#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud
3. Anforderungen an ausländische Dienstleister
§ 203 Abs. 4 StGB selbst sieht keine Einschränkung hinsichtlich des Standortes der sonstigen mitwirkenden Person vor. Allerdings dürfen Dienstleistungen nach § 43e Abs. 4 BRAO nur dann im Ausland erbracht werden, wenn der dort bestehende Schutz der Geheimnisse „dem Schutz im Inland vergleichbar“ ist.
Das Erfordernis geht von der romantischen Vorstellung aus, dass deutsche IT-Dienstleister einen besonders hohen Schutz der berufsrechtlich geschützten Informationen sicherstellen können.1 Diese wirft jedoch gleich in zweierlei Hinsicht Fragen auf: Zum einen bleibt unklar, nach welchem Maßstab ein „vergleichbarer“ Schutz festzustellen ist, insbesondere ob datenschutzrechtliche Maßstäbe zur Bestimmung herangezogen werden können. Zum anderen stellt sich die Frage, ob und inwieweit sich diese Einschränkung auch auf andere EU-Mitgliedsstaaten bezieht.
§ 43e Abs. 4 BRAO verlangt einen vergleichbaren Schutz hinsichtlich der berufsrechtlichen Geheimnisschutz und nicht – wie vereinzelt vertreten – einen mit dem Inland vergleichbaren datenschutzrechtlichen Schutz.2 Denn § 43e Abs. 4 BRAO stellt ausdrücklich auf den Schutz der „Geheimnisse“ – und nicht auf den Schutz personenbezogener Daten – ab. Auch wäre eine datenschutzrechtliche Regelung innerhalb des § 43e BRAO gänzlich systemfremd und würde angesichts der Vollharmonisierung der DSGVO ohnehin verdrängt.
Ein „dem Inland vergleichbarer Schutz“ soll in anderen Mitgliedstaaten der EU ausweislich der Gesetzesbegründung „in der Regel“ gegeben sein.3 Wann genau diese Regel greifen soll und welche Ausnahmen innerhalb der EU gelten sollen, lässt die Gesetzesbegründung offen. So stellt sich die Frage, inwieweit in dieser Regelung eine Diskriminierung der auswärtigen europäischen Dienstleister zu sehen ist.4 Schließlich verbietet die Dienstleistungsfreiheit des Art. 56 AEUV jegliche Diskriminierung ohne triftigen Grund. Daher wird bei europarechtskonformer Auslegung ein vergleichbarer Schutz in anderen EU-Staaten zumindest vermutet werden können.5
Unklar bleibt jedoch, was genau unter dem Begriff „vergleichbar“ zu verstehen sein soll. Insbesondere stellt sich die Frage, ob zwingend ein strafrechtlicher Schutz von Geheimnissen verlangt werden muss oder ob ein berufsrechtlicher Schutz genügt. Während ein berufsrechtlicher Schutz in nahezu allen relevanten Jurisdiktionen vorhanden sein dürfte6, wird eine korrespondierende strafrechtliche Sanktionierung international eher selten sein. Für eine Beschränkung auf einen berufsrechtlichen Schutz spricht insoweit, dass die Anforderung des vergleichbaren Schutzes ausschließlich von § 43e Abs. 4 BRAO, nicht jedoch von § 203 StGB gefordert wird. Der von der BRAO geregelte Schutz bezieht sich jedoch ausschließlich auf das Berufsrecht und gerade nicht auf die strafrechtlichen Konsequenzen.
