Auftragsverarbeitung beim Berufsgeheimnisträger – Worauf Sie achten sollten

Auftragsverarbeitung beim Berufsgeheimnisträger

Berufsgeheimnisträgern ist es gemäß § 203 Strafgesetzbuch (StGB) verboten, Informationen zu offenbaren, welche Sie im Zuge ihrer Tätigkeit erhalten haben. Gerade in der heutigen Zeit werden jedoch Daten immer häufiger zur externen Verarbeitung an Dritte weitergegeben. Das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ regelt genau diesen Fall. Durch die Neuregelungen, welche an dem Gesetz vorgenommen wurden, ist es Berufsgeheimnisträgern nun möglich, auch externe Dienstleister bzw. Dritte mit Tätigkeiten zu betrauen, welche den Bereich der Geheimhaltungspflicht berühren, allerdings müssen Berufsgeheimnisträger den externen Dienstleister auf die Einhaltung der Schweigepflicht verpflichten. Da ins diesem Zusammenhang nicht selten auch personenbezogene Daten weitergegeben werden, sollte das Datenschutzrecht ebenfalls nicht außer Acht gelassen werden.

Häufig verarbeitet der Dienstleister die personenbezogenen Daten im Auftrag des Berufsgeheimnisträgers (sog. Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DS-GVO)), dabei sollten vorab Verträge zur Auftragsverarbeitung mit dem Dienstleister geschlossen und der Dienstleister geprüft werden. Innerhalb der Verträge könnte der Dienstleister auch zur Geheimhaltung verpflichtet werden.

Ihr externer Datenschutzbeauftragter informiert Sie zur Auftragsverarbeitung beim Berufsgeheimnisträger und erklärt, worauf Sie achten sollten.

Auftragsverarbeitung (AV)

Bei der Auftragsverarbeitung handelt es sich um eine „privilegierte“ Form der Verarbeitung von personenbezogenen Daten, welche in der Datenschutz-Grundverordnung unter Art. 28 geregelt ist. Privilegiert ist sie, da es sich bei einer Auftragsverarbeitung um eine Übermittlung von personenbezogenen Daten handelt, die keinen Erlaubnistatbestand nach Art. 6 DS-GVO erfordert.

Um eine Auftragsverarbeitung handelt es sich dann, wenn der Auftragnehmer auf Weisung des Auftraggebers (Verantwortlicher) handelt. Typische Beispiele einer Auftragsverarbeitung durch externe Dienstleister sind z.B.:

  • Auslagerung von Daten in ein externes Rechenzentrum (Outsourcing)
  • Papier- / Aktenvernichtung sowie die Vernichtung von Datenträgern
  • Archivierungsdienstleistungen

Für die Auftragsverarbeitung sieht der europäische Gesetzgeber verschiedene Anforderungen vor, über welche Sie sich in unseren Beiträgen „Auftragsverarbeitung nach der DS-GVO – Was Sie bei der Auswahl eines Auftragsverarbeiters beachten sollten“ oder „Auftragsverarbeitung gemäß Art. 28 DS-GVO“ informieren können.

Wer ist Berufsgeheimnisträger?

Als Berufsgeheimnisträger gelten nach § 203 Abs. 1 Strafgesetzbuch folgende Berufsgruppen: „

  1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
  2. Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,
  3. Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,
  4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,
  5. Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,
  6. staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder
  7. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle“

Neue Regelungen nach dem Strafgesetzbuch

Bei Berufsgeheimnisträgern gilt es bei der Weitergabe von Informationen grundsätzlich zwischen der datenschutzrechtlichen Seite und dem strafrechtlichen Berufsgeheimnisschutz bzw. der Schweigepflicht zu unterscheiden. Während sich das Datenschutzrecht auf die Organisation als „Verantwortliche“ bezieht, richtet sich die Schweigepflicht an den einzelnen Berufsgeheimnisträger selbst. Die Schweigepflicht ist in § 203 StGB geregelt, welcher besagt, dass sich Berufsgeheimnisträger strafbar machen, sofern sie unbefugt ein fremdes Geheimnis offenbaren, das ihnen im Rahmen ihrer Tätigkeit anvertraut oder sonst bekannt geworden ist.  Zuvor war eine Offenlegung von Informationen ausschließlich berufsmäßigen Gehilfen oder Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind, möglich. Durch Neuerungen ist es Berufsgeheimnisträgern nun möglich, auch Dritten, welche in einer anderen Form an der Berufsausübung mitwirken, Informationen bzw. Daten offenzulegen. Die Änderungen, welche bereits seit dem 09.11.2017 in Kraft sind, umfassen folgendes:

