Zur Strafbarkeit von IT-Dienstleistern von Berufsgeheimnisträgern

Der Bundestag hat am 29.06.2017 das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ beschlossen, welches tiefgreifende Änderungen für solche IT-Dienstleister bedeutet, welche IT- Lösungen für sog. „Berufsgeheimnisträger“ (d.h. Ärzten, Krankenhäuser, Anwälte, Steuerberater etc.) anbieten oder für solche IT-Dienstleistungen erbringen.

Zwar erleichtert das Gesetz künftig Berufsgeheimnisträgern die Einbeziehung und Nutzung von IT-Lösungen. So kann künftig z.B. ein Krankenhaus  Cloud-Dienste etc. nutzen, um Daten zu verarbeiten. Auch erleichtert es Anwälten und Steuerberatern die Möglichkeit, ihre IT Systeme von Externen warten zu lassen und auf Bestandslösungen zurückzugreifen, bei denen der Dienstleister Zugriff auf Mandantendatenunterlagen haben könnte.

Der Nachteil für den Dienstleister ist aber, dass er selbst in den Kreis der nach § 203 StGB zur Geheimhaltung verpflichteten Personen einbezogen wird.  Dies bedeutet, dass IT Dienstleister Informationen, die sie im Zusammenhang mit ihrer Tätigkeit erhalten und die das Mandatsverhältnis des betreuten Berufsträgers betreffen, gegen dessen Willen Dritten „nicht offenbaren“ dürfen, ohne sich strafbar zu machen. „Offenbaren“ ist weit zu verstehen, d.h. jede Ermöglichung der Kenntnisnahme genügt. Das heißt der Dienstleister macht sich selbst strafbar, wenn er leichtfertig Dritten Informationen überlässt oder wiederum Dritte einsetzt, z.B. Freelancer oder nachgelagerte Dienstleister.

Besonders problematisch wird es bei strafrechtlichen Maßnahmen, die sich gegen Mandanten des Berufsträgers richten. So wurden in der Vergangenheit gerne beim IT-Dienstleister Durchsuchungen durchgeführt, um an Daten und Informationen zu gelangen, die beim Berufsträger selbst nicht einzuholen waren. Dem IT-Dienstleister steht in Zukunft zwar ein eigenes Zeugnisverweigerungsrecht (§ 53 a StPO) zu, mit dem auch ein Beschlagnahmeverbot bestimmter Aufzeichnungen seiner Tätigkeit (§ 97 StPO) verbunden ist. Hiervon dürften jedoch die gegebenenfalls beim Dienstleister gespeicherten Daten des Mandanten nicht geschützt werden, so dass Durchsuchungen und Beschlagnahmen weiterhin attraktiv bleiben dürften. Die Beschlagnahme solcher Daten selbst wird dabei nur schwer zu verhindern sein. Der Dienstleister muss sich aber bewusst sein, dass er sich selbst bei Existenz eines Durchsuchungs- und Beschlagnahmebeschlusses strafbar machen kann, wenn er den Strafverfolgungsbehörden die verlangten Unterlagen einfach herausgibt und mit den Behörden kooperiert. Die Problematik, wie auf solche Maßnahmen zu reagieren ist und ob Mitarbeiter des Dienstleisters z.B. die Herausgabe von Passwörtern verweigern dürfen oder nicht, wird damit auf den Dienstleister verlagert.

Ein weiterer Regelungspunkt des Gesetzes sind Anforderungen an den Vertrag zwischen dem Berufsträger und dem IT-Dienstleister. So verlangt das Gesetz, dass

• der Vertrag in Textform geschlossen wird
• der Dienstleister über die strafrechtlichen Folgen einer Pflichtverletzung belehrt wurde
• der Dienstleister verpflichtet wurde, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist und
• gegenüber dem Dienstleister festgelegt wird, ob er befugt ist, weitere Personen zur Erfüllung des Vertrages heranzuziehen

Diese Pflichten werden in den jeweiligen Berufsordnungen verankert und verpflichten den Berufsträger zur Umsetzung. Sie ähneln denen, die bereits aus dem Datenschutzrecht bekannt sind (Stichwort Auftragsdatenverarbeitung).  Auch wenn der Berufsträger zur Umsetzung der vorstehenden Anforderungen an die vertraglichen Regelungen verpflichtet ist und bezüglich der Details noch Vieles unklar ist, haben auch Anbieter professioneller Dienste für entsprechende Berufsgruppen ein erhebliches Interesse, die Vorgaben durch eigene Vorlagen und Muster umzusetzen.