Kurzbeitrag : Datenschutzrechtliche Aspekte des „neuen“ § 203 StGB : aus der RDV 3/2017, Seite 129 bis 132
Rechtsanwalt Dr. Georg Wronka, Bonn*
I. Vorbemerkung
§ 203 StGB begründet die Strafbarkeit für das unbefugte Offenbaren fremder Geheimnisse durch bestimmte, im Einzelnen bezeichnete Personen wie etwa Ärzte, Rechtsanwälte, Notare, Apotheker, Psychologen oder betriebliche Datenschutzbeauftragte. Zwischen der Strafrechtsnorm und dem Datenschutzrecht besteht eine enge Verbindung. Deutlich wird dies z.B. in § 203 Abs. 2 Satz 2 StGB, der eine Gleichstellung von personenbezogenen Daten, wie sie in § 3 Abs. 1 BDSG definiert sind, mit einem Geheimnis nach § 203 Abs. 1 StGB vorsieht. So wird denn auch das durch § 203 StGB primär geschützte Rechtsgut in den Verfassungsnormen der Art. 1 und 2 GG verortet, also der gleichen Quelle, aus der sich auch das Datenschutzrecht ableitet[1]. Daran ändert die geplante und als Regierungsentwurf unlängst auf den parlamentarischen Beratungsweg gebrachte Änderung der Bestimmung nichts[2]. Mit ihr sollen – das ist der Kern der neuen Regelung – die Möglichkeiten der schweigepflichtigen Personen erweitert werden, sich im Rahmen ihrer Berufstätigkeit der Unterstützung externer Personen zu bedienen, ohne strafrechtliche Risiken einzugehen. Dieses Ziel soll namentlich durch einen neu gefassten § 203 Abs. 3 StGB erreicht werden[3].
Der neuen Bestimmung zufolge wird der „Kreis der Wissenden oder zum Wissen Berufenen“[4] um den eigentlichen Geheimnisträger gesetzlich definiert und erweitert und gleichzeitig gegenüber den „berufsmäßig tätigen Gehilfen“ – also den in der Praxis, Kanzlei usw. tätigen Mitarbeitern des Berufsgeheimnisträgers – abgegrenzt. Während der dem internen Personal eröffnete Zugriff auf die geheimhaltungsbedürftigen Tatsachen tatbestandlich kein „Offenbaren“ sein soll, stellt ihre Bekanntgabe an solche Externe, die an der beruflichen Tätigkeit des Schweigepflichtigen „mitwirken“, sehr wohl ein „Offenbaren“ dar, dieses wird aber nicht als unbefugt, also nicht rechtswidrig angesehen[5].
Ausweislich der Begründung soll der Schweigepflichtige durch die Ausweitung des „geschlossenen Geheimnisträgerkreises“[6] ermächtigt werden, straflos etwa auf informationstechnische Anlagen und Systeme zur externen Speicherung von Daten durch darauf spezialisierte Unternehmen – explizit angesprochen wird die Speicherung in einer Cloud
– zugreifen zu können. Zu den beispielhaft („insbesondere“) aufgeführten Fällen[7] gehören weiterhin neben dem mit der Einrichtung, dem Betrieb und der Wartung von IT-Anlagen befassten Personenkreis u.a. externe Schreibdienste, die Aktenvernichtung, die Durchführung von Buchführungsarbeiten oder das Rechnungswesen.
Aus datenschutzrechtlicher Perspektive stehen zwei Fragen im Vordergrund:
– Reflektiert die strafrechtliche Regelung eine datenschutzrechtlich erfasste Datenumgangsform und ggf. welche?
– Welches Zulässigkeitsregime ist zu beachten? Geht von § 203 Abs. 3 StGB (neu) eine das BDSG verdrängende Wirkung aus und in welchem Umfang?
II. Offenbaren von Geheimnissen als Datenweitergabe
Geheimnisse sind solche Tatsachen, die nur einem Einzelnen oder einem beschränkten Personenkreis bekannt sind und an deren Geheimhaltung der Geschützte ein subjektives Interesse hat[8] oder haben könnte[9] . Offenbart wird eine geheimhaltungsbedürftige Tatsache, wenn sie einem Dritten mitgeteilt wird, der sie zuvor noch nicht oder nicht sicher kannte[10], bzw. wenn sie „in irgendeiner Weise an einen anderen gelangt ist“.[11] Ob der andere sie auch tatsächlich zur Kenntnis nimmt oder nur die Möglichkeit der Kenntnisnahme erhält, weil sie ungehindert seinem Zugriff ausgesetzt wird, ist dabei nach wohl h.M. irrelevant[12]. Durch den gleichen Inhalt definiert sich auch der Begriff des Bekanntgebens durch Weitergeben einer (personenbezogenen) Information gem. § 3 Abs. 4 Satz 2 Nr. 3a BDSG[13], d.h. dass das strafrechtliche Offenbaren und die datenschutzrechtliche Weitergabe eine identische Bedeutung haben.
Die Feststellung eines Weitergabe-Tatbestands trifft allerdings noch keine Aussage über die datenschutzrechtliche „Qualität“ des Empfängers, die darüber entscheidet, ob dieser als „Dritter“ oder als Auftragsdatenverarbeiter einzustufen ist (§ 3 Abs. 8 BDSG).
Betrachtet man unter diesem Gesichtspunkt den Katalog der Beispiele in der Begründung zum § 203 StGB-Änderungsgesetz, die von der vorgesehenen Fassung des dritten Absatzes (Satz 2) erfasst werden sollen, erscheint der Geheimnis-Empfängerkreis nicht so ohne weiteres einordenbar. Nach den Erläuterungen soll es sich um solche Stellen handeln, die zwar nicht „in die Sphäre des Berufsgeheimnisträgers eingegliedert“ sind, gleichwohl in seine Tätigkeit „in irgendeiner Weise eingebunden werden“. Bestimmte Aufgaben, die von ihnen wahrgenommen werden, dürften wohl in aller Regel nach Maßgabe der Auftragsdatenverarbeitung erledigt werden; dazu gehören etwa die Aktenvernichtung, der externe Schreib- und Telefondienst (Call-Center) oder die Inanspruchnahme externer IT-Dienstleistungen (vgl. auch § 11 Abs. 5 BDSG). Wenn aber im gleichen Zug auch das „Rechnungswesen“ und die „Mitwirkung an der Erfüllung von Buchführungs- und steuerrechtlichen Pflichten des Berufsgeheimnisträgers“ genannt werden[14], mag durchaus zweifelhaft sein, ob diese Stellen nicht als Dritte angesehen werden müssen, die selbst unmittelbar datenschutzrechtlich verantwortlich sind (Stichwort: Funktionsübertragung).
Ein Datentransfer in die eine wie die andere Empfängerkategorie steht in jedem Fall unter dem „Verbot mit Erlaubnisvorbehalt“ (§ 4 Abs. 1 BDSG) – im Fall der Weitergabe an einen Dritten in der Verarbeitungsform der Übermittlung, bei einer Auftragsdatenverarbeitung als Datennutzung[15]. Erforderlich ist m.a.W. in beiden Fällen eine datenschutzrechtliche Legitimationsnorm. Sie ergibt sich möglicherweise nicht zwangsläufig und vor allem nicht abschließend aus der strafrechtlichen Weitergabebefugnis; vgl. dazu nachfolgend.
III. § 203 Abs. 3 StGB (neu) als vorrangige Rechtsvorschrift i.S. von § 1 Abs. 3 BDSG
Mit der Frage, auf welche Rechtsgrundlage sich der Arzt, Rechtsanwalt oder Apotheker bei der Übermittlung bzw. Nutzung der Geheimnis-Daten stützen kann, sind sehr praktische Überlegungen verbunden. Er muss entscheiden, wer im Einzelfall noch zu seinen „Mitwirkenden“ zu zählen ist, ob und mit welchem der an seiner beruflichen Tätigkeit Mitwirkenden ggf. Verträge über Auftragsdatenverarbeitung abzuschließen sind, in welchen Fällen er (weiterhin) eine Einwilligung der Betroffenen benötigt[16] und ob ihn Informationspflichten gegenüber Patienten, Mandanten oder Kunden treffen (vgl. § 4 Abs. 3 BDSG).
