Telemedicus

, von ,

#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud

4.     Spezifische Anforderungen nach § 43e BRAO

a)    Auswahl von Dienstleistern

§ 43e BRAO stellt konkrete Anforderungen an die Verarbeitung von berufsgeheimnisgeschützten Informationen von Rechtsanwälten auf.1 Zunächst sieht § 43e Abs. 2 BRAO – anders als § 203 StGB – ein Sorgfaltsgebot für die Auswahl von Dienstleistern vor.2 Eine Offenbarung soll demnach nicht gegenüber jedem Dienstleister zulässig sein, vielmehr soll der Rechtsanwalt seine Dienstleister entsprechend ihrer Zuverlässigkeit auswählen.3 Sind Tatsachen bekannt oder erkennbar, die Zweifel an der Zuverlässigkeit des Dienstleisters begründen, darf der Dienstleister nicht beauftragt werden.4 Anders als § 203 StGB knüpft § 43e BRAO nicht an die Person an, der gegenüber die Offenbarung erfolgt, sondern nach § 43e Abs. 1 S. 2 BRAO an die „Person oder Stelle“, die von dem Rechtsanwalt beauftragt wird. Betraut ein Rechtsanwalt also ein Unternehmen mit der Erbringung einer Dienstleistung, genügt die sorgfältige Auswahl des beauftragten Unternehmens – eine Sorgfaltskontrolle jedes Mitarbeiters ist nicht erforderlich.5

Werden im Nachhinein solche Tatsachen bekannt, die Zweifel an der Zuverlässigkeit begründen, muss der Rechtsanwalt „die Zusammenarbeit“ nach S. 2 unverzüglich beenden. Hieraus ergibt sich, dass der Vertrag zwischen Rechtsanwalt und Dienstleister für solche Fälle ein außerordentliches Kündigungsrecht vorsehen sollte.6 Rechtlich zwingend ist dies allerdings nicht, da sich ein solches auch nach § 314 Abs. 1 BGB herleiten ließe. Um Auslegungsschwierigkeiten – insbesondere hinsichtlich der Entbehrlichkeit einer Abmahnung nach § 314 Abs. 2 BGB – zu vermeiden, bietet sich eine vertragliche Festlegung der Notwendigkeit einer Kündigung nach § 43e Abs. 2 S. 2 BRAO jedoch an.

b)    Vertragsgestaltung

§ 43e Abs. 3 BRAO konkretisiert sodann die Anforderungen an die Verträge zwischen Rechtsanwälten und Dienstleistern.7 Diese müssen demnach – in Textform – folgende Inhalte aufweisen:

  1. Verpflichtung zur Verschwiegenheit mit Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung (§ 43e Abs. 3 S. 2 Nr. 1 BRAO)
  2. Ausdrückliche Verpflichtung des Dienstleisters, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist (§ 43e Abs. 3 S. 2 Nr. 2 BRAO)
  3. Festlegung, ob der Dienstleister Unterauftragnehmer beschäftigen darf (§ 43e Abs. 3 S. 2 Nr. 3 1. Hs. BRAO)
  4. Verpflichtung des Dienstleisters, Unterauftragnehmer in Textform zur Verschwiegenheit zu verpflichten (§ 43e Abs. 3 S. 2 Nr. 3 2. Hs. BRAO)

Nach § 43e Abs. 7 S. 2 BRAO gelten die Vorgaben aus Abs. 3 S. 2 nicht, wenn der Dienstleister seinerseits gesetzlich zur Verschwiegenheit verpflichtet ist. Dies dürfte in der Praxis hauptsächlich kanzleiinterne Dienstleistungen betreffen, bspw. in Großkanzleien, deren internationale Niederlassungen als eigenständige Gesellschaften strukturiert sind. In der Folge sind bei solchen kanzleiinternen Dienstleistungen zwar ebenfalls Verträge in Textform erforderlich (§ 43e Abs. 3 S. 1 BRAO). Diese müssen aber dem Wortlaut von § 43e Abs. 7 S. 2 i.V.m. Abs. 3 S. 2 nach weder eine Verpflichtung zur Verschwiegenheit, noch eine Belehrung über die Strafbarkeit, eine Beschränkung auf die für die Erbringung der Dienstleistung notwendigen Zugriffe oder Regelungen zu Unterauftragnehmern enthalten. Eine einfache Festlegung des Umfangs der Dienstleistungen in Textform genügt also in diesem Fall.

