§ 203 StGB und die Strafhaftung von Berufsgeheimnisträgern in der IT

Von Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart

Die rechts- und beweissichere Verfügbarhaltung von unternehmenskritischen Informationen und IT-Systemen gehört im Informationszeitalter zu den rechtlichen Selbstverständlichkeiten, entsprechende Backup- und Archivierungsprozesse sind zur Einhaltung der jeweils einschlägigen Compliance-Standards unabdingbar. Hinzu tritt seit Bekanntwerden der Abhöraffären und der neuesten Statistiken über die Wirtschaftsspionage die besondere Bedeutung des Schutzes von Geschäfts- und Personendaten. Das Thema IT-Sicherheit ist mithin aus dem Geschäftsleben nicht mehr wegzudenken. Ihre Einhaltung ist als Teil der „Corporate Governance“ Chefsache, eine „Noncompliance“ kann fatale Folgen haben. Es liegt daher nicht nur unter betriebswirtschaftlichen Aspekten nahe, das Hosting von Daten, Systemen und Applikationen an spezialisierte IT-Dienstleister zu vergeben bzw. bestimmte Verarbeitungsprozesse in global verfügbare Rechenzentren auszulagern. Letzteres erscheint indes unter Risikogesichtspunkten nur noch unter engen Voraussetzungen – etwa bei zugesicherten „Cloud made in Germany“-Lokationen mit hohen Sicherheitsstandards – vertretbar, für Berufsgeheimnisträger und die elektronische Buchführung ist eine technisch und rechtlich abgesicherte Inlandsverarbeitung fast ausnahmslos zwingend.

Wie Statistiken belegen, müssen 70% der Unternehmen, bei denen es zu katastrophalen Datenverlusten kommt, innerhalb von 18 Monaten aufgeben. Berichten zuverlässiger Quellen zufolge werden von internationalen Geheimdiensten täglich mehrere Millionen Daten von Telefonaten und Internetverbindungen mitgelesen. Dabei geht es auch um Wirtschaftsinteressen. Deutschland ist dabei das wichtigste Wirtschaftsspionageziel in der EU. Laut Bitkom ist die Hälfte aller Unternehmen betroffen. Die Schäden belaufen sich auf jährlich 51 Mrd. Euro, weltweit werden diese laut Europol auf 290 Mrd. Euro geschätzt. Laut Bloomberg werden gerade auch Anwalts- und Steuerkanzleien gehackt. Laut Heise werden vermehrt Fälle berichtet, in denen Berufsgeheimnisträgern Datenträger und Verarbeitungsgeräte mit vertraulichen Daten entwendet wurden – mit der anschließenden Drohung, Daten zu löschen oder deren Verlust öffentlich zu machen.

Die Verletzung der Aufbewahrungspflicht kann insbesondere auch strafrechtliche Folgen haben, die über den Personendatenschutz, die Besteuerung und den Schutz von geschäftskritischen Daten noch hinausgehen. Wenn beispielsweise der Verlust oder die Unauffindbarkeit von Finanzdaten eine vollständige Übersicht über die Vermögensverhältnisse des Unternehmens erschwert, ist eine Haftung des Unternehmens und seiner Organe nicht ausgeschlossen. Ebenso kann dies der Fall sein bei der Gefährdung von Geschäftsgeheimnissen. So hat der Bundesgerichtshof die Haftung von Vorstand und Compliance-Officer erweitert in Bezug auf eine Garantenpflicht, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Es besteht eine entsprechende Verpflichtung sicher zu stellen, dass keine Straftaten aus dem Unternehmen heraus begangen werden.

Neben dem Compliance-Beauftragten gilt dies grundsätzlich auch für andere Sonderbeauftragte wie den IT-Sicherheitsbeauftragten und ggf. auch den Datenschutzbeauftragten.

Der Bundesgerichtshof sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an und hat ferner entschieden, dass Geschäftsinterna wegen der etwaigen Vorwerfbarkeit eines strafbaren Geheimnisverrats nicht ungesichert via E-Mail zur Verfügung gestellt werden dürfen.

Als Berufsgeheimnisträger im Sinne des § 203 Strafgesetzbuch (StGB) müssen unter anderem Rechtsanwälte, Steuerberater, vereidigte Buchprüfer und Wirtschaftsprüfer einen Schutz ihrer Mandantendaten gegen Kenntnisnahme Dritter garantieren können. Auch die Unterlassung geeigneter technisch-organisatorischer Maßnahmen ist strafbewehrt. Denn „offenbart“ im Sinne des § 203 StGB wird ein Geheimnis auch dann, wenn dies durch Untätigbleiben geschieht. Jede Form der Mitteilung genügt, so auch im Falle von Dateien die Ermöglichung von Zugang.

Berufsgeheimnisträger müssen zudem bereits aufgrund ihrer jeweiligen berufsrechtlichen Verschwiegenheitspflichten höchsten Wert auf ein effizientes IT-Sicherheitskonzept legen.

Zugleich können die Berufsangehörigen damit aber als vertrauenswürdige Partner auch ihren Mandanten vermitteln, dass das Management von IT-Sicherheit Chefsache ist, wie der DStV-Präsident StB/WP Seewald auf einer Veranstaltung des Vereins Deutschland sicher im Netz (DsiN), die unter dem Motto „Netzwerken für IT-Sicherheit“ lief, schon 2012 hervorhob.

Wird die Bearbeitung oder Aufbewahrung von Mandantendaten „outgesourct“, entstehen neue externe Zugriffsmöglichkeiten, so dass hier in besonderem Maße sichergestellt werden muss, diese Daten bestmöglich zu schützen.

Damit scheiden die klassischen Standardlösungen von Public Clouds der großen US-Anbieter, die zumeist Zugriff auf die Daten nehmen können und die nach hiesigen Standards gebotene Sicherheit nicht gewährleisten, nahezu vollständig aus.

Für Berufsgeheimnisträger bedeuten IT-Schäden und deren Folgen neben den Umsatzverlusten und Kosten für die Wiederbeschaffung und Wiederherstellung von Daten insbesondere auch Haftung gegenüber Mandanten, berufsrechtliche Inanspruchnahme, Reputationsverlust – und in der Regel auch das Ende von Mandatsverhältnissen.