1. Subsidiarität des BDSG
Das BDSG ist als Auffanggesetz konzipiert, dessen Bestimmungen nach seiner „gestuften Regelungstechnik“[17] erst dann zum Tragen kommen, wenn kein bereichsspezifisches Sonderrecht existiert. Im Schrifttum besteht durchweg Einigkeit darüber, dass eine Verdrängungs- bzw. Vorrangwirkung bestimmten Rechtsvorschriften nur dann zukommt, wenn der Anwendungsbereich konkurrierender Normen „deckungsgleich“ ist und die bereichsspezifische Vorschrift eindeutig Belange des Datenschutzrechts regelt[18]. Ob und wann insoweit § 203 StGB als vorrangig geltende Norm in Betracht zu ziehen ist, wird bislang durchweg bei § 1 Abs. 3 Satz 2 BDSG unter dem Aspekt einer gesetzlichen Geheimhaltungspflicht diskutiert. Einer solchen sollen die meisten der in § 203 Abs. 1 StGB genannten Personenkreise nicht unterliegen[19]. Sie wird namentlich für das Arzt- oder Patientengeheimnis abgelehnt, da die allgemeine ärztliche Schweigepflicht nur berufs- bzw. standesrechtlich festgelegt sei und nicht auf staatlich kodifiziertem Recht basiere. Die Frage wird sich indes unter einem anderen Vorzeichen neu stellen, wenn die Novelle des § 203 Abs. 3 StGB in Kraft getreten ist.
Die künftig dem Geheimnisträger eingeräumte Befugnis zur Weitergabe von ihm anvertrauten personenbezogenen Angaben an Außenstehende beruht zwar auf einer Strafrechtsnorm und betrifft zunächst auch nur strafrechtliche Rechtsfolgen. Gleichwohl wäre nicht nachvollziehbar, wenn die datenschutzrechtliche Rechtfertigung von der datenschutzrechtlichen abweichen würde, wenn sie sich auf den gleichen faktischen Vorgang, nämlich ein Weitergeben, bezieht. Es wäre paradox anzunehmen, dass eine Datenweitergabe zwar strafrechtlich ausdrücklich gestattet, datenschutzrechtlich aber verboten ist und zudem noch Rechtsfolgen nach den §§ 43, 44 BDSG auslösen könnte. Es bedarf insoweit noch nicht einmal des Rückgriffs auf die „Einheit der Rechtsordnung“, um von einer tatbestandlichen Kongruenz von Strafrechts- und Datenschutznormen im Hinblick auf die Erlaubnis des Datenumgangs – bezogen auf den Kreis der „Mitwirkenden“ – auszugehen, so dass § 203 Abs. 3 Satz 2 StGB die Zulässigkeitsnormen des BDSG (§§ 4, 28 …) verdrängt. Entscheidend ist also nicht auf das Arzt- usw. -geheimnis abzustellen, sondern unmittelbar auf die gesetzliche Regelung des Offenbarungs-/Weitergabetatbestandes.
2. Konsequenzen
Mit dem Vorliegen der Voraussetzungen für die Weitergabebefugnis nach § 203 Abs. 3 Satz 2 (neu) entfällt jede Prüfung durch den Geheimhaltungsverpflichteten, ob eine Einwilligung vom Betroffenen eingeholt werden muss oder die Tatbestandsmerkmale des § 28 BDSG (insbesondere auch hinsichtlich Abs. 7) erfüllt sind. Fraglich ist, ob die Fälle, die nach den datenschutzrechtlichen Kriterien als Auftragsdatenverarbeitung einzustufen wären, auch weiterhin nach den für dieses datenschutzrechtliche Konstrukt geltenden Regeln zu behandeln sind und z.B. Verträge nach § 11 Abs. 2 BDSG erfordern, oder ob dieses Institut in Gänze von § 203 Abs. 3 Satz 2 StGB (neu) verdrängt wird.
