Frau Rechtsanwältin Claudia Holzner, LL.M. (Fachanwältin für Medizinrecht) hat sich der erst ganz zum Schluss der abgelaufenen Legislaturperiode durch den Bundestag verabschiedeten Neuregelung des § 203 Abs. 3 und 4 StGB angenommen und zeigt die wesentlichen und wichtigen Auswirkungen auf die Praxis auf.
§ 203 StGB stellt eine spezielle, strafbewehrte Geheimhaltungspflicht für sog. Berufsgeheimnisträger auf. Darunter fallen Berufe wie Ärzte, Zahnärzte, Apotheker, Rechtsanwälte, Notare, Wirtschaftsprüfer oder Steuerberater. Gleichwohl sind in diesem Geheimnisschutz auch Krankenhäuser, Krankenhausbetreibergesellschaften, große Rechtsanwalts- oder Wirtschaftsprüferkanzleien sowie nach § 203 Abs. 1 Nr. 6 StGB auch Versicherungsgesellschaften einbezogen.
Da für den Straftatbestand des § 203 StGB, speziell für das Tatbestandsmerkmal „Offenbaren“ nach überwiegender Auffassung bereits jede Möglichkeit der Kenntnisnahme Dritter erfasst war, konnten diese Gesellschaften bislang nicht oder nur sehr eingeschränkt Dienstleistungen Dritter in Anspruch nehmen, insbesondere im IT-Bereich. Nach der Neuregelung des § 203 StGB ist nun ein „Offenbaren“ des Geheimnisses nicht nur bei einer Mitteilung des Geheimnisses gegenüber „berufsmäßig tätigen Gehilfen“ straflos, sondern auch gegenüber „sonstigen Personen, die an der beruflichen oder dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich“ ist. Die Gesetzesbegründung nennt exemplarisch für solche Mitwirkungshandlungen beispielsweise: Schreibarbeiten, Rechnungswesen, Annahme von Telefonanrufen, Aktenarchivierung und -vernichtung, Einrichtung, Betrieb, Wartung – einschließlich Fernwartung – und Anpassung informationstechnischer Anlagen, Anwendungen und Systeme aller Art, beispielsweise auch von entsprechend ausgestatteten medizinischen Geräten, Bereitstellung von IT-Anlagen und Systemen zur externen Speicherung von Daten, Mitwirkung an der Erfüllung von buchführungs- und steuerrechtlichen Pflichten des Berufsgeheimnisträgers.
An diese Dienstleister können zukünftig also auch ohne Einwilligung des Patienten, des Mandanten oder Versicherungsnehmers Daten weitergegeben werden, ohne dass eine Strafbarkeit im Raume steht. Die Regelungen des Datenschutzes bleiben hiervon natürlich unberührt. Dies ermöglicht nicht nur die Inanspruchnahme von IT-Fernwartungsdiensten, sondern beispielsweise auch zeitgemäße Lösungen wie Cloud-Computing. Diese Möglichkeit war Berufsgeheimnisträgern bislang stark erschwert. Die Kehrseite der Erweiterung des Kreises, innerhalb dessen das Geheimnis straflos weitergegeben werden kann, ist die Strafbarkeit der Weitergabe dieses Geheimnisses durch die Drittdienstleister. Diese ist in § 203 Abs. 4 StGB n.F. geregelt. Sie betrifft zunächst eine eigene Strafbarkeit der sonstigen mitwirkenden Person, also des Drittdienstleisters. Zusätzlich sieht diese Vorschrift noch eine Strafbarkeit des ursprünglichen Berufsgeheimnisträgers dann vor, wenn dieser „nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, je bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekanntgewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde.“ Welchen Anforderungen eine solche Verpflichtung Genüge tun muss, legt der Gesetzentwurf in § 203 StGB allerdings nicht fest.
Hier bieten die im Zuge der Reform geänderten berufsrechtlichen Verpflichtungen Anhaltspunkte. Der Bundesgesetzgeber hat mangels Gesetzgebungskompetenz für die anderen betroffenen Berufe nur die Weitergabe von Geheimnissen an Drittdienstleister für Rechtsanwälte, Notare, Patentanwälte, Steuerberater und Wirtschaftsprüfer geregelt.
