Dem Geheimnis verpflichtet

Der letzte Super-GAU beim Datenschutz wurde in rund 5.000 Artikeln sowie diversen Radio- und Fernsehbeiträgen behandelt. 400 Journalisten aus 80 Ländern werteten 11,5 Millionen vertrauliche Dokumente aus – die meisten aus einer Kanzlei mit Sitz in Panama. Über die materiell-rechtliche Würdigung dieser sogenannten Panama-Papers müssen jetzt die Gerichte befinden. Eines sollte uns Steuerberatern, Wirtschaftsprüfern und Rechtsanwälten dadurch aber klargeworden sein: Ein solches Datenleck darf es in der eigenen Kanzlei nicht geben! Ebenso klar ist aber auch, dass sich der Berufsträger primär um seine Mandanten und seine fachliche Arbeit kümmern muss. Für die IT und EDV hingegen gibt es andere Spezialisten, externe Dienstleister. Das hat auch der deutsche Gesetzgeber erkannt und nun Möglichkeiten geschaffen, notwendige Dienstleistungen unter Einhaltung berufs- und datenschutzrechtlicher Vorgaben generell auszulagern; DATEV hatte vor der Gesetzreform den Status eines Berufshelfers, weshalb die Auslagerung bisher unproblematisch war.

Änderung der gesetzlichen Regeln

Kurz vor Ende der Legislaturperiode beschloss der Bundestag sowohl Änderungen am § 203 Strafgesetzbuch (StGB) als auch den ergänzenden berufsrechtlichen Vorschriften zur Verschwiegenheit, um die Beauftragung externer (IT-)Dienstleister durch Berufsgeheimnisträger nun konkret zu regeln. Die Neuregelung im Strafrecht trat Anfang Oktober in Kraft, nachdem sie am 22. September den Bundesrat passiert hatte. Im Kerngehalt bleibt der § 203 StGB unverändert. Berufsgeheimnisträger wie Steuerberater, Wirtschaftsprüfer und Rechtsanwälte machen sich grundsätzlich strafbar, wenn sie unbefugt vertrauliche Informationen preisgeben, die ihnen anvertraut wurden. Schon immer zulässig war die Weitergabe an Mitarbeiter und Berufsanwärter im Kanzleiumfeld und – wie erwähnt – die Auslagerung an Berufshelfer, wie DATEV. Neu ist jetzt die Öffnung der Weitergabe von Informationen an Personen, die an ihrer (also des Berufsgeheimnisträgers) beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist (§ 203 Abs. 3 Satz 2 StGB n. F.). Offenbart eine solche mitwirkende Person unbefugt ein Berufsgeheimnis, macht sich auch der Berufsträger strafbar, wenn er die mitwirkende Person nicht zur Geheimhaltung verpflichtet hat. In der Begründung des Gesetzes werden EDV-/IT-Dienstleistungen als Anwendungsbeispiel genannt. Darunter fällt nun auch DATEV. Die Novelle des § 203 StGB betrifft neben den oben genannten Berufsgruppen auch Ärzte, Apotheker sowie Angehörige von privaten Kranken-, Unfall- oder Lebensversicherungen oder von ärztlichen, steuerberatenden und anwaltlichen Verrechnungsstellen. Alle diese Berufsgeheimnisträger müssen nun tätig werden und mit ihren Dienstleistern eine Zusatzvereinbarung zur Geheimhaltung schließen, um einer möglichen Strafbarkeit im Fall einer unbefugten Offenbarung durch einen Dienstleister zu entgehen.
Zusätzlich zur Novelle im Strafrecht hat der Gesetzgeber auch die berufsrechtlichen Vorgaben zur Inanspruchnahme von Dienstleistungen geändert:

a) für Rechtsanwälte den § 43e Bundesrechtsanwaltsordnung (BRAO)

b) für Notare den § 26a Bundesnotarordnung (BNotO)

c) für Patentanwälte den § 39c Patentanwaltsordnung

d) für Steuerberater den § 62a Steuerberatungsgesetz (StBerG)

e) für Wirtschaftsprüfer den § 50a Wirtschaftsprüferordnung (WPO)

In den berufsrechtlichen Vorgaben verpflichtet der Gesetzgeber den Berufsgeheimnisträger zu einem Vertragsschluss in Textform (bei Notaren sogar in Schriftform) mit der Verpflichtung auf die Verschwiegenheit unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung; des Weiteren zur sorgfältigen Auswahl des Dienstleisters sowie zur sofortigen Beendigung des Vertragsverhältnisses, wenn die Einhaltung der gesetzlichen Vorgaben nicht gewährleistet ist.

Verpflichtungserklärungen

Die Strafbarkeit hinsichtlich des Offenbarens von Berufsgeheimnissen durch den Dienstleister ist nur dann ausgeschlossen, wenn der Dienstleister zur Geheimhaltung verpflichtet wird (§ 203 Abs. 4 StGB n. F.). Eine Verpflichtungserklärung ist sowohl mit dem IT-Dienstleister, der Einzelkämpfer ist, als auch mit großen Dienstleistungsunternehmen mit wechselnden Service-Mitarbeitern abzuschließen. Unabhängig von der Größe des IT-Partners muss mit diesem eine Verpflichtung zur Verschwiegenheit in Textform vereinbart werden. Ziel ist, ein unbefugtes Offenbaren zu verhindern und damit das Mandatsgeheimnis zu wahren.

Need-to-know-Prinzip

Mit der Neuregelung besteht zudem die Verpflichtung des Dienstleisters, von den Informationen nur insoweit Kenntnis zu nehmen, als dies für die Erfüllung des Dienstleistungsvertrags erforderlich ist (sogenanntes Need-to-know-Prinzip); auch dies ist in der Verpflichtungsvereinbarung festzuhalten. Muss sich der IT-Dienstleister beispielsweise auf einen Rechner aufschalten, wird es kaum vermeidbar sein, dass er auch geschützte Daten sehen kann. Gleiches gilt für Fälle, in denen EDV-Dienstleister den Schlüssel für den Server-Raum bekommen, um außerhalb der Bürozeiten zu installieren beziehungsweise das System zu warten. Liefert der EDV-Dienstleister hingegen nur Hardware aus, ist eine Kenntnisnahme von Daten nicht unbedingt erforderlich und muss dann auch unterbleiben. Jedenfalls kann der Anspruch des Strafgesetzes hier aber nach meinem Verständnis nicht weiter gehen, als der gesunde Menschenverstand es erwarten lässt.

Dienstleister, Subunternehmer, Cloud-Dienste

Bei der Auswahl der betreffenden Dienstleister kann der Berufsgeheimnisträger nicht vorsichtig genug sein. Gleichzeitig muss er aber auch kein EDV-Spezialist werden. Er wird vielmehr auf verschiedene Anhaltspunkte zurückgreifen müssen. In Betracht kommen die Empfehlung anderer, eine Spezialisierung oder auch ein professionelles Auftreten. Nicht wenige IT-Dienstleister bieten zudem Gewähr für hohe Sicherheitsstandards. Auch Zertifizierungen und besondere Qualifikationen können ein Indiz sein. Eine Sonderstellung in diesem Zusammenhang nimmt DATEV ein. Aufgrund ihrer genossenschaftlichen Struktur ist der Berufsgeheimnisträger hier in der Regel Mitglied, also nicht nur Kunde. Wichtig ist auch, den Einsatz von Subunternehmern, Systempartnern und Dritten, die über Schnittstellen mitwirken, mit in den Blick zu nehmen und in der Verpflichtungsvereinbarung die Zulässigkeit zu adressieren. Insoweit bedarf es zunächst einmal der Zustimmung des Berufsgeheimnisträgers, dass der beauftragte Dienstleister Subunternehmen mit einbezieht. Und sofern das geschieht, sind die Subunternehmer durch den Dienstleister ebenfalls wie der Dienstleister selbst zur Verschwiegenheit zu verpflichten und zu belehren. Aus Gründen der Überwachung und Kontrolle ist der Verfasser gegenüber Cloud-Lösungen skeptisch, obgleich der Vorteil eines Zugriffs von überall unbestritten ist und zuverlässige Cloud-Lösungen durch die aktuellen gesetzlichen Änderungen gedeckt sind.

Pflichtverletzungen

Mit der sorgfältigen Auswahl des Dienstleisters allein ist es nicht getan. Wie bei Mitarbeitern darauf zu achten ist, dass diese sich das Passwort nicht auf einem Zettel am Computer notieren, sollten IT-Dienstleister nicht längere Zeit unbeaufsichtigt Zugriff auf geschützte Daten haben. Schaltet sich der Techniker beispielsweise auf, bietet es sich an, dass jemand aus der Kanzlei überwacht, welche Daten abgefragt werden. Entsprechendes gilt bei einer Neuinstallation in der Kanzlei. Ein großes Risiko sind in diesem Zusammenhang auch USB-Sticks. Nicht wenige Dienstleister nutzen Installations-Sticks; hier muss der Berufsgeheimnisträger auf die Seriosität des Anbieters vertrauen beziehungsweise diesen vorher sorgfältig auswählen. In jedem Fall sollte man aber sensibel reagieren, wenn ein fremder USB-Stick am Server eingesteckt wird. In diesem Zusammenhang ist auch die Pflicht zur sofortigen Beendigung des Vertragsverhältnisses bei Pflichtverletzungen zu sehen. Hier werden aber keine höheren Anforderungen zu stellen sein als bei der Verschwiegenheitsverpflichtung der Kanzleimitarbeiter. Der Verfasser selbst musste einmal ein Team-Mitglied bei einer Abschlussprüfung in die Schranken weisen, als es sich beim Abendessen in der Gaststätte lautstark über die Qualität der Buchhalterin äußerte. Eine fristlose Kündigung wäre hier wohl unverhältnismäßig gewesen. Wenn dagegen ein Mitarbeiter Datenträger an die Presse weitergibt – so geschehen bei Lux-Leaks – muss das Vertragsverhältnis sofort beendigt werden. Ein Grenzfall sind sicherlich Äußerungen und Verhaltensweisen, die zwar selbst keine Verstöße darstellen, aber auf solche hindeuten, etwa wenn IT-Dienstleister offen über mehr als nur die IT-Infrastruktur in anderen Kanzleien berichten.

Problembewusstsein schaffen

Erfahrungsgemäß wird dem Datenschutz und der Datensicherheit in Kanzleien nicht immer die notwendige Beachtung geschenkt. Wer das Thema für unwichtig hält, sollte einen Thriller, noch dazu einen amerikanischen lesen, obgleich The Firm (deutsch: Die Firma) von John Grisham weder ein Lehrbuch noch ein Kommentar zum Datenschutz ist. In dem Roman schleust ein junger Anwalt eine Bekannte als Reinigungskraft in die Kanzlei ein und lässt sie dort nächtelang belastende Akten kopieren. Die Wirklichkeit hat das 1991 geschriebene Werk längst überholt. Inzwischen muss nicht einmal mehr jemand eingeschleust werden, ein paar Mausklicks reichen aus. Daher gilt in der Kanzlei des Verfassers: Wer leichtfertig mit Daten umgeht, muss die 501 Seiten von John Grisham in seiner Freizeit lesen – und zwar auf Englisch! Bisher hat allein die Drohung gewirkt, ganz ohne Hinweis auf das Strafgesetzbuch.