Inhalt SONDERAUSGABE CYBERCRIME & CYBERJUSTICE ... - ZIS

Weitere Magazine

Empfehlungen

Info

Strafbarkeitsrisiken beim IT-Outsourcing_____________________________________________________________________________________den Kreis der möglichen Täter auf „berufsmäßig tätige Gehilfen“und Personen, die bei den in Abs. 1 S. 1 genannten Berufsträgernzur Vorbereitung auf den Beruf tätig sind. DieOffenbarung der Geheimnisse an diese Gehilfen ist nichtstrafbar. 22 Der „Outsourcende“ würde sich also durch dieÜbermittlung der Daten nicht strafbar machen, wenn derexterne IT-Dienstleister als Gehilfe i.S.d. § 203 Abs. 3 S. 2StGB qualifiziert werden könnte. Kann er nämlich als Gehilfei.S.v. § 203 Abs. 3 S. 2 StGB angesehen werden, so werdendie Tatsachen aus dem Kreis der zum Wissen Berufenennicht hinausgegeben. Kann der externe IT-Dienstleister dagegennicht als Gehilfe qualifiziert werden, so wird regelmäßigdas Tatbestandsmerkmal des Offenbarens erfüllt sein, d.h. der„outsourcende“ Geheimträger i.S.d. Abs. 1 und 2 des § 203StGB setzt sich Strafbarkeitsrisiken aus. Damit hat der Gehilfenbegriffin § 203 Abs. 3 S. 2 StGB in zweierlei HinsichtBedeutung, nämlich um den Täterkreis bestimmen zu können,aber auch, um festzulegen, ob ein Offenbaren von Geheimnissen„möglich“ ist. Denn: Die Weitergabe eines Geheimnissesan einen Gehilfen ist keine Offenbarung des Geheimnissesim Rechtssinne.Was unter dem Gehilfenbegriff im Allgemeinen zu verstehenist, ist umstritten. Eine obergerichtliche Rechtsprechungzu dieser Frage existiert nicht. Entsprechend kontroverswird die Frage im Schrifttum diskutiert. Im grobenÜberblick: 23Die wohl herrschende Meinung stellt bei der Bestimmungdes Gehilfen auf organisatorische Gesichtspunkte ab. 24 Dabeiwird eine organisatorische Einbindung des Gehilfen in denBetrieb des Berufsträgers vorausgesetzt, die mit der Weisungsabhängigkeitdes Helfers einhergeht. Begründet wirddies mit dem Zweck des § 203 StGB. Nach dieser Vorschriftsoll die Geheimnisverwendung auf den vom Schweigepflichtigenpersönlich kontrollierten Bereich beschränkt werden.Darüber hinaus wird auf die Vorschriften des BundesdatenschutzrechtsBezug genommen, in deren §§ 3 Abs. 8 S. 2, 11wird, zeigt gerade die gesetzgeberische Entwicklung in Formdes Bundesdatenschutzgesetzes und auf europäischer Ebenedie Datenschutzrichtlinie, die allesamt die steigende Sensibilisierungder Betroffenen bei der Verwendung ihrer Datenund das Bedürfnis nach gesetzlicher Regelung und Kontrollewiderspiegeln.22 Vgl. BGH NJW 1995 2915 (2916); BGH CR 1992, 24;Otto, wistra 1999, 201 (203).23 Einen sehr guten Überblick zum Streitstand mit zahlreichenweiteren Fußnoten geben: Jahn/Palm, Rechtsgutachtenzur Frage der straf- und berufsrechtlichen Bewertung desServices „Anwaltssekretariat“ der ebuero AG, Berlin, S. 19ff., abrufbar unter:http://www.rak-berlin.de/site/DE/int/PDF_Mitglieder_Skripten/280610_Rechtsgutachten_ProfJahn.pdf (Stand: Juli 2012).24 Sieber, in: Arnold u.a. (Hrsg.), Festschrift für Albin Eser,2005, S. 1155 (S. 1181); Lilie (Fn. 14), S. 673 (S. 676 f.);Schünemann (Fn. 8), § 203 Rn. 41 und 79; Hilgendorf(Fn. 20), S. 81 (S. 92); ders. (Fn. 4), S. 1125 (S. 1129);Fischer, Strafgesetzbuch und Nebengesetze, Kommentar,59. Aufl. 2012, § 203 Rn. 21.BDSG eine Auftragsdatenverarbeitung ausdrücklich geregeltist. Da eine solche Ausnahme in § 203 StGB nicht gegebensei, lehnt