§ 203 StGB Verletzung von Privatgeheimnissen

Durch Berufsgeheimnisträger – also z.B. Ärzte, Apotheker, Angehörigen eines anderen Heilberufs, Berufspsychologen, Rechtsanwalt, Notar, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, etc – dürfen gem. § 203 StGB fremde zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- oder Geschäftsgeheimnis nicht unbefugt offenbart werden. Offenbaren im Sinne der Vorschrift bedeutet jede Hinausgabe von Tatsachen aus dem Kreis der Wissenden.

Die berufsrechtliche Verschwiegenheitsverpflichtungen sind wesentlich umfangreicher als z.B. die Verschwiegenheitsverpflichtung gemäß des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) – denn auch alleinige die Tatsache, dass ein Mandat bei einem Mandanten besteht, ist bereits durch das § 203 StGB geschützt. Ferner handelt es sich um eine Norm aus dem Kernstrafrecht und nicht dem Nebenstrafrecht.

Das Bereitstellung von Daten nach § 203 StGB an »berufsmäßig tätigen Gehilfen« oder »sonstige Personen die an der beruflichen oder dienstlichen Tätigkeit mitwirken« oder die »Inanspruchnahme der Tätigkeit von sonstigen mitwirkenden Personen«, sofern diese erforderlich ist, stellt keine Offenbarung dar.

Bis 2017 war die Einbeziehung von Dienstleistern schwierig

Die fortschreitende Digitalisierung erforderte eine Anpassung der Gesetze. Berufsgeheimnisträger sahen sich in Konfliktsituationen, wenn sie externe Dienstleister einbeziehen mussten, um bestimmte Aufgaben zu erledigen, die ohne Offenlegung vertraulicher Informationen praktisch nicht möglich sind. Dienstleister können hierbei z.B. Microsoft selbst oder auch IT-Systemhäuser, Microsoft Partner oder Microsoft Reseller sein.

Durch die Nutzung digitaler Medien und Clouddienstleistungen setzten sich diese Berufsgeheimnisträger häufig einem hohen strafrechtlichen und berufsrechtlichen Risiko aus. Bisher konnten sie diesem Risiko nur entgehen, indem sie von den Betroffenen umfangreiche Einwilligungserklärungen einholten. Durch die Änderung des § 203 StGB im Jahr 2017 ist nun auch z.B. der Einsatz der obengenannten Dienstleistern möglich. Allerdings wird nach Absatz 4 Nr. 1 des § 203 StGB der Berufsgeheimnisträger bestraft, wenn dieser nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person zur Geheimhaltung verpflichtet wurde.

Datenschutz-Aufsichtsbehörden

Auch die Datenschutz-Aufsichtsbehörden mahnen immer wieder mit Schärfe bzgl. des Einsatzes von Microsoft, Microsoft-Partnern oder Microsoft-Produkten (z.B. Office 365, Office-Software). Dabei entwickelte sich in der Vergangenheit ein regelrechtes Hin und Her von Forderungen der Datenschutz-Behörden und Nachbesserungen von Microsoft auf der anderen Seite. Die Übermittlung von personenbezogenen Daten in Form von sog. »ruhende Daten« in Drittstaaten sowie die »etwaigen extraterritorial wirkender Rechtsvorschriften der USA« ist hierbei ein Hauptargument der Datenschutz-Behörden. Die Kundendaten, Supportdaten und sonstige personenbezogene Daten der Kunden werden bei der korrekten Konfiguration ausnahmslos in der EU gespeichert.

Für die Übermittlung von personenbezogenen Daten in Drittländer sind nun allerdings neue Garantien in Form des EU-U.S. Data Privacy Framework (EU-US DPF) implementiert und für die extraterritorial wirkende Rechtsvorschriften der USA hat der US-Präsident die Executive Order »Enhancing Safeguards for United States Signals Intelligence Activities« unterzeichnet, die diese erheblich einschränken. Wir berichteten https://www.comdatis.de/das-neue-eu-u-s-data-privacy-framework-eu-us-dpf/. Microsoft ist nach EU-U.S. Data Privacy Framework zertifiziert.  

Es ist daher notwendig, die Behördenauffassung mit Hintergrund der neuen Rechtslage zu bewerten und die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sollten ihre Zusammenfassung der Bewertung überarbeiten. Die Bewertung der Arbeitsgemeinschaft der DSK (AG DSK) »Microsoft-Onlinedienste«  können Sie hier einsehen https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

Microsoft

Der Einsatz von Office oder Microsoft 365 ist in vielen Unternehmen weit verbreitet. Oft werden für den Einsatz auch Partner- oder Resellerunternehmen eingesetzt. Office 365 ist eine Produktivitätssuite von Microsoft, die cloud-basierte Dienste und Anwendungen bietet. Es ist eine Weiterentwicklung von Microsoft Office und bietet eine Vielzahl von Tools und Diensten, die es Benutzern ermöglichen, effizienter zu arbeiten, Informationen zu teilen, zusammenzuarbeiten und auf verschiedene Dateien und Anwendungen von praktisch jedem Gerät mit Internetzugang zuzugreifen. Durch die Produkte OneDrive und SharePoint sowie Exchange ist die Speicherung von Informationen und Dateien innerhalb der Office-365-Umgebung möglich.

Auch Berufsgeheimnisträger möchten nicht auf den Komfort von Microsoft Office 365 verzichten und müssen nach § 203 Abs. 4 Nr. 1 StGB dafür Sorge tragen, dass sich Partner- und Resellerunternehmen sowie auch Microsoft selbst zur Geheimhaltung verpflichtet haben.