Nichtsdestotrotz verbleiben in der Praxis erhebliche Unsicherheiten, da nicht nur im Einzelnen geprüft werden muss, welche konkreten rechtlichen Schutzmaßnahmen in den jeweils betroffenen Jurisdiktionen bestehen, sondern auch beurteilt werden muss, ob und inwieweit diese – ggf. gänzlich unterschiedliche Schutzkonzepte7 – mit dem Inland vergleichbar sind. Komplex kann diese Prüfung insbesondere für Dienstleister in den USA werden, da dort keine bundeseinheitlichen Standards existieren, sondern sich die Schutzkonzepte von Bundesstaat zu Bundesstaat unterscheiden.8
Problematisch ist auch, dass § 43e Abs. 4 BRAO ausschließlich auf den Ort abstellt, an dem die Dienstleistung „erbracht“ wird. Maßgeblich ist demnach nicht etwa der Sitz des Dienstleisters, sondern ausschließlich der Ort der Leistungserbringung. Dies führt zu weiteren Abgrenzungsschwierigkeiten und Prüfungsanforderungen: Bietet bspw. ein US-Unternehmen einen Cloud Service an, der in Deutschland gehostet wird, stellt sich die Frage, ob die Dienstleistung in Deutschland, den USA oder an beiden Standorten erbracht wird. Gerade bei komplexeren Cloud-Anwendungen werden sich in der Praxis erhebliche Schwierigkeiten ergeben, etwa wenn der Dienstleister nach dem „Follow the sun“-Prinzip Personal an weltweit verteilten Standorten einsetzt.
Für die Praxis von besonderer Relevanz sind daher technische und organisatorische Maßnahmen: Denn ein vergleichbarer Schutz der verarbeiteten Geheimnisse lässt sich insbesondere bei Cloud-Anwendungen regelmäßig einfacher erreichen, indem die Zugriffsmöglichkeiten des ausländischen Dienstleisters von vorneherein beschränkt werden, als umfassende Analysen der Rechtslage in fremden Rechtsordnungen vorzunehmen. In Betracht kommen beispielsweise eine Verschlüsselung der Daten oder technische Freigabeprozesse für den Fall, dass der Dienstleister Zugriff auf die verarbeiteten Daten nehmen soll. Ob und welche Maßnahmen dabei möglich, erforderlich und ausreichend sind, hängt allerdings vom Einzelfall, insbesondere von der Art der Dienstleistung, der Notwendigkeit des Sichtzugriffs und der Rechtsordnung, der der Dienstleister unterliegt.
- So auch Härting, https://www.lto.de/recht/job-karriere/j/stgb-203-anwalt-mandant-verschwiegenheit-berufsrecht/2/, der von einer „tiefe[n] Verneigung vor der heimischen IT- und TK-Wirtschaft“ spricht. [↑]
- So Hoeren, ZD 2017, 501 (502); anders Fechtner/Haßdenteufel, CR 2017, 355 (361); Gasteyer/Säljemar, NJW 2020, 1768 (1769 f.). [↑]
- BT-Drucks. 18/11936 S. 35. [↑]
- Kritisch auch Cornelius, NJW 2017, 3751 (3754). [↑]
- Demgegenüber hält Härting § 43e Abs. 4 BRAO in seiner aktuellen Fassung für europarechtswidrig, vgl. Härting, BB 2017, Heft 42 Umschlagteil, I. [↑]
- vgl. etwa die Übersichten der britischen Solicitors Regulation Autority, http://www.sra.org.uk/documents/solicitors/freedom-in-practice/cloud-computing-law-firms-risk.pdf sowie der American Bar Association, https://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/cloud_computing.html. [↑]
- So unterscheidet bspw. das britische Recht hinsichtlich des Berufsgeheimnisses zwischen gerichtlicher und außergerichtlicher Rechtsberatung. [↑]
- vgl. Übersicht „Cloud Ethics Opinions Around the U.S.“ der American Bar Association, https://www.americanbar.org/groups/departments_offices/legal_technology_resources/resources/charts_fyis/cloud-ethics-chart.html. [↑]
Ein sehr guter Beitrag. Vielen Dank.
Ein i-Tüpfelchen wäre noch ein Hinweis auf das Verhältnis zum Kommunikationsrecht (zB Fernmeldegeheimnis, ePrivacyRL) und zum Faktum, dass gerade Cloudanbieter die Kundendaten auch für eigene Zwecke nutzen, was m.E. nicht mehr von der Erforderlichkeit des § 203 StGB gedeckt wäre.
Vielen Dank. Es gibt sicher noch super viel zu dem Thema zu sagen. Nur hat der Artikel jetzt schon alle Längenkonventionen gesprengt. 🙂
Vielleicht zum Thema Nutzung zu eigenen Zwecken:
Das Interessante ist ja, dass § 203 StGB nicht an die Verarbeitung, sondern an die „Offenbarung“ anknüpft, d.h. die Verschaffung der Möglichkeit zur Kenntnisnahme. Insofern ist § 203 StGB deutlich enger als der Verarbeitungsbegriff der DSGVO. Wenn die Offenbarung gegenüber dem Dienstleister für die Inanspruchnahme der Dienstleistung erforderlich ist (z.B. Offenbarung von E-Mails beim E-Mail Hoster), kommt es auf möglicherweise darüber hinausgehende Zwecke der Verarbeitung bei dem Dienstleister (z.B. Anlernen von Spamfiltern) nicht an.
§ 43e Abs. 3 Nr. 2 BRAO ist da etwas spezifischer. Danach muss der Dienstleister verpflichtet werden, „sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist“. Allerdings knüpft auch die BRAO nur an eine „Kenntnisnahme“ an, nicht an eine Verarbeitung. Trainiert der E-Mail Hoster also bspw. seine Spamfilter, ohne sich dafür von den E-Mails Kenntnis verschaffen zu müssen (z.B. weil keine menschliche Kontrolle erfolgt), wäre das m.E. auch mit der Verschwiegenheitsverpflichtung nach § 43e Abs. 3 Nr. 2 BRAO vereinbar.
Der Geheimnisschutz hat insofern nur eine relativ kleine Schnittmenge mit dem Datenschutz und nicht alles, was datenschutzrechtlich möglicherweise unzulässig ist, ist auch unter dem Geheimnisschutz verboten.
Lieber Adrian, sehr spannend. Aus schweizerischer Sicht ist z.B. der Beitrag #3 sehr gut nutzbar. Die dortigen Gedanken zur Vergleichbarkeit sind weiterführend.
Zu Beitrag #4 möchte ich anregen, nicht vorschnell z.B. eine Pflicht zur Vertragskündigung in das Berufsrecht hineinzulesen. Es würde wohl genügen, wenn die Anwältin bzw der Anwalt einfach ihre Daten abzieht und zeigen kann, inwiefern dies zur Löschung bei der Cloud-Anbieterin führen wird.
Ansonsten bzw. generell zum Begriff der „Offenbarung“ möchte ich anregen, dass man noch stärker differenzieren könnte — was in der Schweiz gemacht wird und was wohl auch in Deutschland noch mehr beleuchtet werden könnte: Die Differenzierung zwischen Maschinensicht und Personensicht.
Ein Beispiel wie man dies machen könnte, findet sich hier (im Kontext einer Diskussion zur Abstimmung der E-ID in der Schweiz): https://e-idblog.ch/2021/02/17/was-bedeutet-kenntnis/
Mir ist bewusst, dass die Formulierung des §203 StGB keine Notwendigkeit schafft für diese Differenzierung. Und dennoch könnte dies gewinnbringend eingebracht werden. Zum Beispiel, wenn man Folgendes beantworten will: Kann man eine Nutzung von Cloud-Angeboten ohne Überbindung der Geheimnispflicht auf den Dienstleister auch in Deutschland realisieren?
Dass es nur auf die Personensicht ankommt, ist in der Schweiz mittlerweile wohl unumstritten und etabliert, unser Gutachten dazu — darin wurde diese Unterscheidung das erste mal vorgeschlagen — ist öffentlich verfügbar: https://www.lauxlawyers.ch/wp-content/uploads/2019/03/Cloud-und-Bankgeheimnis.pdf
ich empfehle die Lektüre der Rz. 17, Rz. 21 und dazu vertiefend Rz. 22 ff und zur technischen Bedeutung Rz. 67 ff.
