Auftragsverarbeitung für Berufsgeheimnisträger

Inhalt

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung personenbezogener Daten besonders heikel. Neben dem Datenschutzrecht haben insbesondere die Vorgaben des § 203 StGB (Strafgesetzbuch) Einfluss auf die Auftragsverarbeitung bei Berufsgeheimnisträgern.

Wir erklären die wichtigsten Vorschriften und zeigen, wer alles zur Geheimhaltung verpflichtet ist.

Das (frühere) Problem von Berufsgeheimnisträgern

§ 203 StGB regelt die strafrechtliche Behandlung von Verstößen gegen das Berufsgeheimnis. Der Paragraf soll das Preisgeben von privaten Details mittels angedrohter Sanktionen verhindern und ist daher für Berufsgruppen wie Ärzte, Psychologen, Sozialarbeiter, Rechtsanwälte und Steuerberater von hoher Bedeutung.

Das Strafbarkeitsrisiko bei diesen Gruppen gilt als besonders hoch, wenn sie Dienstleister einsetzen, z. B. zur Unterstützung ihrer IT-Systeme oder zum Auslagern interner Daten. Bis zum Jahr 2017 gab es bei der Auftragsverarbeitung für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. vermeintlich alles richtigmachen und trotzdem eine Straftat begehen.

Notwendig war dazu nicht mehr, als einen korrekten Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen. Es galt somit der Grundsatz, dass das Offenbaren und die Weitergabe von Berufsgeheimnissen an einen unbefugten Dritten strafbar sind. Gemäß der alten Fassung war allenfalls das Offenbaren von privaten Details an berufsmäßigen Gehilfen oder an diejenigen, die Tätigkeiten, die zur Vorbereitung des Berufs dienten oder ausübten, erlaubt.

Neuregelung erleichtert Auftragsverarbeitung für Berufsgeheimnisträger

Am 9. November 2017 trat das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen in Kraft. Der problematische § 203 StGB wurde geändert. Die neue Fassung ermöglicht nun eine erleichterte Auftragsverarbeitung für Berufsgeheimnisträger an Nichtberufsgeheimnisträger. Diese Gesetzesänderung soll mehr Rechtssicherheit für Ärzte, Anwälte, Therapeuten und weitere Berufsgeheimnisträger schaffen.

Der neue Absatz 3 stellt klar, dass bei Einbeziehung weitere Dienstleister, sogenannte „sonstige an der Tätigkeit mitwirkende Personen“, keine unbefugte Offenbarung erfolgt.

Notwendig ist dafür, dass dieser Personenkreis

  • in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist und
  • nur die erforderliche Menge an privaten Details erfährt, um ordnungsgemäß die übertragenen Aufgaben wahrnehmen zu können.

Unter den Begriff „mitwirkender Personen“ fallen unter anderem diejenigen, mit der Bereitstellung, Einrichtung und Wartung von IT-Anlagen und Systemen beauftragt wurden.

Mit der Gesetzesänderung wurde das Outsourcing auch für Berufsgeheimnisträgern ermöglicht. Das Outsourcing erfolgt in der Regel nach Maßgabe einer Auftragsverarbeitung nach Art. 28 Datenschutz-Grundverordnung (DSGVO).

Ebenso regelt der neue Absatz 3 des § 203 StGB die Offenbarungsbefugnis gegenüber berufsmäßig tätigen Gehilfen, beispielsweise das Klinikpersonal oder die medizinischen Fachangestellten. Allerdings bleibt zu betonen, dass solche Angestellten der schweigepflichtigen Person nur Dienstleister beauftragen dürfen, wenn diese Einbeziehung im Einvernehmen mit dem Verantwortlichen, erfolgt.

Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung von der Schweigepflicht durch die Betroffenen kein Verstoß gegen § 203 StGB vor, wenn der Einsatz der „sonstigen an der Tätigkeit mitwirkenden Personen“ erforderlich ist.

