Berufsgeheimnisträger müssen beim Outsourcing aufpassen
Das Gesetz für Berufsgeheimnisträger stellt das Outsourcing vor grosse Herausforderungen. Die gängige Praxis ist juristisch gesehen nicht unproblematisch. Eine einfache Lösung gibt es zumeist nicht.
Vergangen Freitag hatte die "Vortragsreihe am Mittag" des Europa Instituts an der Universität Zürich das Thema "Strafrechtliche Verantwortlichkeit beim Outsourcing der Datenverantwortung von Berufsgeheimnisträgern" behandelt. Wolfgang Wohlers, Professor für Strafrecht und Strafprozessrecht an der Universität Basel, sprach über strafrechtliche Probleme beim Outsourcing für Ärzte, Spitäler, Versicherungen oder auch Rechtsanwälte. Denn diese Berufsgruppen unterliegen gesonderten gesetzlichen Pflichten, welche über den normalen Datenschutz hinaus gehen. Der Event fand im CS Forum St. Peter statt und war sehr gut besucht.
Keine einfache Lösung parat
In einem Gutachten im Auftrag des Datenschutzbeauftragten der Stadt Zürich beschäftigte Wohlers sich mit der Thematik. Gleich zu Beginn hob er jedoch hervor, dass er keine zufriedenstellende abschliessende Lösung für das Outsourcing bei Berufsgeheimnisträgern parat habe. Das Feld sei sehr komplex. In seinem Vortrag zeigte er zunächst die Lage auf und diskutierte im Anschluss einige Lösungsansätze.
Am weitesten Fortgeschritten sei das Outsourcing bei den Spitälern, sagte Wohlers. Ob nun bei der Datenverarbeitung, der Auslagerung des Rechungswesens oder der Nutzung der Cloud. Sogar die Klinischen Informationssysteme würden immer häufiger extern betrieben. Immer stärker halte zudem die Fernwartung von Maschinen durch Dritte in Spitälern Einzug. Dabei könnten diese Einblick in sensible Informationen über Patienten bekommen. Das Outsourcing im Gesundheitsbereich ist unter dem Gesichtpunkt des Berufsgeheimnisgesetztes "ein riesengrosses Problem", sagte Wohlers. Juristen seien hier noch nicht so weit, die Outsourcing-Problematik gehe hier gerade erst richtig los.
Outsourcing definiert Wohlers als Offenlegen von Daten an Dritte. Diese Praxis wird durch das Gesetz sehr stark reglementiert. So dürfen Dritte ohne Zustimmung des Geheimnisinhabers keinen Einblick in die Daten haben. Schon ein flüchtiger Blick oder die reine Möglichkeit des Zugriffs ist unter dem Geheimnisschutz strafbar.
Keine klare Auslegung
Wohlers bemängelte in seinem Vortrag, dass von Seiten der Behörden das Thema Outsourcing für Geheimnisträger kaum behandelt wird. Ein Finma-Rundschreiben für das Bankgeheimnis stammt aus dem Jahr 2008. Dessen Inhalt stufte er als "äusserst bedenklich ein". Der Finma-Formulierung nach entscheide die Bank, wer Zugang zu den Daten hat und nicht der Dateninhaber. Er betonte aber, dass die Finma nur eine aufsichtsrechtliche und keine strafrechtliche Relevanz hat.
Das Bundesamt für Justiz äusserste sich zuletzt 1999 in einer Stellungnahme zum Outsourcing. "Inkassostellen und Informatikdienstleister seinen als Hilfspersonen des Berufsgeheimnisträgers anzusehen", heisst es in dem Schreiben. Auch ohne Einwilligung des Geheimnisherrn könnten Daten gegenüber diesen externen Dienstleistern offengelegt werden. Laut Wohlers formuliert die Behörde im Schreiben eine "de facto Abschaffung des Geheimnisschutzes" oder zumindest eine sehr starke Einschränkung. Dies sei ebenfalls sehr problematisch.
Datenschutz und Geheimnisschutz sind zwei paar Schuhe
Falsch sei laut Wohlers auch, datenschutzrechtliche Kriterien für den Geheimnisschutz heranzuziehen. Denn der Datenschutz sei viel lockerer formuliert und er könne das Strafrecht nicht aushebeln. Aber gerade dies würde in der juristischen Literatur vermehrt gemacht, was Wohlers kritisierte. Letztendlich müsse der Geheimnisherr entscheiden, was mit seinen Daten passiert und nicht der Geheimnisträger, betonte Wohlers.
