Ist ein AV-Vertrag (Auftragsverarbeitungsvertrag) für Berufsgeheimnisträger Pflicht?

Wer gehört zu den Berufsgeheimnisträger?

Als eine besondere Berufsgruppe gelten die sogenannten Berufsgeheimnisträger. Diese haben die Pflicht und das Recht Berufsgeheimnisse zu bewahren. Bei Ausübung ihres Berufs kommt es bei Berufsgeheimnisträgern häufig dazu, dass diese private Geheimnisse von Personen, Betrieben oder Geschäften erfahren. Zum Schutz des allgemeinen Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung sind die Berufsgeheimnisträger zur Verschwiegenheit verpflichtet. Man spricht auch von der „Schweigepflicht“ solcher Berufsgruppen.

Bei Verletzung von Privatgeheimnissen findet sich eine mögliche Strafbarkeit in § 203 StGB. Außerdem sind dort alle Berufsgeheimnisträger aufgezählt.

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
5. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
6. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
7. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.

Welche Pflichten beinhaltet die DS-GVO für Berufsgeheimnisträger?

Zu den wichtigsten Pflichten eines Berufsgeheimnisträgers gehört es, die ihm anvertrauten Daten zu bewahren und zu beschützen. Die DS-GVO legt großen Wert darauf, dass mit personenbezogenen Daten behutsam und pflichtbewusst umgegangen wird und das etwaige Risiken für die betroffenen Personen ausgeschlossen werden. Die DS-GVO zieht dabei vor allem in Betracht, dass es bei der Verarbeitung von personenbezogenen Daten zu Schäden für den Betroffenen kommen kann. Meistens handelt es sich um sensible Daten, welche Berufsgeheimnisträgern anvertraut werden. Daher ist der Berufsgeheimnisträger verpflichtet den Betroffenen vor möglichen Risiken, wie Identitätsdiebstahl, Rufschädigung, Diskriminierung oder auch die Veröffentlichung von Betriebsgeheimnissen, zu schützen. Dies gilt vor allem auch für Mandantendaten in Anwaltskanzleien, denn hier werden häufig Daten gespeichert, deren Missbrauch zu gesellschaftlichen oder finanziellen Nachteilen führen kann.

Wann liegt eine Auftragsverarbeitung durch einen Berufsgeheimnisträger vor?

Gemäß Art. 4 Nr. 8 DS-GVO ist ein Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Die rechtliche Auffassung der Auftragsverarbeitung erleichtert für Auftraggeber das „Outsourcing“, also die Auslagerung von Services oder Dienstleistung auf externe Auftragnehmer, technischer Verarbeitungsvorgänge.

Eine Auftragsverarbeitung gem. Art. 28 DS-GVO macht sich vor allem durch die Weisungsgebundenheit des Auftragsnehmers aus. Der Auftragnehmer entscheidet daher nicht über Mittel und Zwecke der Verarbeitung, sondern richtet sich nach den zwecken des Auftragsgebers. Daher kommt häufig bei der technischen Unterstützung im Rahmen einer Datenverarbeitung durch einen Auftragsnehmer die DS-GVO zur Anwendung. Art und Umfang der Verarbeitung selbst werden durch den Auftragsgeber bestimmt. Der Auftragsverarbeiter erbringt dann durch technische Hilfe und Unterstützung die nötige Datenverarbeitung.

Zu Beachten gilt, dass bei Berufsgeheimnisträgern in der Regel kein Fall der Auftragsverarbeitung vorliegt, da diese nicht weisungsgebunden, sondern eigenständig handeln und arbeiten.

„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines:

• Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstituts für den Geldtransfer,
• Postdienstes für den Brieftransport. (DSK Kurzpapier, Nr. 13 Anhang B)

Als Klarstellung im Hinblick auf die Weisungsgebundenheit verschiedener Berufsgruppen dient der § 11 II i.V.m. § 3 StBerG:

 „Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Art. 4 Nr.7 DS-GVO.“ (§ 11 II StBerG)

„Zur geschäftsmäßigen Hilfeleistung in Steuersachen sind befugt:

1. Steuerberater, Steuerbevollmächtigte, Rechtsanwälte, niedergelassene europäische Rechtsanwälte, Wirtschaftsprüfer und vereidigte Buchprüfer,
2. Partnerschaftsgesellschaften, deren Partner ausschließlich die in Nummer 1 genannten Personen sind,
3. Steuerberatungsgesellschaften, Rechtsanwaltsgesellschaften, Wirtschaftsprüfergesellschaften und Buchprüfungsgesellschaften“ (§ 3 StBerG).

