Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation und -Wartung

Die 73. Vertreterversammlung der Bundesnotarkammer in Trier hat sich aufgrund von Anfragen aus dem Kreis von Kollegen und EDV-Anbietern mit der Frage befaßt, wie die notarielle Verschwiegenheitspflicht bei EDV-Installation und -Wartung gewährleistet werden kann.
Sie hält ergänzend zu den gesetzlichen Vorschriften des Datenschutz- und des Strafrechts eine privatrechtliche Absicherung für erforderlich und hat Empfehlungen erarbeitet, die in den entsprechenden Fällen beachtet werden sollten (s.u. II.).

I. Problemstellung

Bei Durchführung von Maßnahmen der EDV-Wartung und EDV-Installation haben Mitarbeiter der EDV-Unternehmen in der Regel auf sensible Notariatsdaten Zugriff, wobei dies technisch im allgemeinen nicht verhindert werden kann, ohne den Erfolg der Maßnahme zu gefährden. Es stellt sich somit die Frage, mit welchen Mitteln die notarielle Verschwiegenheitspflicht nach § 18 BNotO abgesichert werden kann:

  • Strafvorschriften des BDSG und des StGB können in geeigneten Fällen einschlägige Rechtsgrundlagen darstellen und vor Datenmißbrauch abschrecken.
  • Eine förmliche Verpflichtung wird in der Regel nicht in Betracht kommen, weil es an der Eingliederung der Mitarbeiter von EDV-Firmen in den Büroablauf des Notars fehlt.
  • Als weitere Möglichkeit zur Sicherung der Verschwiegenheitspflicht sind vertragliche Vereinbarungen denkbar.
  • Schließlich sind in bestimmten Fällen ergänzende organisatorisch-technische Vorkehrungen zu überlegen, um Mißbrauchsmöglichkeiten einzuschränken.

II. Absicherung der notariellen Verschwiegenheitspflicht durch das Strafrecht

1. Für den strafrechtlichen Schutz gegen Mißbräuche des Wartungspersonals nach dem Strafgesetzbuch gilt: Eine Strafbarkeit von Personen, die nicht förmlich verpflichtet sind gem. §§ 133 Abs. 3, 203 Abs. 2 Nr. 2 und Abs. 3, 204, 331 Abs. 1, 332 Abs. 3, 353 b Abs. 1 und Abs. 3 und 355 StGB kommt nicht in Betracht. Die Erfüllung des Tatbestandes von § 202 a (Ausspähen von Daten) ist zwar denkbar, scheidet aber z.B. bereits dann aus, wenn die Wartung zunächst ordnungsgemäß durchgeführt wird und eine Weitergabe von Daten erst später aufgrund eines neuen Tatentschlusses erfolgt.

Auf die Tätigkeit des Wartungstechnikers sind aber die Strafvorschriften des Bundesdatenschutzgesetzes (BDSG) anwendbar. Datenverarbeitung im Sinne des Gesetzes ist gegeben, wenn personenbezogene Daten zumindest im Einzelfall betroffen sind, was insbesondere bei der Fernwartung nicht grundsätzlich ausgeschlossen werden kann. Bereichsspezifische Sonderregelungen (vgl. § 1 Abs. 4 Satz 1 BDSG), wie z.B. die Vorschriften der BNotO im Hinblick auf den Notar, bleiben in bezug auf den Wartungstechniker außer Betracht.

§ 43 Abs. 1 BDSG kommt als Strafvorschrift insbesondere in Betracht bei unbefugtem Speichern, Verändern, Übermitteln und Abrufen von Daten. Der Begriff des Übermittelns ist gem. § 3 Abs. 5 Nr. 3 BDSG weitgefaßt und schließt bereits ein gezieltes Bereithalten zur Einsichtnahme oder zum Abruf ein. "Abrufen" bedeutet Entnahme durch technische Mittel. Das Merkmal "unbefugt" ist außer bei Verstößen gegen Rechtsvorschriften auch erfüllt, wenn der Wartungstechniker die ihm zugänglichen Daten im Widerspruch zu vertraglichen Auflagen verarbeitet.