Eine Regelung für Ärzte fehlt, da sie nach Auffassung des Bundesgesetzgebers Aufgabe des Landesgesetzgebers ist. Die Neuregelung eröffnet damit breite
Anwendungsmöglichkeiten für die Inanspruchnahme von IT-Dienstleistungen. Wie detailliert eine Belehrung des Dienstleisters sein muss ist derzeit noch unklar; ob und in welcher Form diese
Belehrung an Mitarbeiter weitergegeben werden muss, ob der ursprüngliche Geheimnisträger Kenntnis von den einzelnen beteiligten Personen haben muss, welche Anforderungen an deren Auswahl zu
stellen sind usw. Die vertraglichen Grundlagen müssen also mit großer Sorgfalt gestaltet oder einer Überprüfung unterzogen werden.
Relevant war bislang die Fragestellung, ob Wartungs- und Servicepersonal als berufsmäßige Gehilfen im Sinne des § 203 Abs. 3 S. 2 StGB [1] zu klassifizieren sind, so dass eine Offenbarung zwischen den Heilberuflern und dem technischen Personal tatbestandlich nicht erfüllt ist. Im Gegensatz zu den internen Mitarbeitern besteht bei externen Mitarbeitern keine bindende Organisationseinheit zwischen Stationen/ Funktionsbereichen und der technischen Abteilung unter der einheitlichen Klinikleitung. Damit kann bei einem „remote support“ nicht von dessen organisatorischer Einbindung und auch nicht von einem diesbezüglichen Weisungsrecht durch einen Arzt ausgegangen werden. Externe Techniker treten dafür allenfalls, wenn überhaupt, zeitweilig in die Organisation der Station oder des Funktionsbereiches ein. Es erfolgt keine Einbindung in den beruflichen Wirkungskreis der jeweiligen Heilberufler. Die Techniker konnten daher nie berufsmäßige Gehilfen im Sinne des § 203 Abs. 3 S. 2 StGB sein, so dass es immer zu einer Strafbarkeit gem. § 203 StGB gekommen wäre. Es sei denn, die betroffenen Patienten und Mitarbeiter hätten die beteiligten Schweigepflichtigen von ihrer Schweigepflicht im Vorfeld oder während der Tätigkeit entbunden. Andere Erlaubnisnormen gab es nicht. Damit hätte es sich bei einem „remote support“ im Hinblick auf Klartextinformationen [2] und pseudonymisierte Daten [3] immer um ein rechtswidriges Offenbaren eines fremden Geheimnisses und somit einen strafrechtlichen Verstoß gegen § 203 StGB gehandelt. Da dieses Ergebnis so nicht gewünscht ist, sollte bislang nach Ansicht der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung der „remote support“, welcher durch einen Geheimhaltungsverpflichteten autorisiert und überwacht wird, zumindest theoretisch nicht den Tatbestand des Offenbarens gem. § 203 StGB erfüllen. Vielmehr sollte es sich um eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch „andere Stellen“ gemäß § 11 Abs. 5 BDSG [4] handeln.
Da es an dieser Stelle naturgemäß immer wieder zu unüberwindbaren rechtlichen Problemen kam, ist der Gesetzgeber nach jahrelangem Ringen tätig geworden: der Bundestag hat am 29.06.2017 das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen beschlossen.
„(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.“
War ein Offenbaren der dem Berufsgeheimnisträger anvertrauten Geheimnissen und Daten bislang – ohne Einwilligung des Patienten, Mandanten oder Versicherungsnehmers – nur gegenüber
„berufsmäßig tätigen Gehilfen“ straflos möglich, ist es dies nun auch gegenüber „sonstigen mitwirkenden Personen“. Damit ist nicht nur externen Schreibbüros,
IT-Wartungsdienstleistern oder Inkassounternehmen die Möglichkeit eingeräumt, für Ärzte, Rechtsanwälte oder andere Berufsgeheimnisträger tätig zu werden, vielmehr können insbesondere
Versicherungs- und Krankenhausgesellschaften eine wirtschaftlich sinnvolle Möglichkeit der Datenverarbeitung einschließlich IT-Outsourcing umsetzen und zeitgemäße Möglichkeiten
der Datenspeicherung - auch Cloud-Lösungen – rechtmäßig in Anspruch nehmen.
Fußnoten:
[1] § 203 Abs. 3 S. 2 StGB „Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind.“
[2] Klartextinformation wird definiert als „offener Wortlaut eines Textes, also eine unverschlüsselte Nachricht".
[3] § 3 a BDSG: „Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“ Unter „Pseudonymisieren“ ersteht man das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren."
[4] 11 Abs. 5 BDSG „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder
Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch
andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf
personenbezogene Daten nicht ausgeschlossen werden kann.“