diese Ansicht mit einem argumentum e contrariodie Qualifizierung des IT-Dienstleisters als Gehilfen ab.Schließlich sollen nicht nur der Bestimmtheitsgrundsatz unddas Analogieverbot gemäß Art. 103 Abs. 2 GG gegen dieQualifizierung des IT-Dienstleisters als Gehilfen sprechen,sondern auch der Umstand, dass die Ausdehnung der Strafdrohungauf externe Dienstleister ins Uferlose führen würde.25 Eine weitere Ansicht erweitert den Kreis der zum Wissenberufenen ausnahmsweise auch auf externe Dritte wie Sachverständige,Detektive oder Dolmetscher als Gehilfen (etwaeines Rechtsanwalts), wenn sie in den informationellen Schutzbereichdes Berufsgeheimnisträgers einbezogen sind. Voraussetzungdafür sei allerdings, dass der Dritte mit der Ausführungvon Aufträgen betraut wird, die eine besonders engeBeziehung zum Aufgabenkreis des Schweigepflichtigen aufweist.26Schließlich stellt eine neuere Auffassung auf die effektiveSteuerungsmacht als maßgebliches Kriterium ab. Die Anforderungenan das Direktionsrecht und an die organisatorischeEinbindung der herrschenden Ansicht seien nämlich unklarund in der dogmatischen Herleitung noch nicht abgeschlossen.Maßgeblich sei deswegen darauf abzustellen, ob derprimär Schweigepflichtige eine Steuerungsmacht in demSinne innehat, dass er die Herrschaft über die zur Verfügunggestellten Informationen behält, diese Herrschaft tatsächlichausüben kann und dies auch tut. Es entspräche nicht mehr denErfordernissen einer modernen Arbeitswelt, die organisatorischeEinbindung von Hilfspersonen zu verlangen. 271. Der Gehilfenbegriff in begrifflicher und systematischerAuslegungBegrifflich ist es nach hier vertretener Ansicht durchaus möglich,externe IT-Dienstleister als Gehilfen des Outsourcendenzu qualifizieren, auch wenn sie organisatorisch nicht in dieAbläufe des outsourcenden Geheimnisträgers eingebundensind. Insbesondere ist gegen die herrschende Meinung und ihr„organisatorisches Einbindungserfordernis“ Folgendes zu erinnern:§ 203 Abs. 1 Nr. 6 StGB erklärt (bestimmte) Angehörigevon (bestimmten) Unternehmen zu tauglichen Täterneines Geheimnisverrates. Da sich Abs. 3 S. 2 auf alle Nummerndes § 203 StGB, damit auch auf Abs. 1 Nr. 6 bezieht,muss Abs. 3 S. 2 über die Angehörigen des Unternehmenshinausgehen, da die Vorschrift ansonsten leer laufen würde. 28In diesem Zusammenhang ist auch eine relativ junge Ent-25 Vgl. etwa Schünemann (Fn. 8), § 203 Rn. 79.26 Cierniak (Fn. 13), § 203 Rn. 115, 117, unter Hinweis aufOLG Köln StV 1991, 506; LG Frankfurt NJW 1959, 589,und LG Verden StV 1996, 371.27 Heghmanns/Niehaus, NStZ 2008, 57; Lensdorf/Mayer-Wegelin/Mantz,CR 2009, 62; Kort, NStZ 2011, 193 (194 f.);ebenso für das sog. „Anwaltssekretariat“ Jahn/Palm (Fn. 23),S. 39.28 Heghmanns/Niehaus, NStZ 2008, 57 (59)._____________________________________________________________________________________Zeitschrift für Internationale Strafrechtsdogmatik – www.zis-online.com427
Mesut S. Ҫekin_____________________________________________________________________________________scheidung des BGH 29 von Belang, auf die namentlich Kort 30im Zusammenhang mit IT-Outsourcing hingewiesen hat. Inseiner Entscheidung stellt der BGH fest, dass der Datenaustauschzwischen einem Versicherungsunternehmen und derenHandelsvertretern unter dem Gesichtspunkt der Arbeitsteiligkeit,welcher in § 203 Abs. 3 S. 2 StGB Anerkennung findet,privilegiert ist und deswegen kein Verstoß gegen § 203 StGBvorliege. Der Gehilfenbegriff muss sich mithin auch aufNicht-Angehörige eines Organisationsverbundes erstrecken.Zur Verdeutlichung: Wenn selbst externe, selbstständige Agenteneines Versicherungsunternehmens mittlerweile als Angehörigedes Unternehmens gelten, 31 so muss der Kreis dersonstigen Gehilfen begrifflich auch Dritte erfassen können,wobei auf die Voraussetzungen dieser Erfassung noch zurückzukommenist.Ein weites Verständnis des Gehilfenbegriffs des § 203StGB legen auch die entsprechend weiten Gehilfenbegriffe in§ 278 BGB und § 53a StPO nahe: § 278 BGB setzt keineorganisatorische Einbindung des sog. Erfüllungsgehilfen inden Betrieb des Schuldners voraus. 32 Und § 53a StPO zeigtebenfalls, dass kein festes Dienst- oder Arbeitsverhältnis erforderlichist, um als Gehilfe zu fungieren. 33Gegen diese Verweise auf §§ 203 Abs. 1 Nr. 6 StGB, 278BGB, 53a StPO kann allerdings angeführt werden, dass derGesetzgeber in bestimmten Bereichen die Auslagerung derDatenverarbeitung explizit vorgesehen hat. Insbesondere dasSozialrecht kennt in § 302 Abs. 2 S. 1 bis 3 SGB V die Möglichkeit,eine elektronische Abrechnung gegenüber Krankenkassendurch sog. Rechenzentren vornehmen zu lassen, womitdie Zulässigkeit von IT-Outsourcing verbunden wird. 34Auch andere Landeskrankenhausgesetze enthalten Regelungen,die die Weitergabe sensibler Patientendaten regeln. 35 Esließe sich insofern argumentieren: Wäre der Gesetzgeber von29 BGH NJW 2010, 2509.30 Kort, NStZ 2011, 193 (194).31 Vgl. Kargl (Fn. 11), § 203 Rn. 36. Gerade im Versicherungswesenwird es in der Regel der im Außendienst tätigeVersicherungsagent sein, der zuerst mit den relevanten Geheimnisseni.S.d. Vorschrift in Berührung kommt; die Entgegennahmeder Daten beim Kunden vor Ort ermöglicht es demjeweiligen Versicherungsunternehmen erst, überhaupt tätigzu werden; vgl. hierzu Kort, NStZ 2011, 193 (194): „Erstrecht muss sich der Gedanke der möglichen Arbeitsteiligkeitbei einer strengen Auflagen unterliegenden Auftragsdatenverarbeitungin der Ausgestaltung eines stark den Auftragnehmerund dessen Mitarbeiter bindenden Datenschutzvertragswiederfinden.“32 Vgl. zu § 278 BGB jüngst BGH NJW 2011, 139 (140Rn. 18): keine „Bindung an die Weisungen des Schuldners“;dem folgend Grüneberg, in: Palandt, Bürgerliches Gesetzbuch,Kommentar, 72. Auf. 2012, § 278 Rn. 7.33 Meyer-Goßner, Strafprozessordnung, Kommentar, 55. Aufl.2012, § 53a Rn. 2.34 Schünemann (Fn. 8), § 203 Rn. 119; näher Lips/Schönberger,NJW 2007, 1567.35 Eingehend Hartmann, Outsourcing in der Sozialverwaltungund Sozialdatenschutz, 2002, passim.der grundsätzlichen Zulässigkeit des IT-Outsourcing ausgegangen,so hätte in diesen Gesetzen ein Hinweis auf die Vorschriftendes Bundesdatenschutzgesetzes (BDSG) ausgereichtund es hätte keiner Spezialregelung in den genannten Gesetzenbedurft.2. Der Gehilfenbegriff im Lichte des DatenschutzrechtsDa eine systematische Auslegung also zu keinem eindeutigenErgebnis führt, soll ein Blick auf die Wertungen des Datenschutzrechtsgeworfen werden.Dem Datenschutzrecht lässt sich die Wertung des Gesetzgebersentnehmen, dass eine Datenübermittlung zulässig seinkann, wenn die Voraussetzungen des § 11 BDSG vorliegen,so dass eine zulässige Einschränkung des Persönlichkeitsrechtsvorliegt. Klarzustellen ist an dieser Stelle aber, dassder Begriff des Geheimnisses i.S.d. § 203 StGB nicht deckungsgleichmit dem der „personenbezogenen Daten“ i.S.d.§ 3 Abs. 1 BDSG ist. 36 Personenbezogene Daten könnennämlich auch scheinbar belanglose oder selbst offenkundigeTatsachen sein, so dass personenbezogen nicht gleichzusetzenist mit höchstpersönlich oder sensibel. 37 Mithin kann einezulässige Auslagerung personenbezogener Daten die strafrechtlicheVerantwortlichkeit gemäß § 203 StGB nicht per seausschließen. 38Gemäß § 3 Abs. 7 BDSG gelten sowohl der Auftraggeberals auch der Auftragnehmer als verantwortliche Stellen. Währendder Auftragnehmer gemäß § 3 Abs. 8 S. 3 BDSG nichtDritter ist, „bleibt der Auftraggeber als Herr der Daten für dieBeachtung der datenschutzrechtlichen Vorgaben für die vonihm veranlassten Verarbeitungen verantwortlich.“ 39 Dabeimuss das auslagernde Unternehmen auf die technischen undorganisatorischen Maßnahmen des IT-Dienstleisters besondersachten. Der schriftlich erteilte Auftrag muss darüberhinaus insbesondere folgende Punkte enthalten: 40 den Umfang, die Art und den Zweck der vorgesehenenErhebung, Verarbeitung oder Nutzung von Daten, die Artder Daten und den Kreis der Betroffenen; die Kontrollrechte des Auftraggebers und die entsprechendenDuldungs- und Mitwirkungspflichten des Auftragnehmers; den Umfang der Weisungsbefugnisse, die sich der Auftraggebergegenüber dem Auftragnehmer vorbehält.Das auslagernde Unternehmen bzw. der Outsourcende hatsich vor Beginn der Datenverarbeitung und sodann regelmäßigvon der Einhaltung der beim Auftragnehmer getroffenen36 Vgl. Schneider, in: Schneider (Hrsg.), Handbuch des EDV-Rechts, 4. Aufl. 2009, B. Rn. 252 und 253.37 Vgl. ausführlich Weichert, in: Däubler/Klebe/Wedde/Wiechert,Bundesdatenschutzgesetz, Kompaktkommentar, 3. Aufl.2010, § 3 Rn. 2 ff.38 Deutlich hierzu Cierniak (Fn. 13), § 203 Rn. 51, der sichgegen eine an § 11 BDSG orientierte Auslegung ausspricht.39 Gola/Schomerus, Bundesdatenschutzgesetz, Kommentar,10. Aufl. 2010, § 3 Rn. 50.40 Vgl. § 11 BDSG._____________________________________________________________________________________428<strong>ZIS</strong> 8-9/2012
Seite 4 und 5: Strafbarkeit von Glücksspielen, Sp
Seite 7 und 8: Martin Heger_______________________
Seite 9 und 10: Arbeitnehmerüberwachung und Compli
Seite 11 und 12: Jörg Eisele_______________________
Seite 17 und 18: Sebastian Hoffmanns________________
Seite 23 und 24: Alexander Seidl____________________
Seite 33: Mesut S. Ҫekin____________________
Seite 37 und 38: Mesut S. Ҫekin____________________
Seite 39 und 40: Mustafa Temmuz Oğlakcıoğlu______
Seite 49 und 50: Jan C. Schuhr______________________
Seite 65 und 66: Einseitiges Strafanwendungsrecht un
Seite 67 und 68: Liane Wörner______________________
Seite 73 und 74: Steuerstrafrecht als Cybercrime!Zwi
Seite 75 und 76: Bernd Groß________________________
Seite 77 und 78: Felix Rettenmaier/Lisa Palm________
Seite 79 und 80: Felix Rettenmaier/Lisa Palm________
Seite 81 und 82: Der „Grundsatz der Verfügbarkeit
Seite 83 und 84: Dominik Brodowski__________________
Seite 85 und 86:
Dominik Brodowski__________________
Seite 87 und 88:
Informationstechnologische Herausfo
Seite 89 und 90:
Joachim Vogel______________________
Seite 91 und 92:
Joachim Vogel______________________
Alle anzeigen

Inhalt SONDERAUSGABE CYBERCRIME & CYBERJUSTICE ... - ZIS

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?