In Bezug auf die Arbeit eines Rechtsanwaltes, ist zudem der § 1 I BORA anzuführen:

 „Der Rechtsanwalt ist ein unabhängiges Organ der Rechtspflege“.

Er ist gemäß § 3 I BORA:

„der berufene unabhängige Vertreter in allen Rechtangelegenheiten“.

§ 203 I StGB: Verletzung von Privatgeheimnissen

Eine mögliche Strafbarkeit bei Verletzung der Verschwiegenheitspflicht durch Berufsgeheimnisträger kommt nach § 203 Abs. 1 StGB in Betracht, wenn dieser ein ihm anvertrautes fremdes Geheimnis ohne Befugnis offenbart.

Diese Regelung trägt dem Umstand Rechnung, dass der Berufsgeheimnisträger Daten und Geheimnisse, welche dem Berufsgeheimnis unterliegen, nicht an Dritte weitergeben und diese schützen soll.

Als „Geheimnis“ versteht man Tatsachen, die nur einem gewissen Einzelnen oder einem beschränkten Personenkreis bekannt oder zugänglich sind. Der Betroffene hat ein berechtigtes Interesse an deren Geheimhaltung und legt Wert darauf, dass diese auch weiterhin geheim bleiben. Wird einem Dritten und somit dem Empfänger ein solches Geheimnis vermittelt, von welchem er noch keine Kenntnis hat, spricht man von „Offenbaren“.

Besonders interessant ist die Frage, ob ein Empfänger tatsächlich Kenntnis an den Geheimnissen erlangen muss oder ob es genügt, dass dieser die Möglichkeit hat von den Geheimnissen zu erfahren. Entscheiden ist dies vor allem für eine mögliche Strafbarkeit.

Das bloße Herumliegenlassen von Dokumenten, welche Geheimnissen beinhaltenden, genüge auch dann nicht, wenn für Dritte die Möglichkeit der Einsichtnahme bestehe. Ohne die tatsächliche Kenntnisnahme sei das Rechtsgut nur gefährdet, eine Verletzung liegt jedoch nicht vor. Gegen diese Argumentation spricht jedoch die Gesetzesbegründung und somit der Wille des Gesetzgebers. Ein „Offenbaren“ im Sinne des § 203 StGB liegt ausdrücklich auch dann vor, wenn die Möglichkeit der Kenntnisnahme von Geheimnissen besteht, ohne dass es auf eine tatsächliche Kenntnisnahme ankommt.

Eine Ausnahme bringt der § 203 III StGB mit. Danach liegt kein „Offenbaren“ vor, wenn Berufsgeheimnisträger Geheimnisse „den bei ihnen berufsmäßig tätigen Gehilfen oder zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen“. „Gehilfe“ in diesem Sinne ist, wer die berufliche Tätigkeit des Schweigepflichtigen unterstützt, in der es zur Kenntnis fremder Geheimnisse kommen kann oder dies ohne Überwindung besonderer Hindernisse ermöglicht. Aufgrund des Wortlauts „berufsmäßige“ Tätigkeit kann darauf geschlossen werden, dass ehrenamtliche oder nur gelegentlich geleistete Unterstützung, etwa durch Familienmitglieder, nicht ausreicht. Dies ist zwar nicht unumstritten, empfehlenswert ist es jedoch, bis zur Klärung durch entsprechende Rechtsprechung von der restriktiveren Deutung auszugehen. Gehilfen eines Rechtsanwalts sind somit juristische oder wissenschaftliche Mitarbeiter, das Büropersonal und gegebenenfalls externe Dritte und hinzugezogene Sachverständige. Bezüglich eines Arztes können beratende Psychologen, Krankenschwestern, Assistenten und Sprechstundenhilfen als Gehilfen gelten.

Zuzüglich dessen ist noch auf die folgenden BGH-Entscheidungen hinzuweisen:

• Eine Bestimmung in einem Kanzleiübernahmevertrag, die den Veräußerer ohne Einwilligung der betroffenen Mandanten verpflichtet, seine Akten dem Erwerber zu überlassen, ist gemäß § 134 BGB (Verstoß gegen ein gesetzliches Verbot) wegen eines Verstoßes gegen § 203 I Nr. 3 StGB nichtig (BGH, Urteil vom 17.05.1995 – VIII ZR 94/94).
• Eine Datenschutzbehörde darf Datenschutzverstöße einer öffentlichen Stelle (Amtsträger als Geheimnisträger gemäß § 203 II StGB) veröffentlichen, wenn er damit auch auf ein künftig gesetzmäßiges Verhalten hinwirkt (BGH, Urteil vom 9.12.2002 – 5 StrR 276/02).

