Berufsgeheimnisträger und die Cloud: Ein Widerspruch?

Anwälte und Ärzte können nicht einfach irgendeinen Cloud-Dienst nutzen. Als sogenannte Berufsgeheimnisträger gelten für sie rechtliche Normen, die für die digitale Datenverarbeitung bei den meisten Dienst-Anbietern oft nicht sichergestellt sind oder technisch gar nicht eingehalten werden können. Wir wollten nun wissen, unter welchen Bedingungen ein Berufsgeheimnisträger seine Daten in einer Cloud verarbeiten lassen kann.

Ein Interview mit Steffen Kroschwald, wissenschaftlicher Mitarbeiter bei der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) an der Universität Kassel.

Herr Kroschwald, welche Normen müssen Berufsgeheimnisträger, wie zum Beispiel Anwälte oder Ärzte, beachten, wenn sie sich für einen Cloud-Dienst entscheiden?

Steffen Kroschwald: Das Bundesdatenschutzgesetz (BDSG) und der §203 des Strafgesetzbuchs (StGB) wahren das Recht anderer auf Schutz ihrer persönlichen Informationen. Sie unterscheiden sich aber in der Zielrichtung: Der Geheimnisschutz nach § 203 StGB – etwa die Schweigepflicht eines Anwalts – bezieht sich auf das Verhältnis zwischen dem Anwalt und seinem Mandanten. Der Anwalt wird hier zum Datenschützer zugunsten seines Mandanten. Das Datenschutzrecht ergibt sich aus dem Recht auf informationelle Selbstbestimmung. Geschützt wird davon jeder, dessen personenbezogene Daten betroffen sind – egal ob er Mandant oder Dritter ist.

Wie sieht es aus? Darf ein Berufsgeheimnisträger überhaupt Cloud-Dienste in Anspruch nehmen?

Das kommt darauf an: Indem der Cloud-Anbieter als Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung als verlängerter Arm des Cloud-Nutzers als Auftraggeber Daten auf dessen Anweisung verarbeitet, könnte die Weitergabe und der Umgang mit den Daten zulässig sein (§ 3 Abs. 8 Satz 3 i. V. m. § 11 BDSG). Nach § 203 Abs. 1 StGB machen sich jedoch Angehörige bestimmter Berufsgruppen strafbar, wenn sie ein fremdes Geheimnis offenbaren, das ihnen im Rahmen ihrer Berufstätigkeit anvertraut oder sonst bekannt wurde. Darunter fallen Rechtsanwälte und Ärzte.

Was bedeutet in diesem Zusammenhang Geheimnis und ab wann gilt es als offenbart?

Als Geheimnis ist bei Ärzten und Anwälten regelmäßig ein Großteil der – den Patienten oder Mandanten zuordenbaren – Informationen einzustufen, beispielsweise die Identität des Patienten oder Mandanten, Daten der Anwesenheit, Gründe und Befunde, aber auch zufällige Beobachtungen und Rückschlüsse des Berufsgeheimnisträgers in Bezug auf Person oder Geschäft – mithin nahezu die gesamte Patienten- bzw. Mandantenakte. Anonymisierte Informationen fallen dagegen nicht unter den Geheimnisbegriff, soweit sie keine Rückschlüsse auf den Betroffenen mehr zulassen.

Für eine Offenbarung genügt bei digitalen Geheimnissen allein schon der potentielle Zugang zu den Daten. Es heißt ja in § 203 StGB: „in irgendeiner Weise an einen anderen gelangt“. Sobald Daten in einer Cloud nicht durchgängig verschlüsselt werden, kann es zu einer Offenbarung von Geheimnissen kommen, möglicherweise sogar unabhängig davon, ob eine tatsächliche Kenntnisnahme stattgefunden hat.

Ist die Kenntnisnahme durch Dritte aufgrund der sehr starken technischen Sicherung nur noch durch einen verbotenen und gleichzeitig erheblichen Eingriff (z. B. Hacking entsprechend des Aufbrechens eines sicher verschlossenen Aktenschranks) möglich, kann dem Berufsgeheimnisträger eine aktive Geheimnisoffenbarung nicht mehr vorgeworfen werden.