Einschlägig kann ggf. ferner § 43 Abs. 2 Nr. 2 in Verbindung mit § 39 Abs. 1 Satz 1 BDSG sein. Dort wird die Nutzung von übermittelten Daten für andere Zwecke durch Weitergabe an Dritte unter Strafe gestellt, wenn diese Daten einem Berufs- oder besonderen Amtsgeheimnis unterliegen und von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- und Amtspflicht zur Verfügung gestellt worden sind, § 39 BDSG. Auch eine Strafbarkeit nach § 43 Abs. 2 Nr. 2 in Verbindung mit § 28 Abs. 4 Satz 1 BDSG kann in Betracht kommen, wenn der Notar im Rahmen von § 28 BDSG Daten "als Mittel für die Erfüllung eigener Geschäftszwecke" übermittelt und der Empfänger die übermittelten Daten für andere Zwecke als die, zu denen sie ihm zur Verfügung gestellt wurden, nutzt, indem er sie an Dritte weitergibt.

Es stehen somit mehrere strafrechtliche Vorschriften zur Verfügung, um in Ergänzung und in Verbindung mit vertraglichen Regelungen und organisatorischen Vorkehrungen die notarielle Verschwiegenheitspflicht abzusichern.

2. In § 26 BNotO i.V.m. § 11 Nr. 4 StGB in der Fassung des Regierungsentwurfs eines Dritten Gesetzes zur Änderung der Bundesnotarordnung und anderer Gesetze (BR-Drucks. 890/95) wird klargestellt, daß nur die beim Notar beschäftigten Personen zu verpflichten sind, wobei nach Auffassung der Bundesnotarkammer als "beschäftigt" nur derjenige angesehen werden kann, der ständig in die Büroorganisation des Notars eingegliedert ist (Beschluß der 68. Vertreterversammlung am 06.05.1994 in Weimar). Dies ist bei Mitarbeitern von EDV-Firmen regelmäßig nicht der Fall. Eine förmliche Verpflichtung des Personals von EDV-Firmen scheidet daher - entgegen einer gelegentlich geübten Praxis - grundsätzlich aus.

3. Der Notar ist nach § 18 BNotO persönlich zur Verschwiegenheit verpflichtet. Trifft der Notar keine ausreichende Vorkehrungen dagegen, daß Umstände, die seiner Berufsverschwiegenheit unterliegen, von Dritten weitergegeben werden, kann auch hierin ein Verstoß gegen die Berufspflicht des § 18 BNotO liegen (Organisationsverschulden). Bei entsprechendem Vorsatz kommt sogar eine Strafbarkeit nach § 203 Abs. 1 Nr. 3 StGB in Betracht.

Eine Verletzung von § 203 StGB kann allerdings nach Auffassung der Bundesnotarkammer nicht schon mit der Durchführung der Fernwartung als solcher angenommen werden. Hinsichtlich der Fernwartung in der Arztpraxis ist diese Frage in der Literatur zwar streitig, vgl. Ehmann, Strafbare Fernwartung in der Arztpraxis, CR 1991, 293. Bei Wartungspersonal, das den Berufsträger ständig betreut und beim Auftreten von Störfällen wird jedoch auch von den Vertretern der strengsten Auffassung die Zulässigkeit der Fernwartung bejaht, vgl. Ehmann, a.a.O., 294.

4. Datenschutzrechtlich hat der Notar zu berücksichtigen, daß die Fernwartung nach Auffassung der h.M. den Tatbestand der Auftragsdatenverarbeitung gem. § 11 BDSG erfüllt, vgl. allgemein Müthlein, Probleme der Auftragsdatenverarbeitung für Auftraggeber und Auftragnehmer, RDV 1992, 63. Dies bedeutet, daß der Pflichtenkatalog der Vorschrift vom Auftraggeber (Notar) und vom Auftragnehmer (Wartungsunternehmen) zu beachten ist. Strafvorschriften des BDSG zu Lasten des Notars sind jedoch nicht einschlägig. §§ 203, 204 StGB sind gegenüber § 43 Abs. 1 BDSG als speziellere Regelungen vorrangig. § 43 Abs. 2 i.V.m. § 39 BDSG richtet sich nicht an den zur Berufsverschwiegenheit Verpflichteten, sondern an den Empfänger der Daten.

