Berufsgeheimnis: Neue Regelungen zur Auslagerung von Dienstleistungen schaffen mehr Rechtssicherheit

02.01.2018

| Am 9.11.17 ist das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ in Kraft getreten (BGBl I 17, 3618). Das Gesetz schafft für Steuerberater und andere Geheimnisträger mehr Rechtssicherheit, wenn sie externe Dritte in ihre Berufsausübung einbeziehen. Bisher befand sich dieser Personenkreis in einer rechtlichen Grauzone und war immer der Gefahr ausgesetzt, sich wegen der Verletzung des Berufsgeheimnisses nach § 203 Abs. 1 Nr. 3 StGB strafbar zu machen. Erfahren Sie alles zu den Neuerungen. |

Neue Straftatbestände für Steuerberater und Dienstleister

Die Vorschrift des § 203 StGB ermöglicht Steuerberatern nunmehr unter näher geregelten Voraussetzungen das Outsourcing von Dienstleistungen. Neben den traditionellen Dienstleistungen Dritter (externe Aktenlagerung oder -entsorgung, Empfangs- und Sicherheitsdienste, externe Telefonzentralen und Sekretariate etc.) sind damit in erster Linie internetgestützte Lösungen wie ASP-Dienste und Cloud Computing gemeint.

Nach § 203 Abs. 3 S. 2 StGB sind Berufsgeheimnisträger und damit auch Steuerberater ohne Einwilligung des Mandanten berechtigt, fremde Geheimnisse gegenüber dritten Personen (z. B. IT-Dienstleistern) zu offenbaren, die an ihrer beruflichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist. Der Gesetzgeber hat eine eigene Strafbarkeit des externen Dienstleisters in § 203 Abs. 4 S. 1 StGB begründet, wenn dieser unbefugt ein fremdes Geheimnis offenbart, das ihm bei Ausübung oder bei Gelegenheit seiner Tätigkeit bekannt geworden ist. Bestraft wird aber auch der Steuerberater, der keine Sorge dafür trägt, dass der externe Dienstleister zur Geheimhaltung verpflichtet wird (§ 203 Abs. 4 S. 2 Nr. 1 StGB).

Vertrag mit externem Dienstleister zwingend vorgeschrieben

Die neuen strafrechtlichen Regelungen werden flankiert durch einen erweiterten § 62 StBerG (Verschwiegenheitspflicht beschäftigter Personen) und einen neuen § 62a StBerG (Inanspruchnahme von Dienstleistungen). Auch nach dieser neuen berufsrechtlichen Befugnisnorm dürfen Steuerberater externen Dienstleistern den Zugang zu der Verschwiegenheitspflicht unterliegenden Tatsachen ohne Einwilligung des Mandanten eröffnen, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist. Der Steuerberater ist verpflichtet, den Dienstleister sorgfältig auszuwählen und ihn zur Verschwiegenheit zu verpflichten. Das Gesetz verlangt zudem ausdrücklich eine vertragliche Vereinbarung in Textform mit dem Dienstleister, die folgende Regelungen enthalten muss:

  • Der Dienstleister ist unter Belehrung über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht zur Verschwiegenheit zu verpflichten.
  • Der Dienstleister ist zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist.
  • Es ist festzulegen, ob der Dienstleister befugt ist, weitere Personen zur Vertragserfüllung heranzuziehen. Ist dies der Fall, ist dem Dienstleister aufzuerlegen, diese Personen in Textform zur Verschwiegenheit zu verpflichten.

Beachten Sie | Der externe Dienstleister muss sich bewusst dafür entscheiden, ein eigenes Strafbarkeitsrisiko zu übernehmen. Der Steuerberater als Geheimnisverpflichteter muss versuchen, bei seinem Vertragspartner ein entsprechendes Bewusstsein dafür zu schaffen.

Problem: Server-Standort USA

Es sind zwei Ausnahmen vorgesehen, die es zu beachten gilt:

  • Bei der Inanspruchnahme von Dienstleistungen, die im Ausland erbracht werden (z. B. bei IT-Dienstleistern mit Sitz im Ausland), ist eine Offenbarung ohne Einwilligung des Mandanten nur zulässig, wenn der dort bestehende Geheimnisschutz mit dem Schutz im Inland vergleichbar ist. Ausnahme: Der Schutz der Geheimnisse gebietet dies im Einzelfall nicht (§ 62a Abs. 4 StBerG). Da der Steuerberater dies nicht in jedem Fall verlässlich beurteilen kann, ist er nur dann auf der sicheren Seite, wenn er zuvor die Einwilligung aller betroffenen Mandanten eingeholt hat.

    Praxishinweis | Bei Dienstleistern mit Sitz im Ausland ist im Einzelfall zu prüfen, ob die Datenspeicherung auf ein inländisches Rechenzentrum beschränkt werden kann. Nur in diesem Fall kann auf eine ausdrückliche Einwilligung aller Mandanten verzichtet werden.

    Dieses praktische Problem stellt sich nicht, wenn der Speicherort nicht in den USA, sondern in Deutschland ist. Obwohl die am häufigsten genutzten Cloud-Anwendungen fast alle aus den USA stammen, haben viele amerikanische Anbieter Rechenzentren in Europa und Deutschland eingerichtet und erklären sich bereit, die Datenspeicherung (ggf. gegen höhere Gebühren) auf diese Orte zu beschränken. Dabei ist im Einzelfall zu klären, ob dies nur den Speicherort oder auch den Support durch Wartungspersonal betrifft. Wenn der Speicherort im Inland ist und das Wartungspersonal vom Inland aus operiert, ist eine ausdrückliche Einwilligung entbehrlich. Ein Verstoß gegen § 62a Abs. 4 StBerG ist im Übrigen „nur“ von berufsrechtlicher und nicht von strafrechtlicher Relevanz, da § 203 StGB keine Einschränkung bei ausländischen Anbietern vorsieht.

  • Bei der Inanspruchnahme von Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, darf der Steuerberater und der Steuerbevollmächtigte dem Dienstleister den Zugang zu fremden Geheimnissen nur dann eröffnen, wenn der Mandant darin eingewilligt hat (§ 62a Abs. 5 StBerG).

IWW-Institut, Würzburg