Verletzung des Anwaltsgeheimnisses bei Verwendung von Cloud-Diensten?
Verletzung des Anwaltsgeheimnisses bei Verwendung von Cloud-Diensten?
Es stellt sich die Frage, ob in der Schweiz tätige Anwälte und Anwältinnen im Rahmen der Ausübung ihrer beruflichen Tätigkeit Dokumente und andere Dateien ihrer Klienten in die „Cloud“ bzw. an einen Cloud-Anbieter übertragen dürfen, oder ob sie dadurch das Anwaltsgeheimnis verletzen.
Für eilige Leser/-innen:
Gemäss herrschender Lehre und Rechtsprechung verletzen Anwälte und Anwältinnen ihr Berufsgeheimnis nicht, wenn sie Daten ihrer Klienten bei einem Cloud-Anbieter in der Cloud speichern oder sonstige Cloud-Dienstleistungen beziehen, da der Cloud-Anbieter als Hilfsperson i.S.v. Art. 321 Ziff. 1 Abs. 1 StGB qualifiziert wird. Jedoch ergeben sich insb. aus dem Berufsrecht (BGFA) besondere Sorgfaltspflichten, sollten einem Cloud-Anbieter solche Daten anvertraut werden. Nachstehend erfahren Sie dazu mehr.
Nutzung von Cloud-Diensten durch Anwälte und Anwältinnen?
Die Nutzung von IT-Dienstleistungen ist längst ein fester Bestandteil der anwaltlichen Praxis geworden. Eine funktionierende IT-Infrastruktur kann als geradezu systemkritisch bezeichnet werden, wobei deren Wichtigkeit mit der zunehmenden Digitalisierung sämtlicher Arbeitsabläufe nur noch steigen wird. Das Einrichten und die Wartung der IT erfolgt häufig nicht durch den Anwalt selbst, sondern durch interne IT-Mitarbeiter oder einen externen IT-Dienstleister. In letzter Zeit werden auch Anwaltskanzleien vermehrt auf die Vorteile von Cloud Computing aufmerksam und nutzen den Computer nicht mehr nur lokal bzw. in einem lokalen Netzwerk, sondern beziehen IT-Dienstleistungen von Cloud-Anbietern.
Mögliche Verletzung des Anwaltsgeheimnisses bei IT-Outsourcing
Grundsätzlich ist die Übertragung von Personendaten zur Bearbeitung an Dritte (Cloud-Anbieter) erlaubt (ohne Einwilligung), sofern die Daten vom Dritten (Cloud-Anbieter) nur so bearbeitet werden, wie es der Auftraggeber selbst tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Bearbeitung durch einen Dritten verbietet (vgl. Art. 10a DSG). Eine derartige gesetzliche Geheimhaltungspflicht könnte im Berufsgeheimnis der Anwälte i.S.v. Art. 321 StGB gesehen werden (siehe auch Art. 13 BGFA). Gemäss Art. 321 StGB werden Anwälte sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Täter i.S.v. Art. 321 StGB können nur freiberufliche Anwälte sein, die Inhaber eines entsprechenden Fähigkeitsausweises sind, und zwar unabhängig davon, ob sie im Monopolbereich tätig oder in einem kantonalen Anwaltsregister eingetragen sind (vgl. Art. 21 BGFA).
Rechtlichen Schutz geniessen Geheimnisse, also jede relative unbekannte Tatsache. Der Geheimnisbegriff wird weit ausgelegt. Es werden demnach alle Informationen, die dem Anwalt oder der Anwältin infolge seines bzw. ihres Berufs anvertraut wurden, sowie alle Informationen, die der Anwalt oder die Anwältin bei der Ausübung des Berufs wahrgenommen hat, vom rechtlichen Schutz von Art. 321 StGB erfasst. Es muss dabei allerdings die eigentliche Anwaltstätigkeit von der Geschäftstätigkeit abgegrenzt werden. Nur erstere ist vom Anwaltsgeheimnis gedeckt.
Eine Offenbarung des Geheimnisses findet statt, wenn die geheim zu haltende Tatsache einer Drittperson, für welche das Geheimnis nicht bestimmt ist, zur Kenntnis gebracht wird. Das kann sowohl mündlich wie auch schriftlich geschehen oder durch Aushändigung von Schriftstücken oder anderen Sachen, die das Geheimnis verraten. Ebenso kann in gewissen Fällen bereits ein Versäumen von Vorkehrungen zum Schutz des Geheimnisses eine Offenbarung darstellen.
Kein Offenbaren gegenüber Hilfspersonen
Hilfspersonen haben die gleiche Pflicht zur Wahrung der Geheimnisse wie der eigentliche Geheimnisträger (Anwalt bzw. Anwältin). Letztlich entscheidend dafür, ob der Anwalt bzw. die Anwältin Daten des Klienten in einer Cloud ablegen darf, ist die Qualifikation des Cloud-Anbieters. Stellt dieser eine Hilfsperson des Anwalts bzw. der Anwältin dar, oder nicht? „Hilfsperson im Sinn von Art. 321 StGB ist, wer bei der Berufstätigkeit eines (Haupt-)Geheimnisträgers in einer Weise mitwirkt, die es ihr oder ihm grundsätzlich ermöglicht, von Geheimnissen Kenntnis zu nehmen“ (Schwarzenegger/Thouvenin/Stiller/George, Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte, in: Anwaltsrevue, 2019, S. 25-32, S. 28).
Nach der herrschenden Lehre und Rechtsprechung (vgl. BGE 145 II 229) können Cloud-Anbieter (Cloud-Provider) als Hilfspersonen von Anwältinnen und Anwälten i.S.v. Art. 321 Ziff. 1 Abs. 1 StGB qualifiziert werden. Das bedeutet, dass einem Cloud-Anbieter vom Anwaltsgeheimnis geschützte Informationen zugänglich gemacht werden dürfen. Eine Verletzung des Anwaltsgeheimnisses liegt in einem solchen Fall nicht zwangsläufig vor. Der Anwalt oder die Anwältin muss aber gewisse Sorgfaltspflichten bei der Auswahl, Instruktion und Überwachung des Cloud-Anbieters beachten, wie sogleich aufgezeigt wird.
Konsequenzen für die Zusammenarbeit mit Cloud-Anbietern
Unter dem Gesichtspunkt des Berufsrechts der Anwälte (BGFA) müssen gewisse Regeln bei der Auswahl von Cloud-Anbietern beachtet werden. Anwältinnen und Anwälte müssen durch die sorgfältige Auswahl, Instruktion und Überwachung ihrer Hilfspersonen für die Wahrung der Berufsgeheimnisse sorgen (Art. 13 Abs. 2 BGFA). Sollten sie nicht alles Zumutbare unternehmen zum Schutz des Geheimnisses, verstossen sie gegen diese Berufsregel. Es sind bei einem IT-Outsourcing demnach alle zumutbaren Massnahmen zu ergreifen, um einen hinreichenden Schutz der auszulagernden Daten sicherzustellen. Folgende Punkte sollten beachtet werden:
- Sorgfältige Auswahl des Anbieters (Risikoabschätzung; besonders bei ausländischen Anbietern!)
- Vertragliche Vorgaben (inkl. Pflicht zur Geheimhaltung und Verwendung der Daten nur zur Vertragserfüllung)
- Kontrolle der Einhaltung der Vorgaben
- Sicherheitsdispositiv (je nach Grösse oder Tätigkeit der Kanzlei)
Eine weitergehende Wegleitung des Schweizerischen Anwaltsverbands zum Thema IT-Outsourcing und Cloud-Computing finden Sie hier.
Empfohlene Einwilligung des Klienten
Auch wenn eine Nutzung von Cloud-Diensten rechtlich zulässig ist, empfiehlt es sich eine Einwilligung des Klienten einzuholen. Dadurch kann sich der Anwalt bzw. die Anwältin absichern. Am besten wird im Rahmen des Mandatsvertrags zusätzlich eine Einwilligung zur Nutzung von Cloud-Anbietern (und allfälligen sonstigen IT-Verantwortlichen) eingeholt.
Cloud-Anbieter oder Cloud-Server im Ausland?
Es gibt keine allgemeine Pflicht einen Schweizer Anbieter wählen zu müssen. Jedoch ist bei einer Auslagerung ins Ausland zur Vorsicht geraten. In jedem Fall muss eine Risikoabschätzung stattfinden. Darin sollte einfliessen, dass der ausländische Anbieter nicht dem Schweizer (Straf-)gesetz unterstellt ist und de facto eine Strafverfolgung nicht möglich ist, da sich der Anbieter (oder Server) nicht in der Schweiz befindet. Ebenso gilt es zu beachten, dass ausländische Behörden einen Cloud-Anbieter unter Umständen verpflichten können, die in der Cloud gespeicherten Daten herauszugeben bzw. bekanntzugeben. Deshalb ist von einer Auslagerung ins Ausland aus einer Risikoperspektive und unter Anwendung des Vorsichtsprinzips abzuraten.
Quellen:
BGE 145 II 229, vom 04. Juni 2019
Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte
SAV-Wegleitung für IT-Outsourcing und Cloud-Computing
Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke
Michlig/Wyler, in: Graf [Hrsg.], StGB annotierter Kommentar, 2020, Art. 321