Das Outsourcing unter Datenschutzrecht kehre diesen Grundsatz um. Auch wenn dies inzwischen häufig gängige Praxis sei, so könne die Realität das Gesetz nicht aushebeln. "Es kann nicht im reinen Ermessen des Geheimnisträgers liegen, wer alles Zugriff auf die Daten hat", sagte Wohlers.
Häufig diskutierte Scheinlösungen
Juristen diskutieren zurzeit mehrere Lösungsansätze, um den Geheimnisschutz mit dem Outsourcing vereinbaren zu können. Viele dieser Lösungen sind für Wohlers aber nur Scheinlösungen, da sie versuchen, das bestehende Gesetzt kreativ zu umgehen.
Eine Idee ist es, das mit dem Outsourcing betraute Unternehmen als Hilfsperson zu definieren. Im Gesetz sind damit vor allem Sekretäre oder Personen gemeint, die in direkter Weisungsbefugnis des Geheimnisträgers, etwa eines Anwalts, stehen. Für Wohlers ist dies in Bezug auf das Outsourcing eine unzulässige Lösung, da wiederum nur der Geheimnisträger entscheidet, wem er Zugriff auf die Daten gestattet. Es könnten nicht einfach alle Personen als Hilfspersonen definiert werden. Denn es sei auch fraglich, wie weit die direkte Weisungsmacht reicht. Ein IT-Dienstleiter könnte etwa übernommen werden, wodurch Weisungsvereinbarungen obsolet würden.
Ein anderer Ansatz ist, dass das Outsourcing nicht als "Offenbarung" gemäss des Gesetzes definiert wird. Im Gesetz steht, dass schon eine Öffnung des Zugriffs als Offenbaren angesehen wird. Die Möglichkeit der Einsicht ist schon ausreichend. Für Wohlers kommt dieser Ansatz nur in Frage, wenn die outgesourcten Daten verschlüsselt werden. Dabei ist es seiner Ansicht nach auch irrelevant, ob die Daten im Ausland oder Inland liegen. Es müsse jedoch sichergestellt werden, dass etwa bei anonymisierten Daten keine Rückschlüsse gemacht werden können.
Nach Wohlers ist dieser Ansatz vor allem für Archivierungszwecke geeignet. Für das Verarbeiten und Bearbeiten von Daten sei es seiner Meinung nach ein wenig praktikabler Weg.
Einwilligungslösung am elegantesten, aber mit Fallstricken
Für Wohlers ist eine Einwilligungslösung des Geheimnisherrns in das Outsourcing der vielversprechendste Ansatz. Das Gesetzt nennt diese Möglichkeit sogar ausdrücklich. Bei der Einwilligung gebe es aber zahlreiche Aspekte zu beachten, so Wohlers weiter.
So gibt es keine rückwirkende Einwilligung. Die Zustimmung muss vor dem Outsourcing erfolgen. Auch müsse für den Geheimnisherr klar ersichtlich sein, in was er eingewilligt habe. Etwa wohin die Daten gehen, zu welchem Zweck und wie.
Jede Einwilligung sei eine individuelle Entscheidung des Geheimnisherrns. Er müsse ausführlich informiert werden und die Einwilligung dürfe nicht unter Druck erfolgen. Für Wohlers ist eine einfache Auslagerung der Zustimmung in die AGB problematisch. Im Zweifelsfall müsse nachgewiesen werden, dass der Geheimnisherr die Ausführungen verstanden habe.
Wenn all diese Voraussetzungen eingehalten werden, dann sei die Einwilligungslösung der ideale Ansatz für ein strafrechtskonformes Outsourcing. Für Neukunden sei dies ohne Probleme machbar, etwa bei Vertragsabschluss. Aber alle Altkunden müssten separat ihre Zustimmung geben. Die Daten der Personen, die nicht zustimmen, müssten zudem von den anderen Daten klar getrennt werden. Laut Wohlers ist dies aber technisch nicht immer möglich.
Als Fazit sagte Wohlers, dass es unter geltendem Recht keine klare Lösung für das Outsourcing bei Geheimnisträgern gibt. Eine Abschaffung oder Anpassung des Geheimnisschutzes könnte hier Klarheit schaffen. Momentan ist das Outsourcing für Geheimnisträger jedoch eine sehr komplizierte Materie, mit vielen Unklarheiten.
Whatsapp und Threads verschwinden aus chinesischem App Store
Was KI zur Barrierefreiheit im Web beitragen kann
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Update: Österreichischer Investor übernimmt Devolo
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Der Astrologe rettet den Tag ... oder auch nicht
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