Offen bleibt jedoch bislang, welchen Inhalts die Verpflichtung von Dienstleistern hinsichtlich ihrer Unterauftragnehmer sein soll. Dem Wortlaut des § 43e Abs. 3 Nr. 3 2. Hs. BRAO genügt eine Verpflichtung des Dienstleisters, wiederum seine Unterauftragnehmer zur Verschwiegenheit zu verpflichten. Einer Belehrung über die Strafbarkeit, eine Verpflichtung zur Beschränkung der Kenntnisnahme auf das Erforderliche oder Regelungen zu weiteren Unterauftragnehmern bedarf es im Verhältnis zwischen Dienstleister und Unterauftragnehmern dem Wortlaut nach nicht.

c)    Einwilligungsvorbehalt

Eine weitere Einschränkung enthält § 43e Abs. 5 BRAO, der bei Inanspruchnahme von Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, die Einholung der Einwilligung des Mandanten erfordert. Ausweislich der Gesetzesbegründung sind damit im speziellen die Beauftragung eines Sachverständigen, eines Detektivs oder eines Übersetzers gemeint.8 Teilweise wird jedoch vertreten, dass der Anwendungsbereich dieser Vorschrift sehr viel weiter sei und sich daher beispielsweise auch Abrechnungsleistungen umfasse, da auch eine Abrechnung Informationen das konkrete Mandant betreffend enthalte.9 Allerdings spricht schon der Wortlaut „Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen“ gegen diese Auslegung. Gemeint sind vielmehr solche Dienstleistungen, die gerade nur einem einzelnen Mandat dienen, also für ein einzelnes Mandat beauftragt worden sind. Maßgebliches Kriterium ist zudem, ob für die jeweilige in Anspruch genommene Dienstleistung „ein besonderer Bedarf im einzelnen Mandat besteht“, was bei einem bloßen Abrechnungsservice wohl regelmäßig zu verneinen ist.10 Dies entspricht auch der Intention des Gesetzgebers, der die Inanspruchnahme externer Dienstleister durch Berufsgeheimnisträger gerade privilegieren wollte, um damit mehr Rechtsklarheit zu schaffen. Außerdem spricht der systematische Aufbau des § 43e BRAO gegen ein zu weites Verständnis des § 43e Abs. 5 BRAO, da das Einwilligungserfordernis des § 43e Abs. 5 BRAO ansonsten zum Regelfall erstarken und der in § 43e Abs. 1 BRAO aufgestellte Grundsatz in sein Gegenteil verkehrt werden würde.

Somit umfasst § 43e Abs. 5 BRAO nur solche Dienstleistungen, die der Rechtsanwalt gerade nicht für mehrere Mandanten verwendet, sondern die spezifisch für ein konkretes Mandat beschafft werden sollen, wie etwa ein bestimmter Datenraum für eine M&A-Transaktion oder eine Projektmanagement-Software für ein spezifisches Großmandat. Leistungen, die der Rechtsanwalt regelmäßig für alle oder jedenfalls mehrere Mandate verwendet, fallen demgegenüber unter § 43e Abs. 1 BRAO.11 Allerdings kann die Einwilligungen auch konkludent erfolgen,12 wenngleich schon aus Beweiszwecken eine schriftliche oder elektronische Einholung der Einwilligung anzuraten ist.

  1. Vgl. hierzu Gasteyer/Säljemar, NJW 2020, 1768 (1769). []
  2. Allgemein zur Auswahl und Kontrolle der Dienstleister durch Berufsgeheimnisträger Grosskopf/Momsen, CCZ 2018, 98 (100 f.). []
  3. Kritisch dazu Lange, ZAP 2017, 1097 (1098). []
  4. BT-Drucks. 18/11936, S. 34. []
  5. a.A. El-Auwad, AnwBl Online 2018, 29. []
  6. So auch Kraus, PinG 2018, 16 (19). []
  7. Siehe dazu Härting, NJW 2019, 1423 (1424 f.). []
  8. BT-Drucks. 18/11936, S. 36. []
  9. So Hoeren, ZD 2017, 501 (501). []
  10. BT-Drucks. 18/11936 S. 36. []
  11. Zu weiteren Abgrenzungsfragen Kraus, PinG 2018, 16 (18). []
  12. Träger, in: Feuerich/Weyland, Bundesrechtsanwaltsordnung: BRAO, 10. Aufl. 2020, BRAO § 43a Rn. 25. []
  • Adrian Schneider ist Mitbegründer, Vorstand und Hausnerd von Telemedicus sowie Rechtsanwalt bei Osborne Clarke in Köln.

