IT Cloud Services § 203 StGB

Der neue § 203 StGB in seiner Fassung vom 15.2.2017 sollte eine Reihe von Unstimmigkeiten beseitigen, die sich auf der Grundlage der alten Gesetzesfassung ergeben hatten.

Thema

Neben den Regelungen des Datenschutzrechtes gibt es noch andere Gesetze, die den Schutz von Informationen bezwecken. Hierzu gehört der § 203 StGB. Angehörige bestimmter Berufsgruppen, die von Berufswegen mit Geheimnissen in Kontakt kommen, die ihnen von ihren Mandanten/ Patienten/ Kunden anvertraut werden, müssen diese Informationen besonders vor dem Zugriff Dritter schützen. Der Schutz der Information ist in diesem Fall so wichtig, dass die Berufsträger selbst gegen strafrechtliche Normen verstoßen, wenn sie sich nicht an das Gesetz halten. Zu diesen Berufsgruppen gehören Rechtsanwälte und Steuerberater, Notare, Wirtschaftsprüfer, Ärzte und Apotheker. Auch Versicherungen sind betroffen.

Wer von diesen Personen unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als Geheimnisträger anvertraut oder sonst bekannt geworden ist, wird mit Freiheitsstrafe oder Geldstrafe bedroht.

Das Problem für diese Berufsgruppen besteht darin, dass selbst  diese Berufsgruppen im Jahr 2017 mit Computern arbeiten und deshalb Fachleute brauchen, die per Remote auf die Rechner zugreifen. Außerdem sollen selbst diese Berufsgruppen verstanden haben, dass man die Kosten senken kann, wenn man bestimmte Leistungen in die Cloud verlagert.

Bisherige Rechtslage

Die bisherige Rechtslage ist durch viele Unsicherheiten geprägt und im Prinzip bestand immer die Gefahr, dass derjenige, der Computer in einer üblichen Art und Weise verwendet, sich strafbar macht. Cloudservices waren deshalb für viele Tabu.

Man versuchte, die Situation faktisch zu entspannen, in dem man externe IT-Mitarbeiter als Gehilfen qualifizierte mit der Folge, dass eine Offenbarung von Geheimnissen gegenüber Gehilfen keine Offenbarung mehr sein sollte. Eine organisatorische Einbeziehung von Helfern unter Bewahrung des Direktionsrechts danach, dass Inhalt, Ort und Zeit der Arbeitsleistung bestimmt werden könnten, galt bislang als der Königsweg, um eine Strafbarkeit zu vermeiden. Diesem Kontext ist auch der Begriff des „überwachten Betriebs“ entstanden. Man durfte dem IT-Unternehmen nur dann den Zugriff auf die eigenen Rechner gestatten, wenn man auf einem Monitor sehen konnte, was der IT-Mitarbeiter gerade tat. Das sah dann in der Praxis so aus, dass man einen Mitarbeiter während der Zeit des Zugriffs abkommandiert, auf dem Monitor zu schauen um zu überprüfen, dass der IT-Mitarbeiter nicht etwa geschützte Akten kopierte oder durchlas. Aber auch dieser Ansatz wurde heftig kritisiert.

Hinzu kam, dass bislang die einzelnen berufsrechtlichen Regelungen keine ausreichende Befugnis für den Zugriff durch Dritte auf geschützte Informationen beinhalten. Egal ob Anwalt oder Arzt, Apotheker oder Steuerberater: Die einzelnen Regelungen qualifizieren bis heute nicht genau unter welchen Voraussetzungen man eigentlich IT-Mitarbeiter auf die eigenen Systeme lassen darf. Faktisch gibt es einen Graubereich, der von den Behörden geduldet wird. Aber mit solch einer Unsicherheit mögen natürlich insbesondere Anwälte, Apotheker und Steuerberater nicht leben, wenn es um das Thema Strafbarkeit geht.

Neues Gesetz

Nun gibt es also ein neues Gesetz, das versucht alles besser zu machen und sofort gibt es etliche Literaturbeiträge, die besagen, dass das letztlich nicht gelungen ist. Die erforderliche Abstimmung mit den Datenschutzgesetzen sei ebenso wenig gelungen wie die präzise Fassung der Tatbestandsmerkmale.

Erforderlichkeit

Juristen wissen, daß das Wort „erforderlich“ bedeutet, dass das nach den Umständen unbedingt notwendige zugelassen werden muss. Diese Verpflichtung besteht aber schon nach dem bestehenden Datenschutzgesetz. Zu vermeiden sein werden automatisierte Zugriffsbefugnisse des IT-Unternehmens, die eben nicht erforderlich sind um die Aufrechterhaltung des Betriebs des IT-Systems zu gewährleisten. Nur das, was jeweils in der konkreten Situation notwendig ist, darf nach dem Gesetz gemacht werden und ist nach dem Datenschutzgesetz in einem entsprechenden Verfahrensverzeichnis zu dokumentieren. Mit anderen Worten: Wer das Datenschutzgesetz ernst nimmt und wirklich ein Verfahrensverzeichnis angelegt, in dem er dokumentiert, welche Befugnisse dem IT-Unternehmen zustehen und warum im Einzelfall ein Zugriff gewährt wird, wird kaum jemals mit dem Strafrecht in Widerspruch geraten.

Offenbaren

Das Wort „offenbaren“ wird von den Strafrechtlern als „zugänglich machen“ interpretiert. Ich kann die Kritik an dieser Stelle nicht nachvollziehen, denn tatsächlich bedeutet es ein „zugänglich machen“, wenn ich einem IT-Unternehmen die Möglichkeit gebe, per Remote sich auch nur über den Browser den Inhalt von Dateien anzuschauen. Auf der anderen Seite der Verbindung kann jemand Screenshots anfertigen oder Notizen erstellen. Der Tatbestand der Norm muss nach meiner Auffassung weit gewählt sein. Man will nicht, daß die eigenen Daten gegenüber Dritten offenbart werden können, wenn dies nicht unbedingt erforderlich ist. Die entscheidende Frage lautet immer, ob der Zugriff erforderlich ist.

Fazit

Sofern man die Verpflichtung aus dem Datenschutzrecht zur Anfertigung eines Verfahrensverzeichnisses ernst nimmt, was man als Berufsträger wegen des erforderlichen besonderen Schutzes der Daten ohnehin tun muss, ist der neue § 203 StGB ein echter Gewinn.

Weitere Beiträge

Programmieren und KI und Urheberrecht Teil II

Im Teil I hatte ich die generellen Probleme dargelegt, die sich daraus ergeben dass der Output eines KI Systems grundsätzlich nicht als urheberrechtsähiges Werk qualifiziert werden kann. Ganz konkret gehen wir in diesem Teil mal der Frage nach, was das

Mehr lesen »
Nach oben scrollen