Auch wenn in der Begründung des Gesetzentwurfs die datenschutzrechtlich ggf. unterschiedlich zu behandelnden Empfängerkategorien des ausgeweiteten ärztlichen Hilfspersonals auf eine Stufe gestellt werden, bleibt es bei der durch das BDSG festgelegten Grundordnung: Der Zulässigkeitsvorrang des § 203 Abs. 3 Satz 2 StGB (neu) bezieht sich nur auf die Erlaubnis der Nutzung als solcher, also darauf, überhaupt Auftragsdatenverarbeitung durchführen zu dürfen. Die weiteren Anforderungen des § 11 BDSG werden dadurch nicht abbedungen. Der Arzt, Apotheker usw. kommt also nicht umhin, je nach Eigenart der für ihn handelnden Personen mit diesen ggf. auch Verträge gem. § 11 Abs. 2 StGB abzuschließen
Nur kurz anzusprechen ist ferner, inwieweit (pars pro toto) der Arzt den Patienten über sein „back office“ informieren muss. Da nach wohl überwiegender Meinung die Unterrichtung des Betroffenen bei der Datenerhebung keine Zulässigkeitsbedingung in dem Sinn darstellt, dass die unterbliebene Aufklärung in jedem Fall zur Unzulässigkeit der Erhebung und nachfolgenden Verarbeitung sowie Nutzung führt, konsumiert die Erlaubnis des § 203 Abs. 3 Satz 2 StGB (neu) nicht die Verpflichtung nach § 4 Abs. 3 BDSG. Da der Patient kaum wissen wird, dass, und vor allem an wen seine Daten aus der Praxis heraus gelangen, wird der Arzt ihn in geeigneter Form darauf hinweisen müssen – eine Pflicht, die ihn unabhängig davon trifft, welche datenschutzrechtliche Eigenschaft dem Empfänger (Dritter oder Auftragnehmer) zukommt.
IV. Neues Datenschutzrecht
Das Prinzip der Subsidiarität des „allgemeinen“ Datenschutzrechts gegenüber bereichsspezifischen Normen bleibt auch erhalten, wenn ab dem 25. Mai 2018 das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU“[20] und die EU-Datenschutzgrundverordnung (DS-GVO)[21] zu beachten sind. § 1 Abs. 2 des „neuen BDSG“ sieht das bisherige Subordinationsverhältnis weiterhin expressis verbis vor. Kollisionen mit der DS-GVO sind nicht zu befürchten[22], da sich die DS-GVO nicht auf § 203 Abs. 3 StGB auswirkt[23].
* Der Autor ist Rechtsanwalt in Bonn mit den Arbeitsschwerpunkten Datenschutz- und Wettbewerbsrecht.
[1] „Ihre verfassungsrechtliche Legitimation bezieht die Vorschrift aus Art. 2 I i.V.m. 1 I GG“, Lackner/Kühl, StGB, 26. Aufl., § 203 Rn. 1; zur Diskussion differenzierender Ansätze vgl. Lenckner, in: Schönke/ Schröder, Strafgesetzbuch, 27. Aufl., § 203 Rn. 5.
[2] „Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“, BR-Drucks. 163/17 vom 17.02.2017. Es handelt sich bei der Gesetzesvorlage um ein Artikelgesetz, das mit der gleichen Zielsetzung neben Änderungen des StGB auch solche der BRAO, BNotO, PatAnwO und anderer Gesetze vorsieht.
[3] Die künftige Fassung soll lauten (gekürzt): „Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; …“
[4] RegE Begründung, A. Allgemeiner Teil, Abschnitt I 1a.
[5] RegE Begründung, A. Allgemeiner Teil, Abschnitt II 1c.
