Aktuell im ITRB

Geheimhaltungsverpflichtungen in Auftragsverarbeitungsvereinbarungen (Redeker, ITRB 2018, 215)

Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO verlangt von Auftragsverarbeitern, Sorge dafür zu tragen, dass diejenigen, die personenbezogene Daten verarbeiten, zur Geheimhaltung verpflichtet sind. In vielen Fällen sind im Rahmen von Auftragsverarbeitungsverträgen noch weitere Regelungen zu beachten. Dazu gehören insb. § 203 StGB und verschiedene berufsrechtliche Regelungen wie etwa § 43e BRAO. All diese Normen beschäftigen sich – mit unterschiedlichem Detaillierungsgrad – mit Geheimhaltungsverpflichtungen. Der folgende Beitrag untersucht die sich daraus ergebenden Konsequenzen.

1. Ausgangssituation

2. Anforderungen des Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO

3. Anforderungen gem. § 203 StGB

4. Berufsrechtliche Regelung: § 43e BRAO


1. Ausgangssituation

Nach Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO muss ein Auftragsverarbeitungsvertrag u.a. gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Mit anderen Worten: Wer einen Auftragsverarbeiter bestellt, muss sicherstellen, dass die letztendlich Handelnden sich zur Geheimhaltung verpflichten, wenn sie gesetzlich dazu nicht verpflichtet sind. Eine solche explizite Regelung enthielt der bisherige § 11 Abs. 2 BDSG a.F. nicht. Die DSGVO verlangt hier also mehr als das BDSG.

Parallel hat der Gesetzgeber auch § 203 StGB geändert. In dieser Vorschrift wird die strafrechtliche Pflicht zur Geheimhaltung für Berufsgeheimnisträger (z.B. Rechtsanwälte oder Ärzte, § 203 Abs. 1 StGB) ebenso begründet wie die der Mitarbeiter der öffentlichen Verwaltung (§ 203 Abs. 2 StGB). Bislang gab es dort keine klare Regelung über den Einsatz von Drittunternehmen im Weg der Auftragsdatenverarbeitung. Es war daher zweifelhaft, ob dies überhaupt erlaubt war und wenn ja, was dafür erforderlich war. § 203 Abs. 3 StGB in der seit Ende 2017 geltenden Fassung hat das geändert. Die Vorschrift lautet: „Die in den Abs. 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Abs. 1 und 2 Genannten mitwirken.“

Nach dieser Vorschrift sind also die Einschaltung von Dienstleistern und die Datenweiterleitung an diese im Rahmen des Erforderlichen erlaubt. Allerdings muss derjenige, der den Dienstleister beauftragt, dafür Sorge tragen, dass sich der Dienstleister und von ihm beauftragte Dritte zur Geheimhaltung verpflichten. Ansonsten macht sich der Auftraggeber nach § 203 Abs. 4 Nr. 1 StGB strafbar, wenn der Dienstleister oder seine Hilfspersonen Geheimnisse offenbaren.

Für Berufsgeheimnisträger gibt es oft noch weitere Vorschriften. So verlangt § 43e Abs. 3 BRAO von Rechtsanwälten, wenn sie einen Dienstleister einschalten, dem sie ggf. Berufsgeheimnisse offenbaren, dass dieser sich selbst und zusätzlich auch von ihm zur Vertragserfüllung herangezogene Dritte zur Geheimhaltung verpflichtet. Diese Verpflichtung muss in Textform geschehen. Für andere Berufsgeheimnisträger existieren vergleichbare Regelungen.

Insgesamt gibt es also zahlreiche Vorschriften, die dem Auftraggeber einer Auftragsverarbeitung auferlegen, seinen Dienstleister und dessen Subunternehmer bzw. Mitarbeiter zur Geheimhaltung zu verpflichten oder verpflichten zu lassen. Diese Vorschriften müssen von verschiedenen Auftraggebern in unterschiedlichem Umfang beachtet werden. Sie sind auch nebeneinander anwendbar. Dieser Beitrag stellt dar, welche Regelungsnotwendigkeiten sich daraus für eine Auftragsverarbeitungsvereinbarung ergeben.

2. Anforderungen des Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO

Für alle Auftraggeber gelten die Vorschriften des Art. 28 DSGVO, mithin auch Art. 28 Satz 2 Abs. 3 Buchst. b DSGVO. Die Vorschrift verlangt, dass ein Auftragsverarbeitungsvertrag „gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Ist also der Abschluss eines Auftragsverarbeitungsvertrags beabsichtigt, muss der Auftraggeber sicherstellen, dass (...)
 

Verlag Dr. Otto Schmidt vom 31.08.2018 14:55
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite