BL0G

Home / Blog

Berufsgeheimnisträger in der Cloud

von Stephan Gärtner

Dürfen Ärzte, Anwälte und Steuerberater Daten in der cloud speichern?

Berlin, 24. Dezember 2016. Die Kanzlei STANHOPE ist in den vergangenen drei Monaten vermehrt von sog. Berufsgeheimnisträgern (Ärzte, Rechtsanwälte, Steuerberater) gefragt worden: "Dürfen wir in die cloud?". Da diese Unternehmer durch eine besondere Schweigepflicht gebunden sind,  empfahl STANHOPE, dass die Mandaten ganz besonders aufmerksam vorgehen sollten. Dennoch gibt es auch hier Möglichkeiten.

Gliederung

1. Hintergründe zur Cloud
2. Bedarfsanalyse
3. Konkrete Gestaltung
4. Fazit

 

1. Hintergründe zur Cloud

Unter Cloud Computing "versteht man die Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne aufgerufen wird (bspw. über das Internet). Technischer formuliert umschreibt das Cloud Computing den Ansatz, IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Datensicherheit, Netzkapazitäten oder auch fertige Software) über ein Netz zur Verfügung zu stellen, ohne dass diese auf dem lokalen Rechner installiert sein müssen."

Soweit, so gut.

Eine Auslagerung von Kundendaten in die cloud, stellt zunächst einmal einen erlaubnispflichtigen Vorgang der Datenübermittlung dar. Da es kaum gesetzliche Grundlagen für die Übermittlung von Daten in cloud gibt, wäre dieser Weg also grds. nur zulässig, wenn die Betroffenen einwilligen. Hiervon gibt es jedoch eine Ausnahme: Die sog. Auftragsdatenverarbeitung. Dabei beauftragt das Unternehmen den cloud-Anbieter mit der Verarbeitung der betroffenen Daten. Damit hat der Gesetzgeber für viele Unternehmen eine bequeme Methode geschaffen, bestimmte Vorgänge (hier die Verarbeitung personenbezogener Daten) auszulagern, sog. Outsourcing. STANHOPE hat bereits am 18. Dezember 2016 über mögliche Auswahlkriterien für einen cloud-Anbieter berichtet.

Doch Berufsgruppen, die zusätzlich zum Kerndatenschutzrecht, einer besonderen, berufsrechtlichen Schweigepflicht unterliegen (z.B. Ärzte, Rechtsanwälte, Steuerberater, vgl. auch § 203 StGB), haben es  nicht so einfach. Hier reicht eine sog. Auftragsdatenverarbeitung nicht aus; vielmehr ist nach gegenwärtiger Rechtslage stets eine Einwilligung des Betroffenen (z.B. Patienten) erforderlich. Anderenfalls macht sich der Berufsgeheimnisträger strafbar.

2. Bedarfsanalyse

Bevor man nun den aufwendigen Weg eines Berufsgeheimnisträgers in cloud geht, sollte man genau analysieren, ob es hierfür überhaupt ein Bedürfnis gibt. Welche Vorteile soll dies bringen: Mobilität? Flexibilität? Geldersparnis? Die Gründe können vielfältig sein. Sie sind abzuwägen, gegen die Unsicherten eines cloud-Anbieters, insbesondere dann, wenn er im Ausland sitzt oder keine geeigneten Garantien vorweisen kann.

Erst wenn diese Analyse abgeschlossen ist und zu dem Ergebnis kommt, dass es wirklich die cloud sein soll, lohnen sich die nächsten Schritte.

3. Konkrete Gestaltung

Der Weg in die cloud sollte auf zwei Gleisen befahren werden. Einmal mit Blick auf das Datenschutzrecht, und einmal mit Blick auf die besondere, berufsrechtliche Schweigepflicht.

In datenschutzrechtlicher Hinsicht sollte beachtet werden, dass der Auftragnehmer (also der cloud-Anbieter) sorgfältig ausgewählt wird. Es lohnt sich hier, u.a. nach Zertifizierungen und den technischen und organisatorischen Schutzmaßnahmen zu fragen. Die Antworten sollten sauber dokumentiert werden. Auch eine aufmerksame Kontrolle des Auftragnehmers empfiehlt sich. Hierbei sollte auch die einschlägige Fachpresse durchgesehen werden; etwa nach der Frage, ob es beim Anbieter schon "Zwischenfälle" gab. All dies sind die Aufgaben eines Datenschutzbeauftragten.

Mit Blick auf die Schweigepflicht sollte zusätzlich eine Einwilligung der Betroffenen eingeholt werden. Grundsätzlich kann diese auch vorformuliert, also eine sog. Allgemeine Geschäftsbedingung sein (BGH, Urteil vom 10. Oktober 2013 – III ZR 325/12 = Achtung, hier ging es nicht um eine cloud). Insgesamt sollte aber darauf geachtet werden, dass die Klausel sehr transparent und eindeutig formuliert wird. Anderenfalls droht eine Strafbarkeit nach § 203 StGB.

4. Fazit

Der Weg in cloud kann ein lohnenswerter sein. Dennoch sollten gerade Berufsgeheimnisträger vorsichtig mit Thema umgehen. Eine Rücksprache mit dem betrieblichen Datenschutzbeauftragten ist dringend angezeigt.

Bessemerstraße 82,
16. OG, Aufzug West,
12103 Berlin,
Tel. +49 30 89614237
Fax. +49 30 120530979
E-Mail: gaertner@stanhope.de
Zugelassen bei der RAK Berlin (www.rak-berlin.de), die insoweit als Aufsichtsbehörde agiert.
USt-IdNr. DE295953283
Der Titel Rechtsanwalt wurde in der Bundesrepublik Deutschland verliehen.
Die maßgeblichen berufsrechtlichen Regeln entnehmen Sie der BRAO, der FAO und dem RVG, die sämtlich unter www.gesetze-im-internet.de nachzulesen sind.
Die Berufshaftpflichtversicherung besteht bei der ERGO Versicherung AG, 40198 Düsseldorf und gilt deutschlandweit.
STANHOPE ist eine Kurzbezeichnung i.S.v. § 9 BORA

 

Zurück