Es wird in der Diskussion in der Schweiz nunmehr direkt mit den im genannten Gutachten begründeten Konzepten (nicht nur Personensicht v Maschinensicht, sondern auch „Normalbetrieb“ bzw. gewöhnlicher Lauf der Dinge) operiert. Diese Konzepte werden seither auch in der weiteren Literatur zum Thema aufgegriffen. Zum Teil finden sich hilfreiche und ergänzende Ableitungen dazu in der schweizerischen Literatur, die diesbezüglich einen erfreulich differenzierten Blick auf die Aufgabenstellung „Cloud für Geheimnisträger“ nimmt und somit einen guten Reifegrad erreicht hat. Die grossen Hyperscaler haben nunmehr die Schweiz als Rechenzentrumsstandort gewählt. Man kann dies nicht direkt als kausale Folge der fortgeschrittenen Diskussion darstellen. Aber man kann sagen: Die schweizerische Rechtsordnung ist vorbereitet, die Cloud als Aufgabenstellung zu erfassen.
Vielen Dank, Christian!
Zum Kündigungsrecht:
Da sind wir einer Meinung. Ich sehe auch keine formelle Pflicht. In der Praxis ist der Punkt m.E. auch in aller Regel unkritisch.
Zum Begriff der Offenbarung:
Guter Punkt. Klassischerweise hat man unter Offenbarung nach § 203 StGB die Verschaffung der Möglichkeit zum Sichtzugriff verstanden. Ein tatsächlicher Zugriff muss dabei nicht unbedingt verfolgen. Maßgeblich ist, ob der Berufsgeheimnisträger die Entscheidung, ob ein Sichtzugriff erfolgt, aus der Hand gibt und der mitwirkenden Person überlässt.
Wenn die Möglichkeit des Sichtzugriffs technisch ausgeschlossen ist, wird sicherlich keine Offenbarung vorliegen. Spannend sind die Fälle, in denen die Möglichkeit eines Sichtzugriffes zwar theoretisch nicht ganz auszuschließen ist, praktisch aber gänzlich unwahrscheinlich (z.B. bei bloßer Zugriffsmöglichkeit auf den RAM oder Hypervisor).
Und vielleicht noch als Ergänzung: § 43e BRAO ist im Vergleich zu § 203 StGB ein Begriffschaos und wechselt wild zwischen „Zugang eröffnen“, „Kenntnis verschaffen“, „Zusammenarbeit“, „Leistungserbringung“ bzw. „Inanspruchnahme von Leistungen“.
Mit „Zugang eröffnen“ ist m.E. dasselbe wie mit „Offenbaren“ gemeint. Die BRAO versucht insoweit die Pflichten des § 203 StGB zu kopieren, ohne davon abzuweichen.
„Kenntnis verschaffen“ meint nach meinem Verständnis genau die Abgrenzung zwischen Sicht- und Maschinenzugriff, den du ansprichst: Der Rechtsanwalt darf den Zugang eröffnen, d.h. die Möglichkeit zur Kenntnisnahme geben. Der Dienstleister darf sich (tatsächlich) aber nur Kenntnis verschaffen, soweit das für die Dienstleistung erforderlich ist. „Kenntnis“ setzt m.E. eine menschliche Erfassung der Information voraus. „Verschaffen“ deutet auf eine aktive Tätigkeit hin – die bloß theoretische Möglichkeit genügt nicht und ergibt auch nicht wirklich Sinn: Denn der Rechtsanwalt darf ja ohnehin nur insoweit den (theoretischen) Zugang eröffnen, wie es für die Dienstleistung erforderlich ist. Einer weiteren Einschränkung des theoretischen Zugriffs auf Seiten des Dienstleisters bedarf es also nicht.
„Zusammenarbeit“, „Leistungserbringung“ & Co. meint m.E. abstrakt das Vertragsverhältnis zwischen Rechtsanwalt und Dienstleister und trifft keine Aussage über die Qualität des Datenzugriffs.
Sehr wichtiger Beitrag. Danke!