Eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG ersetzt nicht die erforderliche Zustimmung nach § 203 StGB.
§ 203 StGB
Bestimmte Berufskreise sind von Berufsweg besonderen Regelung zur Geheimhaltung von Geheimnissen unterworfen, so z. B. Rechtsanwälte, Mediziner und Versicherungen. Für diese Gruppen gilt, dass die Ihnen anvertrauten Informationen und Tatsachen grundsätzlich Dritten nur dann anvertraut werden dürfen, wenn die betroffenen Personen der Überlastung zugestimmt haben. Auf Deutsch: Ihr Arzt darf die Arztakten nur dann einem Dritten wie einem IT-Unternehmen zur Speicherung überlassen, wenn eine ausdrückliche Zustimmung des einzelnen Patienten vorliegt. Das gleiche gilt Analog für Rechtsanwälte, Versicherungen u.a. im § 203 genannte Berufsträger. In dem Kontext zur Auftragsdatenverarbeitung ist einfach zu Bemerken, dass die vorliegen einer Ermächtigung nach § 11 Abs. 2 nicht die Zustimmung des Betroffenen nach § 203 StGB substituiert. Auf Deutsch: Dann wenn zwischen dem Arzt und dem IT-Dienstleistungsunternehmen ein Vertrag gem. den Regularien des § 11 Abs. 2 BDSG abgeschlossen hat, liegt immer noch keine Zustimmung des Betroffenen Patienten zur Überlassung der Daten auf den Betroffenen IT Dienstleister vor.
Die wörtliche Auslegung des § 203 StGB ergibt, dass die betroffenen Berufskreise grundsätzlich keine IT Unternehmen einschalten zur Bearbeitung der Daten bearbeiten dürfen, wenn nicht jeder einzelne Kunde dem Umstand zustimmt, daß die jeweiligen Daten durch den betreffenden ITler bearbeitet, gespeichert, transportiert oder gelöscht werden.
Dieses völlig praxisfremde Ergebnis sollte durch eine Korrektur des Gesetzestextes behoben werden. Diese ist seit langem versprochen und wird einfach nicht umgesetzt. Vermutlich auch deswegen, weil sich die Praxis damit behilft, das IT-Unternehmen, dass im Auftrag der Auftraggeber die Auftragsdatenverarbeitung durchführt als „Gehilfen“ des Arztes, Anwaltes oder der Versicherung anzusehen. Voraussetzung für die Gehilfenstellung des IT – Unternehmen ist nach herrschender Ansicht das Bestehen effektiver Steuerungsmaß durch den Auftraggeber. Genau aus diesem Grund sind viele Unternehmen dazu übergegangen, den Zugriff per GFÜ, Citrix etc. nur dann zu erlauben, wenn ein Berufsträger auf dem Monitor verfolgen kann, was der IT – Leiter in dem System eigentlich tut, welche Daten er sich anschaut etc. Wie man auf der Basis solcher Kontrollmechanismen schnelle Fehlerreaktionsszenarien vereinbaren kann, bleibt mir schleierhaft. Im Grundsatz kann man ein Fehlerreaktion SLA heutzutage nur dann vernünftig mit einer Versicherung vereinbaren, wenn man die Freischaltung und die Überwachung des Kunden als vertragliche Hauptleistungspflicht des Versicherungsunternehmens, Arztes oder Anwaltes im Vertrag konstituiert und bestimmt, dass eine schnelle Reaktion nur dann möglich ist, wenn sich auch am Wochenende ein Arzt oder Anwalt in der Kanzlei oder Praxis befindet. Dieser praxisfremde Zustand besteht seit etlichen Jahren, man muss aber zur Rettung der Juristenehre sagen, dass die Fälle, in den tatsächlich eine Strafbarkeit des ITler auch nur zur Debatte stünden, sehr rasend (im Grunde genommen bestehen überhaupt keine Fälle, die Bekannt sind).
In der Praxis wird man aber in der Complaince von Unternehmen immer wieder erleben, dass die einen Zugriff per DFÜ nur zulassen, wenn zugleich eine faktische Kontrollmöglichkeit durch eine hauseigene Person besteht, die überwachen und einsehen kann, was das IT – Unternehmen im Einzelfall gerade in dem System tut.