#Soko21: Heiter bis wolkig: Mandatsgeheimnisse in der Cloud
5. Verhältnis zur DSGVO
Die Vorgaben der DSGVO bleiben sowohl von § 203 StGB als auch von § 43e BRAO grundsätzlich unberührt. Zwar wird vereinzelt vertreten, dass Art. 90 DSGVO eine pauschale Freistellung der speziellen Regelungen für Berufsgeheimnisträger von den Vorgaben des Datenschutzrechts begründet.1 Art. 90 DSGVO sieht jedoch lediglich eine Einschränkung der Befugnisse der Aufsichtsbehörde gegenüber Berufsgeheimnisträgern vor.2 Eine weitergehende Einschränkung des Anwendungsbereichs der DSGVO gegenüber Berufsgeheimnisträgern lässt sich hieraus nicht ableiten.
Das kann dazu führen, dass die Offenbarung von Mandantendaten gegenüber einem externen Dienstleister zwar aus strafrechtlicher und berufsrechtlicher Perspektive zulässig ist, datenschutzrechtlich aber unzulässig ist.3 So liegt beispielsweise kein strafrechtlich relevantes Verhalten eines Berufsgeheimnisträgers vor, wenn das Geheimnis gegenüber einer sonstigen mitwirkenden Person offenbart wurde, sofern dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist. Den Abschluss einer ggf. erforderlichen Auftragsverarbeitungsvereinbarung ersetzt das jedoch nicht.
Umgekehrt hat die parallele Anwendung von Strafrecht und Datenschutzrecht seit der Schrems II-Entscheidung4 des EuGH durchaus an Relevanz gewonnen. Unterliegen die verarbeiteten Daten einem strafrechtlichen Schutz durch § 203 Abs. 1 StGB stellt sich die Frage, inwiefern dies Auswirkungen auf das Datenschutzniveau bei der Verarbeitung durch einen Dienstleister außerhalb der EU hat. Insofern stellt eine Verarbeitung von Berufsgeheimnissen einen Sonderfall im Vergleich zu dem vom EuGH entschiedenen Fall dar.
Aussichten: Heiter bis wolkig
Es ist vor allem das anwaltliche Berufsrecht, das den Weg in die Cloud für Rechtsanwältinnen und Rechtsanwälte steinig gestaltet. Die Anforderungen des § 203 StGB lassen sich in der Praxis in aller Regel praktikabel und sinnvoll umsetzen. Dabei liegt der Fokus, neben einer ordentlichen Verpflichtung zur Geheimhaltung, auf der durchaus nützlichen Frage, inwiefern die Offenbarung von Berufsgeheimnissen tatsächlich erforderlich ist und wie sie sich sinnvoll reduzieren lässt.
Dagegen liefert § 43e BRAO mehr Fragen als Antworten und ernennt das deutsche Schutzniveau anwaltlicher Berufsgeheimnisse zum internationalen Gold-Standard, an dem sich jeder Ausländer messen lassen muss und der in der EU nur „in der Regel“ erfüllt sein soll. Derweil entscheidet gerade der Europäische Gerichtshof für Menschenrechte über den Schutz von Mandatsgeheimnissen vor staatlichen Zugriffen in Deutschland.5
Mitveranstalter:
Sponsoren:
- So Hoeren, ZD 2017, 501 (501); Cornelius, NJW 2017, 3751 (3753). [↑]
- Herbst, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 90 Rn. 6 f. [↑]
- Kritisch aber Haustein, DSRITB 2017, 87 (94 ff.), der in dieser Zweiteilung einen Wertungswiderspruch sieht und daher § 203 StGB dahingehend auslegen möchte, dass auch Auftragsverarbeiter in den Anwendungsbereich dieser Strafvorschrift fallen. [↑]
- EuGH Urt. v. 16.7.2020 – C-311/18, NJW 2020, 2613 ff. – Schrems II. [↑]
- https://www.juve.de/nachrichten/verfahren/2021/07/razzia-gegen-interne-ermittler-gerichtshof-fuer-menschenrechte-prueft-den-fall-jones-day [↑]
Ein sehr guter Beitrag. Vielen Dank.