  • Sofern es für die Inanspruchnahme einer Tätigkeit einer sonstigen Person, welche an der beruflichen Tätigkeit des Geheimnisträgers mitwirkt, erforderlich ist, sind Berufsgeheimnisträger berechtigt, fremde Geheimnisse gegenüber diesen sonstigen Personen zu offenbaren. Dies gilt ebenso für weitere Personen, welche für die sonstige mitwirkende Person tätig werden, beispielsweise bei einem Unterauftragsverarbeiter.
  • Ebenso wie für die Berufsgeheimnisträger gilt für die sonstigen mitwirkenden Personen, dass diese sich strafbar machen, sofern sie ein ihr im Rahmen ihrer Tätigkeit bekannt gewordenes Geheimnis unbefugt an Dritte weitergeben bzw. offenbaren.
  • Weiterhin muss der Berufsgeheimnisträger dafür Sorge tragen, dass die sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet wurden, vorausgesetzt es handelt sich bei der mitwirkenden Person nicht selbst um einen Berufsgeheimnisträger.
  • Ebenso sind die mitwirkenden Personen dafür verantwortlich, dass sich die weiteren mitwirkenden Personen ebenfalls zur Geheimhaltung verpflichten, da sich diese sonst gleichwohl strafbar machen.

Zusätzlich wurde neben der Erweiterung des Anwendungskreises der Schweigepflicht auch das Zeugnisverweigerungsrecht in § 53 Strafprozessordnung (StPO) sowie das Beschlagnahmeverbot nach § 97 StPO angepasst. Damit haben alle zur Verschwiegenheit verpflichteten Personen auch ein Recht die Aussage zu verweigern und es besteht ein Beschlagnahmeverbot auch bei den mitwirkenden Personen. Ob von dem Recht jedoch Gebrauch gemacht werden darf, entscheidet letztendlich der Berufsgeheimnisträger.

Sonstige mitwirkende Personen im Sinne des § 203 StGB

Unter die sonstigen mitwirkenden Personen im Sinne des § 203 StGB fallen u.a.

  • berufsmäßig tätigende Gehilfen,
  • den bei Berufsgeheimnisträgern zur Vorbereitung auf den Beruf tätigen Personen, welche sich beispielsweise in der Ausbildung befinden,
  • sonstige Personen, welche an der beruflichen oder dienstlichen Tätigkeit von Berufsgeheimnisträgern mitwirken oder
  • sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der Berufsgeheimnisträger mitwirken.

Grundlage für eine sonstige mitwirkende Person kann insbesondere ein bestehendes Vertragsverhältnis sein. Hierunter fallen nicht nur der Vertrag zwischen dem Berufsgeheimnisträger und dem eingesetzten externen Dienstleister, sondern auch die, in möglichen mehrstufigen Verträgen, beauftragten Unterauftragnehmer. Beispiele für solche Verarbeitungen im Zuge von sonstigen mitwirkenden Personen sind nach der Gesetzesbegründung:

  • Schreibarbeiten,
  • Rechnungswesen,
  • Annahme von Telefonanrufen,
  • Aktenarchivierung und -vernichtung,
  • Einrichtung, Betrieb, Wartung – einschließlich Fernwartung – und Anpassung von Hard- und Software.

Auftragsverarbeitung beim Berufsgeheimnisträger

AV-VertragAufgrund der neuen Straftatbestände durch die Änderungen in § 203 StGB müssen Berufsgeheimnisträger dafür Sorge tragen, dass sonstige mitwirkende Personen auf Verschwiegenheit verpflichtet werden. Darüber hinaus gilt ebenso für sonstige mitwirkende Person, sofern weitere Unterauftragnehmer eingebunden werden, diese ebenso zur Geheimhaltung zu verpflichten. Im Falle eines mehrstufigen Auftragsverhältnisses kann der Berufsgeheimnisträger entweder die Unterauftragnehmer selbst zur Geheimhaltung verpflichten oder dies auf die mitwirkende Person, die dem Berufsgeheimnisträger direkt unterliegt, übertragen. Eine Ausnahme zur Verpflichtung auf Geheimhaltung besteht, sofern es sich bei der mitwirkenden Person selbst um einen Berufsgeheimnisträger nach § 203 StGB handelt. In diesem Fall muss die mitwirkende Person nicht zur Geheimhaltung verpflichtet werden.

Wichtig in diesem Zusammenhang ist jedoch zu erwähnen, dass durch die strafrechtliche Verpflichtung zur Geheimhaltung nicht gleichzeitig die datenschutzrechtliche Verpflichtung erfüllt ist.

Neben der strafrechtlichen Verpflichtung nach § 203 Abs. 4 StGB muss auch die datenschutzrechtliche Verpflichtung auf die Vertraulichkeit nach Art. 28 Abs. 3 lit. b DS-GVO erfolgen. Auch sollte – wie bereits erläutert – bei einer Auftragsverarbeitung vorab ein Vertrag zur Auftragsverarbeitung abgeschlossen und der Dienstleister geprüft werden. Auch sollten Sie unbedingt Ihren Datenschutzbeauftragten einbeziehen.

Haben Sie noch keinen externen Datenschutzbeauftragten oder haben Fragen zu der Thematik, dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:          

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen