Jusletter IT

Konformität der Supportleistungen mit dem Anwaltsgeheimnis nach deutschem und Schweizer Recht

  • Authors: Marvin Fechner / Blaise Dévaud
  • Category of articles: Data Protection
  • Category: Articles
  • Region: Germany, Switzerland
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2020
  • DOI: 10.38023/53b909d1-f3ee-4ce1-987c-097b0b652b1e
  • Citation: Marvin Fechner / Blaise Dévaud, Konformität der Supportleistungen mit dem Anwaltsgeheimnis nach deutschem und Schweizer Recht, in: Jusletter IT 28. Februar 2020
Supportleistungen gehören zu jeder Wartungsvereinbarung einer Kanzleisoftware. Im Rahmen des Supports ist es oft nötig, dem Dienstleister einen direkten Zugang zur produktiven Instanz der Kanzleisoftware zu gestatten. Um das Berufsgeheimnis zu gewährleisten, dürfen mandantenbezogene Informationen für die Betreiber der Software nur einsehbar sein, wenn dies zur Aufrechterhaltung der Funktionalität notwendig ist. Der Beitrag untersucht die rechtlichen Rahmenbedingungen und skizziert einen praktischen Lösungsansatz am Beispiel einer Dokumentenautomatisierungssoftware.

Inhaltsverzeichnis

  • 1. Problemstellung
  • 2. Rechtliche Rahmenbedingungen
  • 2.1. Deutsches Recht
  • 2.2. Schweizer Recht
  • 3. Praktische Umsetzung
  • 3.1. Systemübersicht
  • 3.2. Technischer Vorgang
  • 4. Fazit
  • 5. Literatur

1.

Problemstellung ^

[1]

Rechtsanwälte sind zur Wahrung des Anwaltsgeheimnisses verpflichtet. In Ausübung ihrer Tätigkeit setzen die Rechtsanwälte Dienstleister ein, die ihnen unterstützende Dienstleistungen erbringen. Daraus ergibt sich ein Spannungsfeld: einerseits dürfen die Rechtsanwälte die Tatsachen, die zum Anwaltsgeheimnis gehören, nicht offenbaren; andererseits ist ein Zugang zu diesen Tatsachen während der Dienstleistungserbringung möglich oder sogar notwendig. Die Rechtsordnung löst dieses Problem durch die Erweiterung des Anwaltsgeheimnisses auf die Dienstleistungserbringer.

[2]

Im Bereich der IT-Infrastruktur einer Anwaltskanzlei besteht die Wahrung des Anwaltsgeheimnisses im Zugangsschutz auf die Daten, die die geschützten Geheimnisse beinhalten. Der Zugangsschutz regelt einerseits die Zugänge innerhalb der Kanzlei (interne Berechtigung zum Zugang auf die Kundendaten) und andererseits schützt das System vom Zugang von ausserhalb der Kanzlei. Dabei kennt der Zugriffsschutz nach aussen Ausnahmen, die daraus resultieren, dass die Kanzlei IT-Dienstleistungen bezieht. Der Zugang zum System kann den externen Dienstleistern z.B. im Rahmen des Supports gewährleistet werden.

[3]

Der Beitrag untersucht diese Problematik auf einem Praxisbeispiel des Einsatzes einer Dokumentenautomatisierungslösung bei einer Anwaltskanzlei. In einem ersten Schritt werden die massgebenden rechtlichen Rahmenbedingungen skizziert; im zweiten Schritt werden technische Lösungsmöglichkeiten angesprochen.

2.

Rechtliche Rahmenbedingungen ^

[4]

Die rechtlichen Rahmenbedingungen werden anhand von deutschen und Schweizer Normen beleuchtet. Dabei wird der Fokus auf das Strafrecht und das Standesrecht gesetzt.

2.1.

Deutsches Recht ^

[5]

Im deutschen Recht ist das Anwaltsgeheimnis im § 203 des deutschen Strafgesetzbuches (StGB)1 geankert. § 203 Abs. 1 StGB bestraft das unbefugte Offenbaren fremder Geheimnisse; dabei muss das Geheimnis dem Täter als Rechtsanwalt anvertraut worden oder sonst bekanntgeworden sein. Kein Offenbaren liegt gem. § 203 Abs. 3 StGB vor, wenn eine Rechtsanwältin die Geheimnisse den bei ihnen berufsmässig tätigen Gehilfen zugänglich macht. Weiter gem. § 203 Abs. 3 StGB dürfen die Rechtsanwälte fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der Rechtsanwälte mitwirken.