Ein i-Tüpfelchen wäre noch ein Hinweis auf das Verhältnis zum Kommunikationsrecht (zB Fernmeldegeheimnis, ePrivacyRL) und zum Faktum, dass gerade Cloudanbieter die Kundendaten auch für eigene Zwecke nutzen, was m.E. nicht mehr von der Erforderlichkeit des § 203 StGB gedeckt wäre.
Vielen Dank. Es gibt sicher noch super viel zu dem Thema zu sagen. Nur hat der Artikel jetzt schon alle Längenkonventionen gesprengt. 🙂
Vielleicht zum Thema Nutzung zu eigenen Zwecken:
Das Interessante ist ja, dass § 203 StGB nicht an die Verarbeitung, sondern an die „Offenbarung“ anknüpft, d.h. die Verschaffung der Möglichkeit zur Kenntnisnahme. Insofern ist § 203 StGB deutlich enger als der Verarbeitungsbegriff der DSGVO. Wenn die Offenbarung gegenüber dem Dienstleister für die Inanspruchnahme der Dienstleistung erforderlich ist (z.B. Offenbarung von E-Mails beim E-Mail Hoster), kommt es auf möglicherweise darüber hinausgehende Zwecke der Verarbeitung bei dem Dienstleister (z.B. Anlernen von Spamfiltern) nicht an.
§ 43e Abs. 3 Nr. 2 BRAO ist da etwas spezifischer. Danach muss der Dienstleister verpflichtet werden, „sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist“. Allerdings knüpft auch die BRAO nur an eine „Kenntnisnahme“ an, nicht an eine Verarbeitung. Trainiert der E-Mail Hoster also bspw. seine Spamfilter, ohne sich dafür von den E-Mails Kenntnis verschaffen zu müssen (z.B. weil keine menschliche Kontrolle erfolgt), wäre das m.E. auch mit der Verschwiegenheitsverpflichtung nach § 43e Abs. 3 Nr. 2 BRAO vereinbar.
Der Geheimnisschutz hat insofern nur eine relativ kleine Schnittmenge mit dem Datenschutz und nicht alles, was datenschutzrechtlich möglicherweise unzulässig ist, ist auch unter dem Geheimnisschutz verboten.
Lieber Adrian, sehr spannend. Aus schweizerischer Sicht ist z.B. der Beitrag #3 sehr gut nutzbar. Die dortigen Gedanken zur Vergleichbarkeit sind weiterführend.
Zu Beitrag #4 möchte ich anregen, nicht vorschnell z.B. eine Pflicht zur Vertragskündigung in das Berufsrecht hineinzulesen. Es würde wohl genügen, wenn die Anwältin bzw der Anwalt einfach ihre Daten abzieht und zeigen kann, inwiefern dies zur Löschung bei der Cloud-Anbieterin führen wird.
Ansonsten bzw. generell zum Begriff der „Offenbarung“ möchte ich anregen, dass man noch stärker differenzieren könnte — was in der Schweiz gemacht wird und was wohl auch in Deutschland noch mehr beleuchtet werden könnte: Die Differenzierung zwischen Maschinensicht und Personensicht.
Ein Beispiel wie man dies machen könnte, findet sich hier (im Kontext einer Diskussion zur Abstimmung der E-ID in der Schweiz): https://e-idblog.ch/2021/02/17/was-bedeutet-kenntnis/
Mir ist bewusst, dass die Formulierung des §203 StGB keine Notwendigkeit schafft für diese Differenzierung. Und dennoch könnte dies gewinnbringend eingebracht werden. Zum Beispiel, wenn man Folgendes beantworten will: Kann man eine Nutzung von Cloud-Angeboten ohne Überbindung der Geheimnispflicht auf den Dienstleister auch in Deutschland realisieren?
Dass es nur auf die Personensicht ankommt, ist in der Schweiz mittlerweile wohl unumstritten und etabliert, unser Gutachten dazu — darin wurde diese Unterscheidung das erste mal vorgeschlagen — ist öffentlich verfügbar: https://www.lauxlawyers.ch/wp-content/uploads/2019/03/Cloud-und-Bankgeheimnis.pdf
ich empfehle die Lektüre der Rz. 17, Rz. 21 und dazu vertiefend Rz. 22 ff und zur technischen Bedeutung Rz. 67 ff.