Erforderlichkeit als Voraussetzung für Auftragsverarbeitung

Der Begriff der Erforderlichkeit im Sinne des § 203 Absatz 3 Satz 2 StGB meint kein Tatbestandsmerkmal im Sinne der Verhältnismäßigkeit.

Es geht also nicht um die Frage, ob die vertraulichen Informationen überhaupt an externe Dienstleister weitergeben werden dürfen, wenn der Berufsgeheimnisträger diese Arbeiten selbst erledigen könnte, bzw. die dafür notwendigen Kapazitäten und Ressourcen hat. Dem Berufsgeheimnisträger darf im Rahmen der Erforderlichkeit nicht vorgeworfen werden, dass er für derartige Aufgaben eigenes Personal anstellen hätte müssen.

Es kommt nur darauf an, ob die Übermittlung der personenbezogenen Daten an den Auftragsverarbeiter für die Dienstleistung erforderlich ist, nicht aber ob die Dienstleistung überhaupt erforderlich ist.

Das Merkmal der Erforderlichkeit betrifft hierneben den zulässigen Umfang des Offenbarens der Daten an Dienstleister. Diese dürfen nur so viele personenbezogene Daten erhalten, wie es nötig ist, um ihren Aufgaben gewissenhaft nachkommen zu können.

Verpflichtung zur Geheimhaltung bei der AV

Bei der Auftragsverarbeitung müssen Berufsgeheimnisträger weiterhin garantieren können, dass der Schutz personenbezogener Daten auch durch externe Dienstleister gewährleistet wird. Somit erstreckt sich die Verpflichtung zur Geheimhaltung ebenso auf die mitwirkenden Personen.

Das wird durch § 203 Absatz 4 StGB sichergestellt. Demnach können sich die mitwirkenden Personen wegen des Offenbarens von Berufsgeheimnissen strafbar machen. Die Strafbarkeit des § 203 StGB wird also auch auf Nichtberufsgeheimnistärger ausgeweitet (etwa auf eingesetzte Dienstleister), um so weiterhin effektiv Informationen aus der Privat- und Intimsphäre der betroffenen Personen schützen zu können.

Diese Geheimhaltungspflichten sollten im Vertrag zur Auftragsverarbeitung zwischen Dienstleister und Berufsgeheimnisträger geregelt werden.

Gleichfalls treffen nun aber den Berufsgeheimnisträger gemäß dem Absatz 4 zusätzlich neue Pflichten. Es ergibt sich für diesen eine weitere Strafbarkeit, sollte er die mitwirkende Person, die unbefugt ein derartiges Geheimnis offenbart hat, nicht sorgfältig ausgewählt oder überwacht haben (§ 203 Absatz 4, Satz 2 Nr. 1 StGB).

Gefordert wird insbesondere eine Verpflichtung zur Geheimhaltung aller berufsmäßig tätigen Gehilfen, die nicht selbst Berufsgeheimnisträger sind. In der Regel wird man dies durch eine Regelung im Vertrag zur Auftragsverarbeitung tun oder in einer separaten vertraglichen Verpflichtung.

Verpflichtet werden müssen insbesondere auch alle bei dem Dienstleister angestellten Personen, denen zur Erbringung der beauftragten Leistung dem Privatgeheimnis unterliegende Daten offenbart werden.

Tipp: Nutzen Sie für die Verpflichtung von Mitarbeitenden, Dienstleistern und deren Beschäftigten unsere Vorlage für eine Verpflichtungserklärung auf Vertraulichkeit.

Fazit

Für Berufsgeheimnisträger ist der Einsatz von Dienstleistern bzw. Auftragsverarbeitern mittlerweile juristisch möglich, aber mit einigen besonderen Herausforderungen verbunden.

Als für die Verarbeitung personenbezogener Daten Verantwortliche im Sinne der DSGVO sind Berufsgeheimnisträger angehalten, die Geeignetheit ihrer Dienstleister nach Art. 28 Abs. 1 DSGVO vor Einsatz nach einem besonders strengen Maßstab zu prüfen. Zudem sollte eine regelmäßige Kontrolle der Auftragsverarbeiter stattfinden.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.