[6]

Somit werden zwei Personenkreise definiert, die Zugang zum Anwaltsgeheimnis erhalten können: berufsmässig tätige Gehilfen und sonstige mitwirkende Personen. § 203 Abs. 4 StGB untersagt diesen Personen das unbefugte Offenbaren der Geheimnisse, die ihnen bei der Ausübung oder bei oder bei Gelegenheit ihrer Tätigkeit als mitwirkende Person bekannt geworden sind. Darüber hinaus schreibt § 203 Abs. 4 StGB vor, dass die beiden Arten von Personen jeweils zur Geheimhaltung zu verpflichten sind.

[7]

Diese Regulierung wurde vom Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen vom 30. Oktober 2017 (BGBl. I S. 3618) eingeführt; in der alten Fassung des § 203 StGB wurden nur die Gehilfen erwähnt. Diese Erweiterung ist aus dem Bedürfnis entstanden, die Regeln des Anwaltsgeheimnisses der Digitalisierung des Anwaltsberufes anzupassen.2

[8]

Ergänzende Vorschriften3 befinden sich in den §§ 43a und 43e Bundesrechtsanwaltsordnung (BRAO).4 § 43a Abs. 2 BRAO präzisiert die Verschwiegenheitspflicht der Rechtsanwälte, der von Rechtsanwältinnen beschäftigten Personen sowie von Personen, die im Rahmen einer berufsvorbereitenden Tätigkeit oder einer sonstigen Hilfstätigkeit an der beruflichen Tätigkeit der Rechtsanwältin mitwirken. Die beiden Arten von Personen sollen von der Rechtsanwältin zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen einer Pflichtverletzung belehrt werden. Zudem hat die Rechtsanwältin bei ihnen in geeigneter Weise auf die Einhaltung der Verschwiegenheitspflicht hinzuwirken.

[9]

§ 43e BRAO regelt die Inanspruchnahme der Dienstleistungen durch die Rechtsanwälte. § 43e Abs. 1 BRAO definiert einen Dienstleister als eine Person oder Stelle, die vom Rechtsanwalt im Rahmen seiner Berufsausübung mit Dienstleistungen beauftragt wird. Der Rechtsanwalt darf Dienstleistern den Zugang zu Geheimnissen eröffnen, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist. Dabei verlangt § 43e Abs. 3 BRAO eines Vertrages in Textform. Im Vertrag ist der Dienstleister unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten; weiter ist der Dienstleister zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist. Der Vertrag soll auch definieren, ob der Dienstleister weitere Personen zur Erfüllung des Vertrags heranzuziehen darf; für diesen Fall ist dem Dienstleister aufzuerlegen, diese Personen in Textform zur Verschwiegenheit zu verpflichten. § 43e Abs. 4 BRAO gestattet Inanspruchnahme von Dienstleistungen, die im Ausland erbracht werden, wenn der dort bestehende Schutz der Geheimnisse dem Schutz in Deutschland vergleichbar ist, es sei denn, dass der Schutz der Geheimnisse dies nicht gebietet.

2.2.

Schweizer Recht ^

[10]

Im Schweizer Recht ist das Anwaltsgeheimnis im Art. 321 des Schweizerischen Strafgesetzbuches vom 21. Dezember 1937 (StGB; SR 311.10)5 geregelt. Art. 321 Abs. 1 StGB bestraft Rechtsanwälte sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben.

[11]

Das Bundesgesetz über die Freizügigkeit der Anwältinnen und Anwälte vom 23. Juni 2000 (Anwaltsgesetz, BGFA, SR 935.61)6 wiederholt im Art. 13 die Pflicht der Rechtsanwältinnen und Rechtsanwälte zur Wahrung des Berufsgeheimnisses über alles, was ihnen infolge ihres Berufes von ihrer Klientschaft anvertraut worden ist. Gem. Art. 13 Abs. 2 BGFA sorgen Rechtsanwältinnen und Rechtsanwälte für die Wahrung des Berufsgeheimnisses durch ihre Hilfspersonen.

[12]

In der Schweiz wurde diese Problematik ausführlich im Bezug auf die Nutzung der Cloud Dienstleistungen durch Rechtsanwälte analysiert. Daraus ergibt sich, dass Schweizer Rechtsanwälte Cloud Dienstleistungen nutzen dürfen, auch wenn die Daten nicht verschlüsselt gespeichert werden, da die IT Dienstleister als Hilfspersonen im Sinne von Art. 321 StGB gelten.7

3.

Praktische Umsetzung ^

[13]

Eine mögliche praktische Umsetzung wird am Beispiel des Einsatzes einer Dokumentenautomatisierungslösung bei einer Anwaltskanzlei dargestellt.

3.1.

Systemübersicht ^

[14]

Die Dokumentenlösung wird durch eine Schweizer Firma angeboten. Die Lösung erlaubt einfache Erstellung komplexer Dokumente anhand eines einzigen Fragebogens für alle Dokumente gesammelt in einen thematischen Fall. Die Dokumente können mit Anhängen versehen und weiteren Personen zur Mitbearbeitung zugestellt werden.

[15]

Diese Lösung wird von einer deutschen Anwaltskanzlei eingesetzt. Die Kanzlei vereinfacht damit ihre internen Prozesse und spart Zeit bei der wiederholten Herstellung umfangreicher Dokumente. Ein besonderer Einsatzbereich ist die Erstellung der Verträge im Bereich des Bau- und Immobilienrechts. Die Kanzlei hat als Kunden ein grosses Unternehmen, für das sie regelmässig Verträge aus diesem Bereich vorbereitet. Bisher benötigte die Erstellung eines Vertrages viele Austausche zwischen den involvierten Personen und produzierte unzählige Arbeitsversionen vieler separater Dateien. Mit der neuen Lösung ist das Vorgehen effizienter geworden: die Kanzlei erstellt für den Kunden nur einmal die Modelle der Dokumente, bündelt sie thematisch in Praxisfälle und versieht sie mit allen nötigen Anhängen. Danach gewährt die Kanzlei dem Kunden Zugang zu diesen Mustern. Der Kunde kann bei Bedarf neue Verträge selber vorbereiten, und die Kanzlei übernimmt lediglich die finale Prüfung der Inhalte. Der Einsatz der Dokumentenautomatisierung führt auf den beiden Seiten zum Zeitgewinn und Kostenersparnis.

3.2.

Technischer Vorgang ^

[16]

Um den Anforderungen des deutschen Rechts an die Bewahrung des Anwaltsgeheimnisses gerecht zu werden, werden die Dateien verschlüsselt gespeichert. Die Rechtevergabe zu den verschlüsselten Daten geschieht nach dem sog. Least-Privilege-Prinzip. Nach diesem Prinzip erhält jede Nutzerin nur die Berechtigungen, die für ihre Aufgaben notwendig sind. Dies bedeutet, dass die mit dem Support beauftragte Mitarbeitende des Dienstleisters auf die schutzpflichtigen Inhalte nicht zugreifen können.

[17]

Im Falle einer Supportanfrage wird eine Mitarbeitende des Dienstleisters via Chatfenster innerhalb der Dokumentenautomatisierungsapplikation kontaktiert. So kann der Nutzer (der sowohl aus der Anwaltskanzlei als auch aus ihrem Mandanten stammen kann) die Frage durch einen direkten Kontaktkanal schildern, ohne dass der Supporter die geschützten Daten sieht. Erst wenn die Kenntnisnahme der Daten sich für die Beantwortung der Supportanfrage als unentbehrlich erweist, kann der Nutzer dem Supporter die Einsicht gewähren. Dies geschieht mit einem speziellen Button innerhalb des Chatfensters. Nach dem Klicken auf den Button wird der Supporter autorisiert, lesend (oder bei Bedarf schreibend) auf das zu bearbeitende Dokument für eine gewisse Zeit (z.B. 10 Minuten) zuzugreifen. Der Nutzer kann jederzeit die Autorisierung entziehen, in dem er auf den Button «Autorisierung entziehen» in der Chatapplikation klickt. Ohne seine Handlung wird der Zugriff nach Ablauf einer vordefinierten Zeitspanne automatisch entzogen.