Hierzu stellt Microsoft online Informationen bereit, die für Berufsgeheimnisträger notwendig sind, um den Anforderungen des § 203 StGB gerecht zu werden.

Viele Partner- und Reseller tun dies ebenfalls bzw. können diesbezüglich befragt werden.

Verschwiegenheitsverpflichtung

Dienstleister, die personenbezogene Daten einsehen könnten oder verarbeiten müssen sich auf die Verschwiegenheit beim Auftraggeber verpflichten. Sollte der Dienstleister ein Auftragsverarbeiter gem. Art. 4 Abs. 1 Nr. 8 DSGVO sein, so muss die Verschwiegenheitsverpflichtung Bestandteil der Auftragsverarbeitungsvereinbarung gem. Art. 28 III DSGVO (AVV) sein.

Bei einer Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen oder einer Beauftragung die im Kern ohne Verarbeitung personenbezogener Daten auskommt – also keine Auftragsverarbeitung – müssen u.U. separate Vertraulichkeitsvereinbarungen abgeschlossen werden (sog. NDA’s).

Die standardmäßige Verschwiegenheitsverpflichtung für Auftragsverarbeiter sind den Auftragsverarbeitungsvereinbarungen gem. Art. 28 III DSGVO (AVV) verpflichtend. Diese sind in den Auftragsverarbeitungsvereinbarung mit Microsoft enthaltend.

Setzt ein Berufgeheimnisträger z.B. Office 365 ein, so muss dieser allerdings noch eine zusätzliche Vereinbarungen zur Vertrauchlichkeit für Berufsgeheimnisträger abschließen, da Microsoft Mandantendaten einsehen könnte und somit als »sonstige mitwirkende Personen« gem. § 203 StGB gilt.

Diese Zusatzvereinbarung für Berufsgeheimnisträger bietet Microsoft durch die »Microsoft Customer Agreement Berufsgeheimnisträger Zusatzvereinbarung« an. Diese erhalten Sie unter https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3Pcj0

Weitere Informationen zu den berufsrechtliche Verschwiegenheitsverpflichtungen stellt Microsoft ebenfalls in einem Beitrag unter https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4NKw7 bereit.

In der Cloud Compendium stellt Microsoft ebenfalls klar, dass Microsoft Cloud Services auch von Berufsgeheimnisträgern eingesetzt werden können. https://www.microsoft.com/de-de/download/details.aspx?id=50830 oder https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2OBC5

Die Bundesrechtsanwaltskammer (BRAK) enthält sich allerdings in einer Stellungnahme einer Bewertung der rechtlichen Zulässigkeit – bezieht sich aber in dieser auf die positive Aussage von Microsoft.

„Microsoft selbst erachtet die Möglichkeit einer Nutzung durch Berufsgeheimnisträger für gegeben und bietet den Abschluss einer entsprechenden Verschwiegenheitsvereinbarung an.“

https://www.brak.de/fileadmin/service/publikationen/Handlungshinweise/Hinweise_zum_Umgang_mit_Office_365_Cloud_Stand_2023-01-18.pdf

Die vollständige Stellungnahme der BRAK erhalten Sie hier. https://www.brak.de/fileadmin/service/publikationen/Handlungshinweise/Hinweise_zum_Umgang_mit_Office_365_Cloud_Stand_2023-01-18.pdf

Microsoft-Verträge im Überblick

1. Microsoft Customer Agreement (MCA)
   • Dieser Hauptvertrag legt die Nutzungsbedingungen für Microsofts Cloud-Dienste fest und beinhaltet unter anderem Haftungs- und Vertraulichkeitsklauseln.
   • https://www.microsoft.com/licensing/docs/customeragreement
2. Das Data Protection Addendum (DPA),
   • Die DPA ist eine Ergänzung zum MCA und enthält spezielle Datenschutzklauseln. Es definiert Microsofts Rolle als Auftragsverarbeiter, die technischen und organisatorischen Maßnahmen, die von Microsoft zugelassenen Subunternehmer und die Rechte und Pflichten der Parteien.
   • https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
3. Professional Secrecy Amendment to the Microsoft Cloud Agreement (Germany)
   • Dies Dokument ist eine Ergänzung zum MCA und DPA. Sie schließt Lücken in der Geheimhaltungspflicht des MCA, erweitert die Bestimmungen des DPA auf alle datenschutzrelevanten Daten und schränkt den Zugriff auf Kundendaten vertraglich weiter ein.
   • https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWlMOO

Abschluß

Die Vertragszusätze müssen über einen Microsoft-Vertriebspartner (sog. «CSP») abgeschlossen werden. Sollte der Abschluß mittels Microsoft-Partner nicht zum Erfolg führen, z.B. weil der MS-Partner dies nicht durchführen kann, so bietet Microsoft inoffiziell an, dass sich Berufsgeheimnisträger per E-Mail direkt an sie wenden können.

Fazit

Durch den Umstand, dass Microsoft eine Verschwiegenheitsverpflichtung und eine zusätzliche »Microsoft Customer Agreement Berufsgeheimnisträger Zusatzvereinbarung« anbietet, sind Berufsgeheimnisträger rechtlich abgesichert, was ihre Mandantendaten angeht. Sollten Microsoft Partner oder Microsoft Reseller eingesetzt werden, die Daten einsehen könnten, müssen die NDA‘s auf Grundlage § 203 StGB geprüft werden.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.