[6] RegE Begründung, A. Allgemeiner Teil, Abschnitt I 1a.
[7] RegE Begründung, A. Allgemeiner Teil, Abschnitt II 1a.
[8] Samson, in: Systematischer Kommentar zum Strafgesetzbuch, § 203 Rn. 26; Kargl, in: Kindhäuser/Neumann/Paeffgen, Strafgesetzbuch, 3. Aufl., § 203 Rn. 6; Ciernak/Pohlit, in: Müchener Kommentar zum Strafgesetzbuch, 2. Aufl., § 203 Rn. 11.
[9] Lenckner, in: Schönke/Schröder, § 203 Rn. 19
[10] Kargl, in: Kindhäuser/Neumann/Paeffgen, § 203 Rn. 19; Schünemann, Strafgesetzbuch (Leipziger Kommentar), § 203 Rn. 41; OLG Köln, NJW 1980, 898.
[11] Lenckner, in: Schönke/Schröder, § 203 Rn. 19.
[12] Str. bei EDV-Servicearbeiten, wenn das Wartungs-/Technikpersonal mit den auf der EDV-Anlage oder dem IT-Netzwerk gespeicherten Daten in Kontakt kommen kann. Vgl. zum Meinungsstand Kargl in Kindhäuser/Neumann/Paeffgen, § 203 Rn. 21; Ciernak/Pohlit, in: Münchener Kommentar, § 203 Rn. 52; Schünemann, in: Leipziger Kommentar, § 203 Rn. 41; Preuß, DuD 2016, 802 (804).
[13] Dammann, in: Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 3 Rn. 146: „Die Weitergabe ist erfolgt, sobald der Empfänger die Möglichkeit hat, unbehindert vom Weitergebenden die Information zur Kenntnis zu nehmen. Ob und wann er das tatsächlich tut, ist gleichgültig.“
[14] RegE Begründung, A. Allgemeiner Teil, Abschnitt II 1a
[15] Die Zuleitung personenbezogener Daten an einen Auftragnehmer stellt eine Nutzung dar; Dammann, in: Simitis, § 3 Rn. 195; Plath/ Schreiber, in: Plath, BDSG-DSGVO, 2. Aufl., § 3 Rn. 54. Die verbreitete These von der angeblichen Privilegierung der Auftragsdatenverarbeitung gegenüber einer Übermittlung lässt sich deshalb nur bedingt halten.
[16] Vgl. RegE Begründung, A. Allgemeiner Teil, Abschnitt II 1a.
[17] Gusy, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 1 BDSG Rn. 78.
[18] Plath, in: Plath, § 1 Rn. 36; Dix, in: Simitis, § 1 Rn. 170: “Nur die deckungsgleiche, tatbestandskongruente Norm geht dem BDSG vor“; Schmidt, in: Taeger/Gabel, Kommentar zum BDSG, 2010, § 1 Rn. 33: „Tatbestandskongruenz“; ebenso Gola/Schomerus, BDSG, 12. Aufl., § 1 Rn. 24; Topp, Datenschutz in der Steuerverwaltung, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 8.12 Rn. 25: „Das BDSG tritt nur insoweit zurück, wie es sich mit der Sondervorschrift … überlappt.“
[19] Vgl. etwa Dix, in: Simitis, § 1 Rn. 180; Gola/Schomerus, § 1 Rn. 25; Gusy, in: Wolff/Brink, § 1 BDSG Rn. 85 f; Schmidt, in: Taeger/Gabel, § 1 Rn. 37
[20] Gesetzentwurf der Bundesregierung, BR-Drucksache 110/17 vom 02.02.2017.
[21] Verordnung (EU) 2016/679, ABl. L 119/1 vom 04.05.2016.
[22] Vgl. die „Rückzugsregelung“ in § 1 Abs. 5 BDSG (neu).
[23] Insoweit fehlt die EU-Gesetzgebungskompetenz; vgl. auch Art. 2 Abs. 2 DS-GVO.