III. Sicherung der notariellen Verschwiegenheitspflicht durch vertragliche Vereinbarungen und organisatorische Vorkehrungen

Die Bundesnotarkammer rät, die Einhaltung der Verschwiegenheitspflicht ergänzend zum gesetzlichen Schutz vertraglich und organisatorisch abzusichern. Hinsichtlich der speziellen Fragen des Datenschutzrechts sei insbesondere auf den Beitrag von Müthlein, Probleme der Auftragsdatenverarbeitung, RDV 1992, 63 hingewiesen.

Im Rahmen der privatrechtlichen Vereinbarung mit den EDV-Firmen wird es sich regelmäßig empfehlen, insbesondere folgende Bereiche anzusprechen:

  • Verschwiegenheitsverpflichtung sämtlicher Mitarbeiter der EDV-Firma, die bei der Wartung oder Datenübertragung mit den gespeicherten Informationen in Berührung kommen können, gegenüber ihrem Arbeitgeber.
  • Verpflichtung der EDV-Firma gegenüber dem Notar, bei der Datenübertragung nur die vertraglich zur Verschwiegenheit verpflichteten Mitarbeiter einzusetzen.
  • Verpflichtung der EDV-Firma, dem Notar nach Abschluß der Arbeiten diejenigen Mitarbeiter bekanntzugeben, die mit den gespeicherten Informationen in Berührung gekommen sind.
  • Verpflichtung der EDV-Firma, sämtliche bei ihr gespeicherten Notariatsdaten nach Abschluß der Arbeiten sofort auf sämtlichen Datenträgern physikalisch zu löschen oder diese Datenträger unverzüglich dem Notar auszuhändigen.
  • Verpflichtung, sämtliche Maßnahmen, die eine Einsichtnahme in sensible Daten ermöglichen, in einem Protokoll unter ergänzender Angabe von Datum, Uhrzeit und Name des durchführenden Technikers aufzuzeichnen und die Aufzeichnungen je nach Art und Ort der Tätigkeit unmittelbar anschließend dem Notar auszuhändigen, per Post zu übersenden oder elektronisch zu übermitteln.
  • In geeigneten Fällen kann zusätzlich die Vereinbarung einer angemessenen Vertragsstrafe bei Zuwiderhandlungen, unabhängig von der Entstehung eines materiellen Schadens, in Betracht kommen.

In Fällen der Fernwartung sollten zusätzlich folgende organisatorische Vorkehrungen getroffen werden:

  • Aktivierung der Leitung ausschließlich durch den Notar, verbunden mit einer Identifizierungs- und Legitimierungsfunktion auf seiten der EDV-Firma (z. B. Passwort).
  • Aktivierung der Datenfernübertragungsleitung nur für den Zeitraum der Service-Tätigkeit mit der Möglichkeit eines jederzeitigen Abbruchs durch das Notariat.
  • Möglichkeiten des Notars, die zur Durchführung der Wartung ausgeführten Arbeiten an seinem eigenen Bildschirm über die on-line-Verbindung zu verfolgen.

Bei externen Installationen ist darauf zu achten, daß ausgetauschte, nicht mehr benutzte Datenträger nicht zur unbefugten Kenntnisnahme von vertraulichen Daten mißbraucht werden können. Sofern sich der betroffene Notar nicht dazu entschließt, dies selbst sicherzustellen (z. B. durch entsprechende Aufbewahrung der alten Datenträger), hat eine zuverlässige Löschung der gespeicherten Daten bzw. Vernichtung des Datenträgers zu erfolgen. Eine schlichte Überlassung an die installierende Firma oder Dritte steht mit der Pflicht zur notariellen Verschwiegenheit nicht in Einklang.