnung ist vorbereitet, die Cloud als Aufgabenstellung zu erfassen.

        1. Adrian Schneider sagt:

          Vielen Dank, Christian!

          Zum Kündigungsrecht:
          Da sind wir einer Meinung. Ich sehe auch keine formelle Pflicht. In der Praxis ist der Punkt m.E. auch in aller Regel unkritisch.

          Zum Begriff der Offenbarung:
          Guter Punkt. Klassischerweise hat man unter Offenbarung nach § 203 StGB die Verschaffung der Möglichkeit zum Sichtzugriff verstanden. Ein tatsächlicher Zugriff muss dabei nicht unbedingt verfolgen. Maßgeblich ist, ob der Berufsgeheimnisträger die Entscheidung, ob ein Sichtzugriff erfolgt, aus der Hand gibt und der mitwirkenden Person überlässt.

          Wenn die Möglichkeit des Sichtzugriffs technisch ausgeschlossen ist, wird sicherlich keine Offenbarung vorliegen. Spannend sind die Fälle, in denen die Möglichkeit eines Sichtzugriffes zwar theoretisch nicht ganz auszuschließen ist, praktisch aber gänzlich unwahrscheinlich (z.B. bei bloßer Zugriffsmöglichkeit auf den RAM oder Hypervisor).

          1. Adrian Schneider sagt:

            Und vielleicht noch als Ergänzung: § 43e BRAO ist im Vergleich zu § 203 StGB ein Begriffschaos und wechselt wild zwischen „Zugang eröffnen“, „Kenntnis verschaffen“, „Zusammenarbeit“, „Leistungserbringung“ bzw. „Inanspruchnahme von Leistungen“.

            Mit „Zugang eröffnen“ ist m.E. dasselbe wie mit „Offenbaren“ gemeint. Die BRAO versucht insoweit die Pflichten des § 203 StGB zu kopieren, ohne davon abzuweichen.

            „Kenntnis verschaffen“ meint nach meinem Verständnis genau die Abgrenzung zwischen Sicht- und Maschinenzugriff, den du ansprichst: Der Rechtsanwalt darf den Zugang eröffnen, d.h. die Möglichkeit zur Kenntnisnahme geben. Der Dienstleister darf sich (tatsächlich) aber nur Kenntnis verschaffen, soweit das für die Dienstleistung erforderlich ist. „Kenntnis“ setzt m.E. eine menschliche Erfassung der Information voraus. „Verschaffen“ deutet auf eine aktive Tätigkeit hin – die bloß theoretische Möglichkeit genügt nicht und ergibt auch nicht wirklich Sinn: Denn der Rechtsanwalt darf ja ohnehin nur insoweit den (theoretischen) Zugang eröffnen, wie es für die Dienstleistung erforderlich ist. Einer weiteren Einschränkung des theoretischen Zugriffs auf Seiten des Dienstleisters bedarf es also nicht.

            „Zusammenarbeit“, „Leistungserbringung“ & Co. meint m.E. abstrakt das Vertragsverhältnis zwischen Rechtsanwalt und Dienstleister und trifft keine Aussage über die Qualität des Datenzugriffs.

  2. Rainer Großmann sagt:

    Sehr wichtiger Beitrag. Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory