Berufsgeheimnisträger sind längst auf Dienstleistungen Dritter angewiesen. Daher soll die Einschaltung von externen Partnern grundsätzlich keinen Verstoß mehr gegen die berufliche Schweigepflicht darstellen.
Der § 203 des Strafgesetzbuchs (StGB) schützt ein hohes Gut, nämlich das Vertrauensverhältnis zwischen dem Betroffenen und jenen, gegenüber denen er sich offenbaren können muss, um sich richtig behandeln oder rechtlich unterstützen zu lassen. Folglich sanktioniert die Vorschrift Folgendes:
„Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Berufsgeheimnisträger, insbesondere Rechtsanwalt, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“
Den genannten Berufsgeheimnisträgern stehen durch § 203 Abs. 3 Satz 2 StGB deren berufsmäßig tätige Gehilfen sowie die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. Das ermöglicht deren Einbindung in die Tätigkeit, ohne dass es eine rechtswidrige Offenbarung im Sinne des § 203 Abs. 1 StGB darstellt.
Allerdings – und das ist die Problemlage – sind „berufsmäßig tätige Gehilfen“ grundsätzlich nur solche Personen, die innerhalb des Wirkungskreises eines Berufsgeheimnisträgers eine auf dessen berufliche Tätigkeit bezogene, unterstützende Tätigkeit ausüben, welche die Kenntnis fremder Geheimnisse mit sich bringt. Externe Dienstleister, wie etwa IT-Dienstleister und IT-Outsourcing, fallen nicht darunter. Für den Datenschutzbeauftragten findet sich in § 203 Abs. 2a StGB eine nachträglich eingefügte Sonderregelung, die dessen „Einblicke“ ermöglicht. Es wird deutlich, dass dieser Schutz sehr ernst genommen wird und Erweiterungen über die Person des Berufsgeheimnisträgers hinaus vom Gesetzgeber bewusst eingeschränkt sind.
Spannungsverhältnis
Die Regelung macht es Berufsgeheimnisträgern unmöglich, Dienstleistungen zeitgemäß, sozialadäquat und rechtssicher zu nutzen.
Dieser strafrechtliche Schutz macht es den Berufsgeheimnisträgern unmöglich, Dienstleistungen rechtssicher, sozialadäquat und zeitgemäß zu nutzen, wenn deren Zugang zu Informationen, die dem Geheimnis unterliegen, nicht sicher ausgeschlossen ist. Je nach Standpunkt beginnt das Problem bei der Beauftragung externer – also nicht als Arbeitnehmer – eingesetzter Reinigungsdienstleister, setzt sich fort über Entsorgungs- und Vernichtungsunternehmen sowie Telefonzentralen in Bürogebäuden und geht bis hin zu IT-Dienstleistern und letztlich auch Cloud-Diensten. Natürlich mag man rechtspolitisch anderer Meinung sein und das für richtig halten. Aber es darf auch die Frage gestellt werden, ob die bloße Alternative, einen entsprechenden Mitarbeiter einzustellen oder dies als Berufsgeheimnisträger selbst zu tun, heute noch der komplexer gewordenen Lebenswirklichkeit gerecht wird. Auch unter dem Aspekt des Schutzes der Geheimnisse des Betroffenen könnte es gerade unter dem Aspekt der IT- und Datensicherheit ein höheres Maß an Schutz bieten, wenn ein externer Dienstleister die Soft- und Hardware betreut oder gar durch externe Hardware sicherstellt.
Auswirkungen der DS-GVO
Die Datenschutz-Grundverordnung (DS-GVO), die ab 25. Mai 2018 anzuwenden ist, macht deutlich, dass nicht nur der Schutz gegenüber Dritten, sondern auch der Schutz gegen sonstigen Verlust oder Veränderung sowie die Belastbarkeit der Datenhaltung bußgeldbewehrte Aspekte des Datenschutzes sind; einschlägige Regelungen sind insbesondere die Sicherheit der Verarbeitung (Art. 32 DS-GVO) sowie die Meldepflicht bei Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DS-GVO). Sollen diese Anforderungen für die Berufsgeheimnisträger nicht in weiten Teilen unerfüllbare Vorgaben bleiben, muss die Einbindung Externer möglich sein, ohne dass diese als Arbeitnehmer angestellt werden müssen. Auch die DS-GVO sieht Anforderungen für die Auslagerung von Dienstleistungen vor, wenn ein Zugriff dieser auf personenbezogene Daten nicht ausgeschlossen ist. Die Anforderungen dieser Regelungen müssen neben den neuen Anforderungen für Berufsgeheimnisträger beachtet werden. Die gemeinsame Betrachtung der Anforderungen macht die Umsetzung in der Praxis deutlich leichter, da die Neuregelung in § 203 StGB sowie dem StBerG erkennbar an den datenschutzrechtlichen Regelungen zur Auftragsverarbeitung angelehnt sind.
Novellierung des § 203 StGB
Am 29./30. Juni 2017 hat der deutsche Bundestag schließlich den Weg für das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen frei gemacht. Das bei dem Gesetzgebungsvorhaben federführende Bundesministerium für Justiz und Verbraucherschutz will damit der Entwicklung der Digitalisierung sowie der Unterstützung durch darauf spezialisierte Unternehmen Rechnung tragen. Zum Abschluss des Verfahrens muss nun noch der Bundesrat zustimmen, was allerdings in dieser Legislaturperiode wohl nicht mehr passieren wird. Der Gesetzesentwurf jedenfalls sieht Änderungen des Strafgesetzbuches (StGB), der Bundesrechtsanwaltsordnung (BRAO), der Bundesnotarordnung (BNotO), der Patentanwaltsordnung (PAO), des Steuerberatungsgesetzes (StBerG) sowie der Wirtschaftsprüferordnung (WPO) vor. Es sollen insbesondere Befugnisnormen eingefügt werden, die Voraussetzungen und Grenzen festlegen, unter denen Dienstleistern der Zugang zu fremden Geheimnissen eröffnet werden darf. Der Ansatz im Bereich der Steuerberatung ist zweigliedrig, wobei die Vorgaben aus beiden Regelungen beachtet werden müssen: 1. § 203 StGB soll geändert werden, um die Strafbarkeit auszuschließen, wenn die dort genannten Anforderungen beachtet sind. 2. Im StBerG soll ein § 62a die Anforderungen für die Beauftragung konkretisieren.
Der Entwurf der Neuregelung
§ 203 StGB wird zunächst insoweit geöffnet, als die Offenbarung eines Berufsgeheimnisses gegenüber Dritten nicht strafbar ist, wenn diese an der beruflichen oder dienstlichen Tätigkeit mitwirken und das für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist. Allerdings wird der Berufsgeheimnisträger nach § 203 StGB sanktioniert, sofern er nicht dafür Sorge getragen hat, dass dieser Dritte zur Geheimhaltung verpflichtet wurde. Mit anderen Worten: Die Einbindung ist zulässig, wenn die Verpflichtung zur Geheimhaltung erfolgt ist. Sofern sich der Dritte Subunternehmer bedient, wird dieses Schema zur Einbindung im Unterauftragsverhältnis fortgesetzt.
Inanspruchnahme von Dienstleistungen
Der Entwurf des geplanten § 62a StBerG enthält unter der Überschrift „Inanspruchnahme von Dienstleistungen“ eine eigenständige Regelung dazu, welche Anforderungen bei der Einbindung von Dienstleistern zu beachten sind. § 62a Abs. 1 des Entwurfs regelt zunächst noch einmal, dass Dienstleistern Zugang zu Informationen gewährt werden darf, soweit das für die Erbringung der Dienstleistung erforderlich ist. Der Begriff „Dienstleister“ wird in § 62a Abs. 1 Satz 2 des Entwurfs definiert. Es wird damit das Erforderlichkeitsprinzip sowohl in Bezug auf die Einbindung als auch den Umfang des Zugriffs deutlich. Es ist also zu begründen, warum ein Dienstleister eingesetzt wird, und darzulegen, wie der Zugriff des Dienstleisters auf das erforderliche Maß begrenzt wird. Letzteres macht sowohl technische Gestaltungen als auch vertragliche Regelungen erforderlich. Der Steuerberater hat den Dienstleister sorgfältig auszuwählen (§ 62a Abs. 2 Satz 1 StBerG-Entwurf). Hier bietet sich eine Orientierung an der bisherigen Praxis zu § 11 BDSG (Auftragsdatenverarbeitung) sowie der ab 25. Mai 2018 anzuwendenden DS-GVO an. § 62a Abs. 3 Satz 2 StBerG-Entwurf macht Vorgaben zum Mindestinhalt des Vertrags mit dem Dienstleister, der nur in Textform geschlossen werden muss (Abs. 3 Satz 1). Nach § 62a Abs. 2 Satz 2 StBerG-Entwurf ist die Zusammenarbeit unverzüglich zu beenden, wenn diese Vorgaben nicht auch tatsächlich beachtet werden. Der Dienstleister ist in dem Vertrag auf die Verschwiegenheit zu verpflichten und über die strafrechtlichen Folgen des Verstoßes zu belehren. Hier zeigt sich die Überschneidung zu § 203 StGB (siehe oben). Der Dienstleister ist vertraglich zu verpflichten, sich nur im für die Dienstleistung notwendigen Maß Kenntnis von Informationen zu beschaffen. Es ist zu regeln, ob der Dienstleister weitere Dienstleister beauftragen darf und wie hierbei zu verfahren ist. Bei der Gestaltung dieser Vereinbarung zeigt sich die Überschneidung zum Vertrag über die Auftrags(daten)verarbeitung (§ 11 BDSG und Art. 28 DS-GVO), der ohnehin abzuschließen ist. Die Vertragsregelung zu § 62a StBerG-Entwurf lassen sich dort unter einer eigenen Überschrift integrieren. Absatz 3 Satz 2 gilt nicht, soweit der Dienstleister hinsichtlich der zu erbringenden Dienstleistung gesetzlich zur Verschwiegenheit verpflichtet ist. In Abs. 4 des § 62a StBerG-Entwurf sind spezielle Anforderungen für die Beauftragung von ausländischen Dienstleistern vorgesehen. Auch EU und EWR sind insoweit Ausland. Voraussetzung ist, dass dort das Berufsgeheimnis ebenso geschützt ist. Das ist aber nicht deckungsgleich mit der datenschutzrechtlichen Frage nach dem Schutzniveau im Ausland. Für die Inanspruchnahme von Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, enthält § 62a Abs. 4 StBerG-Entwurf eine Spezialregelung. Diese Vorgaben sind nach Abs. 6 auch dann einzuhalten, wenn der Mandant in die Einbindung des Dienstleisters eingewilligt hat, es sei denn, der Mandant hat ausdrücklich auf die Einhaltung der Vorgaben des Absatzes 2 und 3 verzichtet. Nach Absatz 7 bestehen Ausnahmen von diesen Vorgaben, soweit Dienstleistungen aufgrund besonderer gesetzlicher Vorschriften in Anspruch genommen werden.
Verhältnis zum Datenschutzrecht
Abschließend wird in Absatz 8 klargestellt, dass die Vorschriften zum Schutz personenbezogener Daten unverändert zu beachten sind. Gerade mit der DS-GVO, die ab dem 25. Mai 2018 anzuwenden ist, werden im Vergleich zum aktuellen Bundesdatenschutzgesetz (BDSG) erhebliche Anforderungen hinzukommen. Allerdings ergänzen sich die Regelungen faktisch auch, da § 62a StBerG-Entwurf Parallelen zur Ausgestaltung der Auftrags(daten)verarbeitung zeigt.
Fazit
Der Gesetzgeber hat das Problem erkannt und will den Weg zu rechtskonformen Lösungen unter Ausgleich beider Interessen bieten. Die Parallelität der Anforderungen zum Datenschutzrecht ist erkennbar und sollte als Chance verstanden werden. Denn gerade im Datenschutzrecht lassen sich Anhaltspunkte finden, wie die Regelungen praktisch umgesetzt werden können, wenngleich der Unterschied – gerade bei Dienstleistern im Ausland – nicht übersehen werden darf. Zweifelhaft scheint allerdings mit Blick auf die Bundestagswahlen im September 2017, wann das Gesetzgebungsvorhaben erfolgreich zu Ende gebracht wird. Die DATEV wird über das weitere Vorgehen informieren, sobald der Gesetzeswortlaut endgültig feststeht.
Foto: Diego Lezama, Kyle Sparks / Getty Images