[18]

Technisch gesehen ist das Chatfenster eine separate Applikation (eines anderen Herstellers), die in die Dokumentenautomatisierungslösung eingebettet wird. Ausser der Standardfunktionalitäten eines Chats bietet sie auch die Möglichkeit, kundenspezifische Workflowautomatisierungen (in Form von Apps) zu definieren. Die automatische Zugriffsregelung der Daten innerhalb einer Supportanfrage basiert auf einer solchen Workflowautomatisierungsapp: mittels Buttonklick werden aus der laufenden Nutzer-Session die technischen Metadaten des Dokuments ausgelesen und via API an die Applikationsinstanz des Supporters übermittelt. So kann die Dokumentenautomatisierungsapplikation gezielt nur den Zugriff zum konkreten Dokument beim konkreten Supporter regeln. Dabei beinhalten die technischen Metadaten, die über die Chat-Applikation übermittelt werden, keine schutzpflichtigen Informationen, sondern lediglich technische Identifikatoren.

4.

Fazit ^

[19]

Das deutsche Recht regelt minutiös die Fälle, in denen ein Rechtsanwalt einem Dienstleister den Zugang zu Anwaltsgeheimnissen erteilen darf. Im Schweizer Recht befindet sich eine ähnliche Regelung, die aber genereller gestaltet ist. Ein besonderer Praxisfall ist die Zugangseröffnung für die IT-Dienstleister während der Erbringung der Supportleistungen. Der dargestellte technische Vorgang zeigt am Beispiel des Einsatzes einer Dokumentenautomatisierungslösung bei einer deutschen Kanzlei, wie der Zugriff auf die Daten anwaltsgeheimniskonform gestaltet werden kann, auch wenn der Dienstleister in der Schweiz die Leistung erbringt. Eine Kombination von Datenverschlüsselung und zeitlich und inhaltlich beschränkter Entschlüsselung durch den Anwender erlaubt eine Umsetzung, die sowohl kundenfreundlich als auch rechtskonform ist.

5.

Literatur ^

Hartung, Jürgen/Steinweg, Helge, Cloud Computing im Lichte der Neuregelung des § 203 StGB, in: Der Betrieb, 70(2017), Nr. 36, S. 2081–2089.

Henssler, Martin, § 43e, in: Henssler, Martin/Prütting, Hanns (Herausgeber), Bundesrechtsanwaltsordnung: BRAO mit EuRAG, Berufs- und Fachanwaltsordnung, RAVPV, Rechtsdienstleistungsgesetz, Mediationsgesetz, ZMediatAusbV und Partnerschaftsgesellschaftsgesetz. Kommentar, 5. Auflage, C.H. Beck, München 2019.

Schwarzenegger, Christian/Thouvenin, Florent/Stiller, Burkhard/George, Damian, Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte, in: Anwaltsrevue/Revue de l’avocat, 2019, S. 25–32.

  1. 1 Strafgesetzbuch in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322), das zuletzt durch Artikel 62 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist; http://www.gesetze-im-internet.de/stgb/; (alle im Beitrag erwähnten Hyperlinks wurden am 01. Dezember 2019 zuletzt überprüft).
  2. 2 Siehe Hartung/Steinweg, Cloud Computing im Lichte der Neuregelung des § 203 StGB, in: Der Betrieb, 70(2017), Nr. 36, S. 2081–2089.
  3. 3 Siehe Henssler, Martin, § 43e, in: Henssler, Martin/Prütting, Hanns (Herausgeber), Bundesrechtsanwaltsordnung: BRAO mit EuRAG, Berufs- und Fachanwaltsordnung, RAVPV, Rechtsdienstleistungsgesetz, Mediationsgesetz, ZMediatAusbV und Partnerschaftsgesellschaftsgesetz. Kommentar, 5. Auflage, C.H. Beck, München 2019.
  4. 4 Bundesrechtsanwaltsordnung in der im Bundesgesetzblatt Teil III, Gliederungsnummer 303-8, veröffentlichten bereinigten Fassung, die zuletzt durch Artikel 3 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist; http://www.gesetze-im-internet.de/brao/.
  5. 5 https://www.admin.ch/opc/de/classified-compilation/19370083/index.html.
  6. 6 https://www.admin.ch/opc/de/classified-compilation/19994700/index.html.
  7. 7 Siehe Schwarzenegger, Christian/Thouvenin, Florent/Stiller, Burkhard/George, Damian, Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte, in: Anwaltsrevue/Revue de l’avocat, 2019, S. 25–32.