Welche Norm hat eigentlich Vorrang? Das Datenschutzrecht oder der § 203 StGB?

Das BDSG stellt hier vereinfacht gesprochen eine Art Minimalstandard dar. Nach § 1 Abs. 3 Satz 2 BDSG gilt wohl folgendes: Überall dort, wo der Schutz besonderer Geheimhaltungsvorschriften höher ist als im BDSG, genießen diese Vorschriften Vorrang.

Worauf muss ein Berufsgeheimnisträger denn nun achten, wenn er eine Cloud-Lösung in Betracht zieht?

Für den Transport von Daten in die Cloud ist (ähnlich wie beim Versenden von E-Mails) eine Verschlüsselung heutzutage technisch leicht umsetzbar und deshalb einem Berufsgeheimnisträger zumutbar – ebenso die Auswahl einer Cloud, die eine entsprechende Zugriffs- und Datensicherheit gewährleistet.

Ob eine derartige Verschlüsselung auch in der Cloud selbst aufrechterhalten werden kann, richtet sich nach der konkreten Nutzung der Daten in der Cloud: Bei der Cloud zur Speicherung von Daten ist der Zugriff sowohl durch Dritte als auch durch den Cloud-Anbieter ausreichend erschwert, wenn bei der Speicherung eine entsprechende Verschlüsselung verwendet wird. Anders bei der Cloud zur Daten-Verarbeitung etwa im Rahmen des Software as a Service (SaaS): Die Daten werden zwar verschlüsselt übertragen, müssen aber zur Verarbeitung entschlüsselt werden. Nach dem derzeitigen Stand der Technik ist eine Datenverarbeitung in verschlüsseltem Zustand noch nicht möglich. Für die Dauer der Verarbeitung hat der Cloud-Anbieter also Zugriff auf den Datenbestand und damit die Möglichkeit zur Kenntnisnahme.

Was macht denn SaaS-Lösungen so problematisch?

Problematisch sind die Angriffe von Innen – also Gefahren, die von Mitarbeitern und Administratoren des Cloud-Anbieters ausgehen. Diese haben schon aus organisatorischen Gründen die Möglichkeit, auf die in einer Cloud abgelegten Daten zuzugreifen.

Kann ein Anwalt Cloud-Lösungen zur Datenverarbeitung z.B einen File-Sharing-Dienst überhaupt verwenden?

Grundsätzlich kann und soll auch dem Berufsgeheimnisträger eine internetbasierte IT-Nutzung nicht verwehrt bleiben. Da er jedoch für den gesamten Datenweg verantwortlich ist und sich dabei sogar strafbar machen kann, ist es unabdingbar, dass er besonders hohe Anforderungen zur Datensicherheit an sich, an die Datenübertragung und an den Dienstanbieter stellt. Durch eine sichere kryptographische Verschlüsselung können personenbezogene Daten pseudonymisiert werden. Voraussetzung hierfür ist aber, dass eine entsprechende zukunftsgerichtete Risikoprognose  ein Hacking der Verschlüsselung hinreichend ausschließt, unbemerkte Datenkopien verhindert werden und der Schlüssel sicher und ausschließlich beim Cloud-Nutzer verbleibt.

Sollen Daten im Rahmen des Cloud Computing verarbeitet werden, so kann dies innerhalb der Basistechnologie Sealed Cloud „betreibersicher“ erfolgen. Das heißt, auch der Betreiber und seine Mitarbeiter können auf die Daten nicht zugreifen und keine Kenntnis von ihrem Inhalt nehmen.  Im Zusammenhang mit einem umfassenden Sicherheits- und unabhängigen Kontrollmechanismus ist dann auch ein Datenumgang zum einen datenschutzrechtlich zulässig zum anderen ggf. auch ohne strafbewehrte Offenbarung von Berufsgeheimnissen möglich.

Nähere Informationen finden Sie in folgenden Fachartikeln: 1) Steffen Kroschwald, in: Taeger, Law as a Service, Tagungsband SDRI-Herbstakademie 2013, 304. 2) Steffen Kroschwald, Magda Wicker, Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758-764