Der Zusammenhang zwischen Berufsgeheimnissen und Auftragsverarbeitung

Der § 203 StGB regelt die strafrechtliche Behandlung von Verstößen gegen das Berufsgeheimnis.

1.  Die alte Rechtslage

Berufsgeheimnisträger mussten nach alter Rechtslage besondere Vorsicht bei Abschluss eines AV-Vertrags (Auftragsverarbeitungsvertrag) walten lassen. Es musste nicht nur ein wirksamer Vertrag mit dem Auftragsverarbeiter geschlossen werden, sondern vielmehr musste der Berufsgeheimnisträger von seiner Schweigepflicht befreit werden, indem er das Einverständnis aller betroffenen Personen einholte. Nur so konnten personenbezogene Daten rechtmäßig verarbeitet werden.

Jedoch war es häufig schwer praktikabel eine Entbindung der Schweigepflicht durch die Einwilligung aller Betroffenen zu erreichen. Nicht nur konnte sich die Identität des Dienstleisters ändern. Es wurde dem Betroffenen, also dem Mandaten, ein mittelbares Mitbestimmungsrecht eingeräumt, falls dieser seine Einwilligung verweigerte. Interne Organisation wurde dadurch unsinnig erschwert. Dieses Problem nach der alten Gesetzeslage sollte ausgeräumt werden. Man unterstellte fortan, dass ein Mandant oder auch ein Patient sillschweigend in die Verarbeitung und Offenbarung seiner Daten durch den Berufsgeheimnisträger einwilligt.

2. Die neue Rechtslage seit dem 30.10.2017

Umstritten war die Frage, ob ein „Offenbaren“ im Sinne des § 203 StGB vorliegt, wenn Geheimnisse im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO weitergegeben werden. Auschlaggebend für die Beantwortung war es, ob der Auftragnehmer einer Auftragsverarbeitung als „Gehilfe“ im Sinne des § 203 Abs. 3 S. 2 StGB des Berufsgeheimnisträgers einzuordnen ist.

Klärung schaffte das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen vom 30.10.2017. Durch diese Neuregelung wurde der § 203 StGB überarbeitet. Der Gesetzgeber hat sich in seiner Gesetzesbegründung grundsätzlich dafür ausgesprochen, dass selbstständig Tätige oder in den Betrieb eines Dritten eingebundene externe Personen regelmäßig keine Gehilfen im Sinne des § 203 Abs. 3 S. 1 StGB darstellen.

Gleichwohl hat er das enorme praktische Bedürfnis für die Auslagerung, insbesondere routinemäßig anfallender Tätigkeiten, erkannt, und im Zuge dessen die Kategorie der „sonstigen mitwirkenden Person“ geschaffen, § 203 Abs. 3 S. 2 StGB. Gegenüber diesen dürfen Berufsgeheimnisträger unter den Voraussetzungen des § 203 Abs. 3 S. 2 Hs. 1 StGB fremde Geheimnisse straflos offenbaren. Eine „Sonstige mitwirkende Person“ ist, wer – etwa aufgrund eines Vertragsverhältnisses – an der beruflichen oder dienstlichen Tätigkeit des Geheimnisträgers mitwirkt, ohne notwendigerweise in dessen Sphäre eingegliedert zu sein. Als mitwirkende Tätigkeiten wird in der Gesetzesbegründung beispielhaft unter anderem die Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherung von Daten (Cloud Computing) genannt.

Die neue aktuelle Rechtslage macht es den Berufsgeheimnisträgern möglich, als Verantwortliche mit Auftragsverarbeitern zusammen zu arbeiten und einer Strafbarkeit nach § 203 StGB zu entgehen. Dies ist möglich, wenn der Berufsgeheimnisträger einer mitwirkenden Person ein Geheimnis zwar offenbart, aber diese vor der Offenbarung zur Geheimhaltung verpflichtet hat. Zudem muss von dem zur Geheimhaltung Verpflichteten dafür Sorge getragen werden, dass beim Einsatz von Unterauftragnehmern auch diese zur Geheimhaltung verpflichtet werden. Wird dem nicht Sorge getragen, ist das Unterlassen der Verpflichtung bereits strafbar.