  • Dennis Jennessen ist wissenschaftlicher Mitarbeiter bei Osborne Clarke in Berlin und Doktorand bei Prof. Dr. Louisa Specht-Riemenschneider.

6 Gedanken zu “#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud”

  1. Johannes Nehlsen sagt:

    Ein sehr guter Beitrag. Vielen Dank.
    Ein i-Tüpfelchen wäre noch ein Hinweis auf das Verhältnis zum Kommunikationsrecht (zB Fernmeldegeheimnis, ePrivacyRL) und zum Faktum, dass gerade Cloudanbieter die Kundendaten auch für eigene Zwecke nutzen, was m.E. nicht mehr von der Erforderlichkeit des § 203 StGB gedeckt wäre.

    1. Adrian Schneider sagt:

      Vielen Dank. Es gibt sicher noch super viel zu dem Thema zu sagen. Nur hat der Artikel jetzt schon alle Längenkonventionen gesprengt. 🙂

      Vielleicht zum Thema Nutzung zu eigenen Zwecken:

      Das Interessante ist ja, dass § 203 StGB nicht an die Verarbeitung, sondern an die „Offenbarung“ anknüpft, d.h. die Verschaffung der Möglichkeit zur Kenntnisnahme. Insofern ist § 203 StGB deutlich enger als der Verarbeitungsbegriff der DSGVO. Wenn die Offenbarung gegenüber dem Dienstleister für die Inanspruchnahme der Dienstleistung erforderlich ist (z.B. Offenbarung von E-Mails beim E-Mail Hoster), kommt es auf möglicherweise darüber hinausgehende Zwecke der Verarbeitung bei dem Dienstleister (z.B. Anlernen von Spamfiltern) nicht an.

      § 43e Abs. 3 Nr. 2 BRAO ist da etwas spezifischer. Danach muss der Dienstleister verpflichtet werden, „sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist“. Allerdings knüpft auch die BRAO nur an eine „Kenntnisnahme“ an, nicht an eine Verarbeitung. Trainiert der E-Mail Hoster also bspw. seine Spamfilter, ohne sich dafür von den E-Mails Kenntnis verschaffen zu müssen (z.B. weil keine menschliche Kontrolle erfolgt), wäre das m.E. auch mit der Verschwiegenheitsverpflichtung nach § 43e Abs. 3 Nr. 2 BRAO vereinbar.

      Der Geheimnisschutz hat insofern nur eine relativ kleine Schnittmenge mit dem Datenschutz und nicht alles, was datenschutzrechtlich möglicherweise unzulässig ist, ist auch unter dem Geheimnisschutz verboten.

      1. Lieber Adrian, sehr spannend. Aus schweizerischer Sicht ist z.B. der Beitrag #3 sehr gut nutzbar. Die dortigen Gedanken zur Vergleichbarkeit sind weiterführend.

        Zu Beitrag #4 möchte ich anregen, nicht vorschnell z.B. eine Pflicht zur Vertragskündigung in das Berufsrecht hineinzulesen. Es würde wohl genügen, wenn die Anwältin bzw der Anwalt einfach ihre Daten abzieht und zeigen kann, inwiefern dies zur Löschung bei der Cloud-Anbieterin führen wird.

        Ansonsten bzw. generell zum Begriff der „Offenbarung“ möchte ich anregen, dass man noch stärker differenzieren könnte — was in der Schweiz gemacht wird und was wohl auch in Deutschland noch mehr beleuchtet werden könnte: Die Differenzierung zwischen Maschinensicht und Personensicht.

        Ein Beispiel wie man dies machen könnte, findet sich hier (im Kontext einer Diskussion zur Abstimmung der E-ID in der Schweiz): https://e-idblog.ch/2021/02/17/was-bedeutet-kenntnis/

        Mir ist bewusst, dass die Formulierung des §203 StGB keine Notwendigkeit schafft für diese Differenzierung. Und dennoch könnte dies gewinnbringend eingebracht werden. Zum Beispiel, wenn man Folgendes beantworten will: Kann man eine Nutzung von Cloud-Angeboten ohne Überbindung der Geheimnispflicht auf den Dienstleister auch in Deutschland realisieren?