Es wird in der Diskussion in der Schweiz nunmehr direkt mit den im genannten Gutachten begründeten Konzepten (nicht nur Personensicht v Maschinensicht, sondern auch „Normalbetrieb“ bzw. gewöhnlicher Lauf der Dinge) operiert. Diese Konzepte werden seither auch in der weiteren Literatur zum Thema aufgegriffen. Zum Teil finden sich hilfreiche und ergänzende Ableitungen dazu in der schweizerischen Literatur, die diesbezüglich einen erfreulich differenzierten Blick auf die Aufgabenstellung „Cloud für Geheimnisträger“ nimmt und somit einen guten Reifegrad erreicht hat. Die grossen Hyperscaler haben nunmehr die Schweiz als Rechenzentrumsstandort gewählt. Man kann dies nicht direkt als kausale Folge der fortgeschrittenen Diskussion darstellen. Aber man kann sagen: Die schweizerische Rechtsordnung ist vorbereitet, die Cloud als Aufgabenstellung zu erfassen.
Vielen Dank, Christian!
Zum Kündigungsrecht:
Da sind wir einer Meinung. Ich sehe auch keine formelle Pflicht. In der Praxis ist der Punkt m.E. auch in aller Regel unkritisch.
Zum Begriff der Offenbarung:
Guter Punkt. Klassischerweise hat man unter Offenbarung nach § 203 StGB die Verschaffung der Möglichkeit zum Sichtzugriff verstanden. Ein tatsächlicher Zugriff muss dabei nicht unbedingt verfolgen. Maßgeblich ist, ob der Berufsgeheimnisträger die Entscheidung, ob ein Sichtzugriff erfolgt, aus der Hand gibt und der mitwirkenden Person überlässt.
Wenn die Möglichkeit des Sichtzugriffs technisch ausgeschlossen ist, wird sicherlich keine Offenbarung vorliegen. Spannend sind die Fälle, in denen die Möglichkeit eines Sichtzugriffes zwar theoretisch nicht ganz auszuschließen ist, praktisch aber gänzlich unwahrscheinlich (z.B. bei bloßer Zugriffsmöglichkeit auf den RAM oder Hypervisor).
Und vielleicht noch als Ergänzung: § 43e BRAO ist im Vergleich zu § 203 StGB ein Begriffschaos und wechselt wild zwischen „Zugang eröffnen“, „Kenntnis verschaffen“, „Zusammenarbeit“, „Leistungserbringung“ bzw. „Inanspruchnahme von Leistungen“.
Mit „Zugang eröffnen“ ist m.E. dasselbe wie mit „Offenbaren“ gemeint. Die BRAO versucht insoweit die Pflichten des § 203 StGB zu kopieren, ohne davon abzuweichen.
„Kenntnis verschaffen“ meint nach meinem Verständnis genau die Abgrenzung zwischen Sicht- und Maschinenzugriff, den du ansprichst: Der Rechtsanwalt darf den Zugang eröffnen, d.h. die Möglichkeit zur Kenntnisnahme geben. Der Dienstleister darf sich (tatsächlich) aber nur Kenntnis verschaffen, soweit das für die Dienstleistung erforderlich ist. „Kenntnis“ setzt m.E. eine menschliche Erfassung der Information voraus. „Verschaffen“ deutet auf eine aktive Tätigkeit hin – die bloß theoretische Möglichkeit genügt nicht und ergibt auch nicht wirklich Sinn: Denn der Rechtsanwalt darf ja ohnehin nur insoweit den (theoretischen) Zugang eröffnen, wie es für die Dienstleistung erforderlich ist. Einer weiteren Einschränkung des theoretischen Zugriffs auf Seiten des Dienstleisters bedarf es also nicht.
„Zusammenarbeit“, „Leistungserbringung“ & Co. meint m.E. abstrakt das Vertragsverhältnis zwischen Rechtsanwalt und Dienstleister und trifft keine Aussage über die Qualität des Datenzugriffs.
Sehr wichtiger Beitrag. Danke!