In Verbindung mit der Neufassung des § 203 StGB wurde auch das jeweilige Berufsrecht damit in Einklang gebracht. So regelt der § 43e I BRAO:

„Der Rechtsanwalt darf Dienstleistern den Zugang zu Tatsachen eröffnen, auf die sich seine Verpflichtung zur Verschwiegenheit bezieht, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist“.

Zu beachten bleibt, dass nach § 43e V BRAO eine Einwilligung des Mandanten erforderlich bleibt, wenn die in Anspruch genommene Dienstleistung unmittelbar einem einzelnen Mandat dient. Mit § 43e BRAO vergleichbare Regelungen finden sich in § 26a BnotO, § 62a StBerG und § 50a WPO.

Beispiele für Auftragsverarbeitungen und diesbezügliche Abgrenzungsfragen

Muss für die Zusammenarbeit zwischen einem Labor und einem Arzt ein Auftragsverarbeitungsvertrag geschlossen werden?

Bei der Zusammenarbeit zwischen einem Labor und einem behandelnden Arzt liegt keine Auftragsverarbeitung vor. Das Labor selbst ist in der Pflicht die Vorgänge zu dokumentieren und aufzubewahren. Der Grund hierfür ist, dass der Arzt die Tätigkeit des Labors nur in einer gewissen Weise steuert und darauf Einfluss nimmt, das Labor jedoch bleibt selbstständig. In diesem Fall liegt keine Auftragsverarbeitung, sondern eine Mitbehandlung vor.

Klinische Studien erfordern keine AV-Vertrag

Weitere Szenarien, die von der Auftragsdatenverarbeitungsvereinbarung befreit sind, sind groß angelegte klinische Arzneimittelstudien, die von mehreren Mitwirkenden organisiert und durchgeführt werden. Hier haben oft mehrere Einflussnehmer Zugriff auf die erhobenen Daten, die für jeweils unterschiedliche Zwecke verwendet werden können. So entscheiden zum Beispiel Sponsoren, Studienzentren und Ärzte in ihren Teilbereichen über die Verarbeitung der erhobenen Daten.

Externe Betriebsärzte als Dienstleister und Berufsgeheimnisträger

Der Betriebsarzt ist wie jeder andere Arzt als Berufsgeheimnisträger an die ärztliche Schweigepflicht gebunden. Dies bedeute, dass der Betriebsarzt von dem Auftraggeber nicht kontrolliert werden kann und an keine Weisungen gebunden werden kann. Außerdem hat der Betriebsarzt mit den Patienten persönlichen Kontakt und kann die benötigten personenbezogene Daten für die Behandlung bei dem Patienten selbst erheben.

Kann der Wirtschaftsprüfer Auftragsverarbeiter sein?

Ein Wirtschaftsprüfer kann zum Auftragsverarbeiter werden. Grundsätzlich ist dies aufgrund des weisungsungebundenen Handels des Wirtschaftsprüfers jedoch nicht der Fall. Werden die Daten durch eine Tätigkeit des Wirtschaftsprüfers, welche in § 2 WPO genannt wird, verarbeitet, muss hierfür die Erlaubnis der betroffenen Person eingeholt werden. Dadurch muss jedoch kein AV-Vertrag abgeschlossen werden. Der Wirtschaftsprüfer handelt weisungsungebunden und steht in eigener Verantwortung gegenüber dem Mandanten. Zu diesen Tätigkeiten, welche in § 2 WPO genannt sind, gehören beispielsweise die Beratung zur Ausgestaltung von Unternehmensprozessen, Unterstützung der internen Revision, Unterstützung des internen Risikomanagements und Projektmanagement.

Ein Auftragsverarbeitungsvertrag muss mit einem Wirtschaftsprüfer ausnahmsweise dann abgeschlossen werden, wenn die Tätigkeit des Wirtschaftsprüfers darin besteht, eine technische Plattform zur Verfügung zu stellen. Dies ist beispielsweise der Fall, wenn der Wirtschaftsprüfer damit beauftragt wird, im Rahmen von Forensic-Aufträgen eine Plattform zur Analyse von E-Mails, welche der Leistungserbringung vom Mandanten und den beauftragten Anwälten dient, bereitzustellen.