        Dass es nur auf die Personensicht ankommt, ist in der Schweiz mittlerweile wohl unumstritten und etabliert, unser Gutachten dazu — darin wurde diese Unterscheidung das erste mal vorgeschlagen — ist öffentlich verfügbar: https://www.lauxlawyers.ch/wp-content/uploads/2019/03/Cloud-und-Bankgeheimnis.pdf
        ich empfehle die Lektüre der Rz. 17, Rz. 21 und dazu vertiefend Rz. 22 ff und zur technischen Bedeutung Rz. 67 ff.

        Es wird in der Diskussion in der Schweiz nunmehr direkt mit den im genannten Gutachten begründeten Konzepten (nicht nur Personensicht v Maschinensicht, sondern auch „Normalbetrieb“ bzw. gewöhnlicher Lauf der Dinge) operiert. Diese Konzepte werden seither auch in der weiteren Literatur zum Thema aufgegriffen. Zum Teil finden sich hilfreiche und ergänzende Ableitungen dazu in der schweizerischen Literatur, die diesbezüglich einen erfreulich differenzierten Blick auf die Aufgabenstellung „Cloud für Geheimnisträger“ nimmt und somit einen guten Reifegrad erreicht hat. Die grossen Hyperscaler haben nunmehr die Schweiz als Rechenzentrumsstandort gewählt. Man kann dies nicht direkt als kausale Folge der fortgeschrittenen Diskussion darstellen. Aber man kann sagen: Die schweizerische Rechtsordnung ist vorbereitet, die Cloud als Aufgabenstellung zu erfassen.

        1. Adrian Schneider sagt:

          Vielen Dank, Christian!

          Zum Kündigungsrecht:
          Da sind wir einer Meinung. Ich sehe auch keine formelle Pflicht. In der Praxis ist der Punkt m.E. auch in aller Regel unkritisch.

          Zum Begriff der Offenbarung:
          Guter Punkt. Klassischerweise hat man unter Offenbarung nach § 203 StGB die Verschaffung der Möglichkeit zum Sichtzugriff verstanden. Ein tatsächlicher Zugriff muss dabei nicht unbedingt verfolgen. Maßgeblich ist, ob der Berufsgeheimnisträger die Entscheidung, ob ein Sichtzugriff erfolgt, aus der Hand gibt und der mitwirkenden Person überlässt.

          Wenn die Möglichkeit des Sichtzugriffs technisch ausgeschlossen ist, wird sicherlich keine Offenbarung vorliegen. Spannend sind die Fälle, in denen die Möglichkeit eines Sichtzugriffes zwar theoretisch nicht ganz auszuschließen ist, praktisch aber gänzlich unwahrscheinlich (z.B. bei bloßer Zugriffsmöglichkeit auf den RAM oder Hypervisor).

          1. Adrian Schneider sagt:

            Und vielleicht noch als Ergänzung: § 43e BRAO ist im Vergleich zu § 203 StGB ein Begriffschaos und wechselt wild zwischen „Zugang eröffnen“, „Kenntnis verschaffen“, „Zusammenarbeit“, „Leistungserbringung“ bzw. „Inanspruchnahme von Leistungen“.

            Mit „Zugang eröffnen“ ist m.E. dasselbe wie mit „Offenbaren“ gemeint. Die BRAO versucht insoweit die Pflichten des § 203 StGB zu kopieren, ohne davon abzuweichen.

            „Kenntnis verschaffen“ meint nach meinem Verständnis genau die Abgrenzung zwischen Sicht- und Maschinenzugriff, den du ansprichst: Der Rechtsanwalt darf den Zugang eröffnen, d.h. die Möglichkeit zur Kenntnisnahme geben. Der Dienstleister darf sich (tatsächlich) aber nur Kenntnis verschaffen, soweit das für die Dienstleistung erforderlich ist. „Kenntnis“ setzt m.E. eine menschliche Erfassung der Information voraus. „Verschaffen“ deutet auf eine aktive Tätigkeit hin – die bloß theoretische Möglichkeit genügt nicht und ergibt auch nicht wirklich Sinn: Denn der Rechtsanwalt darf ja ohnehin nur insoweit den (theoretischen) Zugang eröffnen, wie es für die Dienstleistung erforderlich ist. Einer weiteren Einschränkung des theoretischen Zugriffs auf Seiten des Dienstleisters bedarf es also nicht.

            „Zusammenarbeit“, „Leistungserbringung“ & Co. meint m.E. abstrakt das Vertragsverhältnis zwischen Rechtsanwalt und Dienstleister und trifft keine Aussage über die Qualität des Datenzugriffs.

  2. Rainer Großmann sagt:

    Sehr wichtiger Beitrag. Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory